イスラエルのセキュリティ専門集団 SecuriTeam に聞く　サイバー犯罪条約と日本の対応

聞き手、訳：Prisoner Langley

　前回に引き続き、サイバー犯罪条約についての検討を行いたい。
　今回は、イスラエルのセキュリティ専門集団 Beyond SecuriTeam にこの条約および日本の対応についての意見をうかがった。

>> サイバー犯罪条約はスタンダードになるには課題が山積み

Prisoner Langley（以下、PL）　：このサイバー犯罪条約は、ほんとにグローバルスタンダードになると思いますか？

SecuriTeam（以下、ST）　：はっきりしているのは、ほとんどの国ではサイバー犯罪やネットワークセキュリティについての法制度が立ち遅れていることです。条約に署名してから2年間が過ぎようとしていますが、法制度の整備については、それほど進展が見られたわけではない。つまり、サイバー犯罪に関してのグローバルスタンダードが成立するには、まだまだやるべきことが山積みといえます。

>> サイバー犯罪の特殊性への対応が不十分で実効性に疑問のある条約

PL　：この条約によって、世界のセキュリティ水準が向上すると思いますか？

ST　：残念ながら、答えはNOです。この条約は単に政府や法制度がいかに現実に遅れているかということを示しています。この条約にはサイバー犯罪特有の重要なポイントが抜け落ちています。

　リアルな犯罪行為を抑止するには、まずその行為を違法であると定義します。この犯罪抑止のアプローチは、犯罪者は活動的であり、犠牲者は受動的であるという仮定にたっています。犯罪者の活動をとめることができれば犯罪は抑止できるというわけです。
　万引きは違法なこととして定義したら、店に防犯カメラを設置し、犯人を特定すればいいだけです。犯人がやってきて万引きした後店をでていったら、その後で犯人を特定し、逮捕すればいいわけです。

　一方、サイバー犯罪では、犠牲者が活動することで犯罪が予防されます。例えば、防御システムを導入するといった活動がそれにあたります。サイバー犯罪とリアルな犯罪には、大きく2つの違いがあります。

　最初の違いは、サイバースペースにおいては、犯罪者はどこからでもやってくるからです。仮に日本の国内法でガチガチに規制をかけていてもサイバー犯罪に関する法律のない海外から日本の国内に対して、犯罪を仕掛けることができます。日本人でもサイバー犯罪規制のない海外にでてしまえば、そこから日本国内に対して犯罪を仕掛けることができます。サイバースペースには場所の概念がないのです。

　第2の違いは、一般的な利用と犯罪者の攻撃を明確に区分することができない点です。私の利用しているWEBサイトのアプリケーションにバグがあり、普通に利用していた私にデータベースの内容が表示されてしまうことだって起こりえます。これは明らかに開発者が意図しない状況です。しかし、このアプリケーションのバグによって、普通の利用者がデータベースの中身を見てしまったわけです。利用者は、このような事態を事前に察知して避けることもできません。

　サイバー犯罪のための法制度には、2つのステージしかありません。ひとつ目は、システムを安全に保つことを法律により義務化することです。

>> 条約批准に名を借りた日本の国内法整備は役に立たない！？

PL　：日本での新しい法律がセキュリティ水準の向上に役立つと思いますか？

ST　：日本の法律や歴史、文化を知らない私が今回の刑事法改正についてはコメントするのは難しいです。
　しかし、このような法制度がうまくゆかないことだけは確かです。

　まず、日本にはすでに $100M のセキュリティスキャナおよび侵入テストの市場があります。この市場を新しい法律で、消し去ってしまうというのは、ちょっと信じられません。
　次に、この手の法律を徹底することはかなり難しいといえます。サイバースペースには境界がありません。考えてみてください。あなたが、 SecuriTeam のレポートを日本語に翻訳して、われわれ（ SecuriTeam ）のサーバにアップしたらどうなります？　イスラエルや米国に対して、日本の法律を守るように強制することはできないでしょう。
　同じことはセキュリティスキャナについてもいえます。スキャナを日本以外の国において、日本国内のサーバをスキャンしたらどうなります？

　DMCAはメーカが悪名高いプレス方式を採用した場合に限り、威力を発揮します。
　アドビ社は同社の暗号をやぶったロシア人プログラマを訴えました（アドビ社は悪夢のような抗議にさらされて訴訟をとりさげました）。HP社でも同様のことが起こりました。HP社はセキュリティ研究者に対してDMCAを適用しようとしましたが、すさまじい抵抗にあって、断念しました。

　また、現場では「悪い奴」が常にアンダーグラウンドのWEBサイトなどからexploit コードやセキュリティ情報を入手しています。この手の情報を合法的に入手することができないとしたら、「いい奴」は無防備に攻撃さらされ、犠牲者となるしかありません。
　例えば、ウイルスのコードそのものが違法になったら、アンチウイルスベンダはなくなります。同様に、ファイアウォールやIDSなどもセキュリティホール情報を必要とするので、たちゆかなくなるでしょう。

>> 政府のとるべきもっとも重要な施策
>> 企業、インフラおよびベンダへのセキュリティ維持の法制度による義務化

PL　：サイバー犯罪条約は署名各国にちゃんと批准されると思いますか？

ST　：このサイバー犯罪条約批准については、かなり混乱した状況だといえます。まず、はっきりと合法、違法の境目をつけることができません。また、DMCAのような法律は、大手企業が保身のために競争を回避することに使われるなど、多数の議論をまきおこしました。

PL　：こうした「くさいものに蓋をする」方式の法律は非常に実行性が乏しいだけでなく本来政府がとるべき施策と違う方向だと思うのですが、この点についてご意見は？

ST　：政府のとるべき方向性として、私が考えていることを整理してみました。国のセキュリティレベルを向上させるためには、政府は2つのアプローチを並行してとるべきです。ひとつは、守る側＝つまり企業などの側に適正なセキュリティレベルをたもつことを義務付けるのです。少なくともキーをかけっぱなしにして、車を離れるようなミスをしないようにしなければなりません。それで車上荒らしにあっとしたら、恥じるべきは鍵をかけなかったあなた自身でしょう。

　米国ではすでに「Sarbanes-Oxley act」（サーベンス・オクスリー法）で企業に対してセキュリティポリシーとネットワークセキュリティの体制の確立を企業に求めています。
　もうひとつは、ベンダに対してセキュリティホールの発見と対処を進めるようにプレッシャーをかけることです。ホワイトハウスの大統領アドバイザーの Richard Clarke はインフラおよびベンダ製品のセキュリティ上の問題を攻撃者よりも前に、発見するように研究者によびかけました。セキュリティホールの発見を違法とするよりも、こちらの方が正しいアプローチです。このアプローチこそがソフトウェアをより安全なものにするのです。

関連記事

グローバルスタンダードに逆行するトンデモ法
「ハイテク犯罪に対処するための刑事法の整備」について考えてみよう！(2004.3.2)
https://www.netsecurity.ne.jp/article/1/12413.html

Scan Security Management
http://www.ns-research.jp/c2/ssm/