いやはや、アナタの感想は聞いていないんだが。
先手のサイバー防御へ法整備始動 政府、5月にも有識者初会合
2024/04/30
政府は、サイバー攻撃に先手を打ち被害を未然に防ぐ「能動的サイバー防御」を巡り、5月にも有識者会議を初開催する方向で調整に入った。法的課題を整理し、官民連携の方策を検討する。政府機関や民間重要インフラに対するサイバー攻撃の脅威が増す中、欧米並みのサイバー防衛強化を目指す法整備が始動する。複数の政府関係者が30日、明らかにした。
共同通信より
サイバー防御に関して、政府も「なんとかしたい」と思っている節があり、結構積極的に動いている。もうちょっと予算を付けても良いのよ?
国益を守るためのサイバー防御
能動的サイバー防御
報道されている内容は、「能動的サイバー防衛」についてである。
どんなシロモノかというと、「相手のネットワークへの侵入も含め、サイバー空間を常に監視し、情報を収集し、事前に攻撃や不審な動きを察知する。不審な動きを見つけた場合には、相手のサーバやシステムを無力化したり、反撃したりする」と定義されている。
要は、積極的監視して情報収集を行うことと、場合によっては攻撃側サーバーを無害化するために、攻撃側サーバーに侵入することが求められる。
能動的サイバー防御は攻撃側サーバーに侵入して無害化を図る対応を想定している。
共同通信「先手のサイバー防御へ法整備始動」より
何故、攻撃側サーバーへの侵入、無害化が必要なのか?といえば、サイバーの世界では防衛側よりも攻撃側が圧倒的に有利となるからだ。
故に、積極的に相手側を攻撃することで、効果的な防衛を行おうという事になる。
イメージとしては、ミサイルを撃たれたら相手側のミサイルを発射している基地を攻撃する感じだろうか。
憲法21条に違反する!
さて、共同通信社は何に文句を付けているか?なのだが。
憲法21条や電気通信事業法が規定する「通信の秘密」を侵害する可能性が指摘され、検討は難航が予想される。インターネット空間の監視につながりかねないとの懸念もあり、丁寧な議論が求められそうだ。
共同通信「先手のサイバー防御へ法整備始動」より
報道機関がお得意にしている言論の自由というヤツが絡むのが、憲法21条だ。コレに反しているということらしい。
第二十一条 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
② 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。
e-GoV「日本国憲法」より
なるほど「通信の秘密」ね。これを傍受することは「検閲」にあたるというロジックなのだろう。
ただ、日本国憲法ができた時代にはインターネット通信は存在しなかったので、この「通信の秘密」という定義は、電波や電話などを想定とした話であり、インターネットのようなネットワークを想定していない。
つまり、個別通信においては「個人間の通信の秘匿」が尊重される必要があったのだ。
ところが今や通信手段は電波や電気通信に拡大していて、日本国憲法が想定した通信の秘密に関して、本当に「これを侵してはならない」とすることが適切なのか?という点については議論がある。
そして、そもそも当時においても「犯罪捜査のための郵便物等の押収」や「犯罪捜査のための通信の傍受」に関しては合法であるという立場であった。
何しろ「通信の秘密」を厳格に解釈すると、メールなどが送られたときに、そのメールにウイルスが仕込まれたとしていても、ウイルスチェックも違法なんて話になる。
現状では合法って事になっているので、そこまでトンチンカンなことにはならないのだが。
電気通信事業法における通信の秘密
ちなみに電気通信事業法においてはどのように規定されているかというと、こんな感じだ。
(秘密の保護)
第四条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。
e-GoV「電気通信事業法」より
これに関する説明を法務省のサイトが行っている。
電気通信事業法では、電気通信事業者の取扱中に係る通信の秘密を侵すことを禁じているのですが、ここで禁止行為とされている「秘密を侵す」とは、上に述べた通信の秘密の保障が及ぶ事項の秘密を侵す行為、すなわち、通信当事者以外の第三者がこれらの事実を 故意に知ったり、自己又は他人のために利用したり、第三者に漏えいすることをすべて含むものです。正当な理由なくこれらの行為を行うと刑事罰に処せられることになります。
総務省のサイトより
おそらくは「正当な理由に該当するか否か」という話に関わってくる。そうすると、サイバー防御における情報の傍受に関して、直ちに違法となる可能性は低いだろうと思われる。
不正アクセス行為の禁止等に関する法律
なお、他にも幾つかの法律に抵触する疑いがあると言われていて、1つが不正アクセス防止法である。
議論の柱は法整備の在り方だ。通信システム侵入時における不正アクセス禁止法抵触の懸念や、サーバーを無力化するウイルスを作成する場合は刑法の不正指令電磁的記録作成罪との関連を整理する必要がある。
共同通信「先手のサイバー防御へ法整備始動」より
これのどこが問題かということなんだが。
(不正アクセス行為の禁止)
第三条 何人も、不正アクセス行為をしてはならない。
(他人の識別符号を不正に取得する行為の禁止)
第四条 何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。
e-GoV「不正アクセス行為の禁止等に関する法律」より
アクセス権限のない攻撃側のサーバー侵入は、不正アクセス防止法の3条、4条辺りに該当する可能性がある。
ここはまあ、法律構成的に仕方がない面があるので、確かに法改正が必要である。同様の理由で不正指令電磁的記録作成罪(刑法168条の2第1項)にも抵触する可能性がある。
ただしこれに関しては、そもそも憲法21条の限界として定められる、公共の福祉に反する(同3条)ケースに該当するとして、立法根拠がある。
第十三条 すべて国民は、個人として尊重される。生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする。
e-GoV「日本国憲法」より
つまり、「通信の秘密」に関しても無制限に守られるものではない、という話になっている。
インターネット空間の監視につながりかねないとの懸念もあり、丁寧な議論が求められそうだ。
共同通信「先手のサイバー防御へ法整備始動」より
共同通信社は寝ぼけた事を言っているようだが、桜ういろうのような阿呆な発信をする人物が社内に未だいるので、困るって事だろうか。
サイバー対策は進んでいる
インターネット空間の監視、サイバー攻撃者の特定、そしてその攻撃ノードの攻撃手段を手に入れるというのは、今や諸外国では随分とやられている話。
例えば、アメリカのこの事件。
サイバー被害の米パイプライン、身代金4.8億円の支払い認める 米紙報道
2021年5月20日
サイバー攻撃を受けて5日間にわたり操業停止となった、アメリカ最大の石油パイプライン「コロニアル・パイプライン」が、ハッカーに対して440万ドル(約4億8000万円)の身代金を支払ったと認めた。米紙ウォール・ストリート・ジャーナルが19日、同社のジョゼフ・ブラウント社長の話として伝えた。
BBCより
アメリカ当局は速やかに相手側を特定し、更に身代金を支払った上で、これを回収している。
どのように回収したかについては明かされてはいないのだけれど、サイバー空間での攻防があったことは確実である。まさか、ビットコインで支払った身代金を現物で差し押さえたなんてことはあるまい。
共同通信社は時代の流れについて行っていないのか、それとももしかしてスパイ活動でもしているのか。いずれにせよ、能動的サイバー防御が可能となると都合が悪いらしいね。
追記
外国のケースを書き忘れたので、少し紹介しておく。
サイバー防衛後進国・日本の危機、攻撃の兆候すら検知できない実態
2024.01.19
陸・海・空・宇宙に次ぐ「第5の戦場」ともいわれる、サイバー空間における脅威が急速に高まっている。ロシアによるウクライナ侵攻でも、侵攻以前からウクライナに対するサイバー攻撃が激化していたことが確認されており、その手法も高度化・多様化している。サイバー攻撃の実態に詳しい、サイバーディフェンス研究所専務理事上級分析官の名和利男氏に聞いた。
~~略~~
能動的サイバー防御は、英語で「Active Cyber Defense(ACD)」と呼ばれます。これを政策レベルに反映させているのは米国と英国だけです。実際に深刻なサイバー攻撃を受けた経験を持つドイツ、エストニア、ジョージアなどは、ACD を実行するより「受動的サイバー防御(Passive Cyber Defense)」を優先しています。
ドイツは既存の「Fortified Cyber Defense(FCD、フォーティファイド・サイバー・ディフェンス)」という戦略で防御能力の強化を図っています。一方、ジョージアやエストニアなどは「Resilient Cyber Defense(RCD、レジリエント・サイバー・ディフェンス)」を選択し、何かが起こった場合にすぐに元に戻すことに注力しています。
Xtechより
残念ながら会員限定の記事なので後半部分が読めないのだが、前半にも重要なことは書かれている。記事によれば、能動的サイバー防御(ACD)と受動的サイバー防御(PCD)があって、諸外国ではこうした制度が整備されつつあるのだけれど、それ以前にサイバー攻撃の兆候を察知するだけの知見すら日本にはなく、後進国であるとの指摘がなされている。
この話が何処まで信用に値するかは分からないのだけれど、少なくとも日本がACDという武器を手に入れようとしていることは確かである。
こちらの記事は国際枠組みに関する論文であるが、今のところ国際的な認識のズレがあって合意に至っていない旨の指摘がある。「ACDを規律する国際法枠組みで中心となるのは、武力行使禁止原則、不干渉原則および主権原則である」との言及があるが、サイバー空間の場合は越境攻撃にどのような解釈をつけるかでまだ結論が出ていない。
「違法性阻却事由の獲得が大切である」とあるのだが、サイバー空間で起こった出来事を立証することは難しい。物理領域に出てくる、すなわちアメリカのパイプラインのロックのようなことが行われた場合に、ロシアの組織に対する何らかの攻撃を行ったようなのだが、アメリカが事前に兆候を捉えていたとしても、実際に施設がロックされ、身代金を支払うような段階に至らなければ、アメリカ当局にはアクションを起こすところに漕ぎ着けることはできなかった。
この辺りのさじ加減は、経験や実績が物を言う世界なので、日本で法整備をしてサイバー防衛を行う組織が立ち上がったとしても、すぐには機能しないのが現実である。それ故に急がなければならない。
コメント
いやいやいや、敵国のインフラや軍事システムにバックドアやトロイ木馬を仕掛けて、いざ有事の時に作動させるのは
言論の自由とは関係ないだろうに!
つか、メルケルの携帯にCIAだかDIAだかNSAだか忘れましたが、仕掛けた事件ありましたね。通信のなんちゃらとか吠えても、そこにある現実てのがある。
テロの前には盗聴も検閲も暗殺もありだし、それは仕方ない。あくまで「不対象な戦争」なのですから。
テロリストとかどんだけ酷いか解ってるのか?ですよ。仏外人部隊から憲兵隊(警察組織です)で務めた知人が言ってたけれど、ショートキル暗殺の時に、赤ちゃんを抱いて標的に接近するんです。
標的の護衛が身構えると、いきなり赤ちゃんを投げる。さすがの護衛も必死に赤ちゃんをキャッチする。その隙に爆弾や銃を使うんです。赤ちゃんは人形でなく、そして道具に過ぎないから平気で放るんです。そういう奴らと戦うのに、綺麗事ならべて国民を護れると思ってるのか、脳内お花畑のブンヤが💢💢💢
ははは、実際にアメリカとかイギリスとかフランスとか、先進国であれば大体サイバー防衛の為にある程度のアクションが起こせるようになっているわけで。
メディアはまさかそんなことも調べないで寝言を言っているわけではないでしょう。
ご指摘の話はテロの分野に足を突っ込んでいますが、サイバーテロが引き起こされれば、それこそ人命が失われるような事態になりかねません。
憲法21条がーとか言っている場合ではないんですよね。
こんにちは。
>日本国憲法ができた時代にはインターネット通信は存在しなかった
事ほど左様に、憲法と言えど法の一種類に他ならず、法は、現実社会の変化につれて共に変化しなければならない。
LGBTとかクソ要らない事ばっか法制化させるくせに、その根冠をいじらせないのは、「角を歪めて牛を殺す」にさも似たり、まさに枝葉末節。
という正論は、「彼ら」の耳には届かず、「彼ら」のもっとも嫌う矛盾点なのでしょうね。
※「政権は悪」がモットーなんでしょうけれど、法制化した瞬間から、その法を握るのは政権(行政機関)であるという矛盾も。まあ、だから「法が曲げられた!」とか騒ぐのでしょうけれど。度し難い。
こんにちは。
サヨクの皆様はきっと自動車にノーメンテで乗っていらっしゃるのでしょう。きっと、買い換えも検討しないのだと。
変わることが怖いのかも知れませんが。