久保田直己 不撤不散
  • Home
  • Blog
  • Music
  • Politics
  • About

憲法違反疑念に沈黙するセキュリティ業界

2/2/2019

1 コメント

 
Picture
Photo by NeONBRAND on Unsplash

1月25日、総務省が予定しているIoT機器への無差別侵入と脆弱性調査について、NHKが取り上げた。
サイバー攻撃対策の一環として、総務省は家庭や企業にあるインターネット家電などのいわゆる「IoT機器」に無差別に侵入して対策が不十分な機器を洗い出す、世界でも例のない調査を行うことになりました。(中略)
調査では予想されるIDとパスワードを実際に入力して機器に侵入する計画で、本来は不正アクセス禁止法で禁じられている行為だけに専門家からは懸念の声もあがっています。
続けて2月1日には、詳細が総務省から発表された。
ここでは、ZDnetの記事から引用させていただく。
総務省と情報通信研究機構(NICT)は2月1日、脆弱なIoT機器の調査とユーザーにセキュリティ対策を促すプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」を2月20日に開始すると発表した。NICTがネットワーク経由で調査するが、総務省は「セキュリティが目的であり、通信の秘密は侵害せず、調査などで得られた情報は厳格な安全管理措置を講じる」と主張している
昨今、いわゆるIoT機器の導入が爆発的に広がり、それらを踏み台にしたサイバー攻撃が相次いでいることから、政府が対策の音頭を取ること自体は何ら不自然なことではない。
しかしNHKの記事も指摘しているように、「予想されるIDとパスワード」で実際に機器へのアクセスを実施するというのであれば、それはパスワード攻撃そのものであり、不正アクセス行為になってしまう。
最高刑では懲役を含む刑事罰を科せられるほどの重大なことだ。
不正アクセス行為の禁止等に関する法律
不正アクセス行為の用に供する目的で、他人の識別符号(パスワード等)を取得してはならない。違反者は1年以下の懲役又は50万円以下の罰金に処せられる。
こうした事態を避けるため、2018年3月6日に関連法規が変更されていた。
NICTが不正アクセス禁止法の構成要件から除外されたのである。
5年間という期間限定ではあるが、NICTは堂々とIoT機器へのアクセスが行えることになった。
しかし関連法規を変えても、「通信の秘密の侵害」を禁じた日本国憲法第21条に抵触する可能性が極めて高い。
日本国憲法第21条
集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。
検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。
先ほどのZDnetの報道によると、総務省は「セキュリティが目的であり、通信の秘密は侵害せず、調査などで得られた情報は厳格な安全管理措置を講じる」と主張している。
しかしまったく同じ2月1日、総務省は、基幹統計である「小売物価統計調査」で不適切な調査が行われていたと発表した。
厚労省で発覚した、賃金統計不正に次ぐものだ。
自分たちが実施したい法案を裏付けるために、国の根幹となる基幹統計まで胡麻化すような人たちの主張を、性善説で鵜呑みにすることはできない。

ところで非常に奇妙なことに、情報セキュリティに関する重大な懸念に対して、当のセキュリティ業界からは何の声も聞こえてこない。
私が調べた限りでは、独立系のITジャーナリストとして知られる三上洋氏が「国がやるべきことではない」と懸念を表明しているだけである。
ここで総務省が1月に公開した資料「国立研究開発法人情報通信研究機構法(平成11年法律第162号) 附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要」を参照してみたい。
一番最後のページの一番下に、このような記載がある。
​電気通信事業者への通知に関する業務を、認定送信型対電気通信設備サイバー攻撃対処協会に委託する等
非常に分かりにくいが、今回のIoT機器への無差別侵入と脆弱性調査によって発覚した情報の連絡は、「認定送信型対電気通信設備サイバー攻撃対処協会」として認定された団体に外注するということだ。
そして1月8日、一般社団法人ICT-ISACが「認定送信型対電気通信設備サイバー攻撃対処協会」として認定されていた。
総務省が「無差別侵入と脆弱性調査」を行うと発表する、わずか2週間前のことである。
なんと手際のよいことか。
2月2日現在、「認定送信型対電気通信設備サイバー攻撃対処協会」の認定を受けている団体はICT-ISACだけだ。
これは明らかにICT-ISACへ競争入札なしに発注することを前提として、様々な準備が進められてきたということであろう。

では、ICT-ISACとはどのような団体なのだろうか。
Webサイトによると、「サイバーセキュリティに関する情報収集・調査・分析」などを目的とするとされている。
そして会員企業のリストを見てみると、実にほぼすべてのセキュリティ・ベンダー、通信キャリア、テレビキー局などが名前を連ねているのである。
アルテリア・ネットワークス株式会社
株式会社インターネットイニシアティブ
インターネットマルチフィード株式会社
NRIセキュアテクノロジーズ株式会社
株式会社エヌ・ティ・ティ エムイー
エヌ・ティ・ティ・コミュニケーションズ株式会社
NTTセキュリティ・ジャパン株式会社
エヌ・ティ・ティ・データ先端技術株式会社
株式会社NTTドコモ
株式会社FFRI
沖電気工業株式会社
株式会社カスペルスキー
株式会社QTnet
株式会社ケイ・オプティコム
KDDI株式会社
株式会社KDDI総合研究所
KDDIデジタルセキュリティ株式会社
株式会社サイバーディフェンス研究所
株式会社シマンテック
株式会社ジュピターテレコム
ソニーネットワークコミュニケーションズ株式会社
ソフトバンク株式会社
株式会社TBSテレビ
株式会社テレビ朝日
株式会社テレビ東京
トレンドマイクロ株式会社
西日本電信電話株式会社
日本電気株式会社
日本電信電話株式会社
日本放送協会
ニフティ株式会社
日本テレビ放送網株式会社
株式会社日本レジストリサービス
パロアルトネットワークス株式会社
東日本電信電話株式会社
株式会社日立製作所
ビッグローブ株式会社
富士通株式会社
株式会社フジテレビジョン
マカフィー株式会社
またICT-ISACの定款には、このような記述がある。
第9条 社員が次の各号のいずれかに該当する場合には、社員総会の決議によって除名することができる。
(2)当法人の名誉を傷つけ、又は目的に反した行為をしたとき
これでは、会員企業は批判を封じ込められているも同然ではないか。
しかしこうした「鞭」だけではなく、しっかり「飴」も用意されている。
降って湧いたような、2億台近くに及ぶIoT機器のセキュリティ対策需要だ。
飴と鞭を用意されたセキュリティ業界は、これからも憲法違反の疑念に対して沈黙を続けるのだろうか。
1 コメント
久保田直己
6/2/2019 22:46:15

全てのアクセスログを取得していると何回も申し上げておりますが、こちらの方、大丈夫でしょうか。
219.119.6.136
210.165.72.100

返信



返信を残す

    Categories

    すべて
    Business
    Law
    Music
    Social

    RSSフィード

不撤不散
HOME        BLOG        MUSIC        POLITICS        ABOUT
All copy right reserved.  Since March 18 2017.
  • Home
  • Blog
  • Music
  • Politics
  • About