サイバー攻撃対策の一環として、総務省は家庭や企業にあるインターネット家電などのいわゆる「IoT機器」に無差別に侵入して対策が不十分な機器を洗い出す、世界でも例のない調査を行うことになりました。(中略) 続けて2月1日には、詳細が総務省から発表された。 ここでは、ZDnetの記事から引用させていただく。 総務省と情報通信研究機構(NICT)は2月1日、脆弱なIoT機器の調査とユーザーにセキュリティ対策を促すプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」を2月20日に開始すると発表した。NICTがネットワーク経由で調査するが、総務省は「セキュリティが目的であり、通信の秘密は侵害せず、調査などで得られた情報は厳格な安全管理措置を講じる」と主張している 昨今、いわゆるIoT機器の導入が爆発的に広がり、それらを踏み台にしたサイバー攻撃が相次いでいることから、政府が対策の音頭を取ること自体は何ら不自然なことではない。 しかしNHKの記事も指摘しているように、「予想されるIDとパスワード」で実際に機器へのアクセスを実施するというのであれば、それはパスワード攻撃そのものであり、不正アクセス行為になってしまう。 最高刑では懲役を含む刑事罰を科せられるほどの重大なことだ。 不正アクセス行為の禁止等に関する法律 こうした事態を避けるため、2018年3月6日に関連法規が変更されていた。 NICTが不正アクセス禁止法の構成要件から除外されたのである。 5年間という期間限定ではあるが、NICTは堂々とIoT機器へのアクセスが行えることになった。 しかし関連法規を変えても、「通信の秘密の侵害」を禁じた日本国憲法第21条に抵触する可能性が極めて高い。 日本国憲法第21条 先ほどのZDnetの報道によると、総務省は「セキュリティが目的であり、通信の秘密は侵害せず、調査などで得られた情報は厳格な安全管理措置を講じる」と主張している。 しかしまったく同じ2月1日、総務省は、基幹統計である「小売物価統計調査」で不適切な調査が行われていたと発表した。 厚労省で発覚した、賃金統計不正に次ぐものだ。 自分たちが実施したい法案を裏付けるために、国の根幹となる基幹統計まで胡麻化すような人たちの主張を、性善説で鵜呑みにすることはできない。 ところで非常に奇妙なことに、情報セキュリティに関する重大な懸念に対して、当のセキュリティ業界からは何の声も聞こえてこない。 私が調べた限りでは、独立系のITジャーナリストとして知られる三上洋氏が「国がやるべきことではない」と懸念を表明しているだけである。 ここで総務省が1月に公開した資料「国立研究開発法人情報通信研究機構法(平成11年法律第162号) 附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要」を参照してみたい。 一番最後のページの一番下に、このような記載がある。 電気通信事業者への通知に関する業務を、認定送信型対電気通信設備サイバー攻撃対処協会に委託する等 非常に分かりにくいが、今回のIoT機器への無差別侵入と脆弱性調査によって発覚した情報の連絡は、「認定送信型対電気通信設備サイバー攻撃対処協会」として認定された団体に外注するということだ。 そして1月8日、一般社団法人ICT-ISACが「認定送信型対電気通信設備サイバー攻撃対処協会」として認定されていた。 総務省が「無差別侵入と脆弱性調査」を行うと発表する、わずか2週間前のことである。 なんと手際のよいことか。 2月2日現在、「認定送信型対電気通信設備サイバー攻撃対処協会」の認定を受けている団体はICT-ISACだけだ。 これは明らかにICT-ISACへ競争入札なしに発注することを前提として、様々な準備が進められてきたということであろう。 では、ICT-ISACとはどのような団体なのだろうか。 Webサイトによると、「サイバーセキュリティに関する情報収集・調査・分析」などを目的とするとされている。 そして会員企業のリストを見てみると、実にほぼすべてのセキュリティ・ベンダー、通信キャリア、テレビキー局などが名前を連ねているのである。 アルテリア・ネットワークス株式会社 またICT-ISACの定款には、このような記述がある。 第9条 社員が次の各号のいずれかに該当する場合には、社員総会の決議によって除名することができる。 これでは、会員企業は批判を封じ込められているも同然ではないか。
しかしこうした「鞭」だけではなく、しっかり「飴」も用意されている。 降って湧いたような、2億台近くに及ぶIoT機器のセキュリティ対策需要だ。 飴と鞭を用意されたセキュリティ業界は、これからも憲法違反の疑念に対して沈黙を続けるのだろうか。
1 コメント
久保田直己
6/2/2019 22:46:15
全てのアクセスログを取得していると何回も申し上げておりますが、こちらの方、大丈夫でしょうか。
返信
返信を残す |