不正アクセス対策法案については、 警察庁案の他に郵政省案があります。 警察庁案がど〜にもキナ臭いのに対し、 郵政省案は現実をよくわきまえた上での案のように思えます (ちょっと問題もありますが)。 というわけで、コメントとしては「郵政省案に従いなさい」でも十分だったりするのですが (笑)、 それでは芸がないので以下にごちゃごちゃ書いています。
不正アクセスを防止するための法整備は絶対に必要ですので、 賛成します。
事業の用に供され、公衆回線と接続している電子計算機であって、 当該電子計算機の使用者が当該電子計算機による情報処理の全部又は一部について利用者識別情報等(ID・パスワード)により利用者を制限する措置(アクセス・コントロール)を講じているもの(以下「特定電子計算機」という。)をこの法制の対象とする(資料2)。
とありますが、以下の点が問題だと考えます。
「事業の用に供され」るもののみが対象となっており、 個人資産の保護がまったく考えられていません。 あいかわらず「企業優先、経済優先」から脱していない警察官僚の現状が読み取れます。
対象となるコンピュータについては、 不正アクセスを受けた場合に重大な被害に結び付き、 その影響が他にも波及するおそれがあるものとすることが適当である。 このようなコンピュータとしては、 企業、官公庁等の事業のために使用されているコンピュータが想定されることから、 個人的に使われているパソコンは除くこととする。 (この対象については、5の義務との関係も十分に考慮しておく必要がある。)。
という註釈からは「警察庁は個人資産なんてどうなってもかまわないと考えている」としか理解できません。 現実問題として、 Internet に接続された多数の個人コンピュータが大規模に crack される事例も発生しており、 単純に無視してよい事柄ではありません。 社会は個人により構成されていることを忘れてはいけません。 企業が社会なのではありません。
「事業の用に供され」ようがされるまいが、 本法政の対象とみなすべきだと考えます。 「事業の用に供され、」の部分は削除すべきと考えます。
「公衆回線と接続している電子計算機」とは何なのかが不明確です。 それは例えば Internet に直接接続している計算機のことでしょうか? Firewall を介して接続している場合は対象外でしょうか?
システム管理者など技術担当者にとって明確な記述が必要であると考えます。 例えば「公衆回線と直接的あるいは間接的に接続している電子計算機」であれば、 その範囲は明確です。
「当該電子計算機の使用が当該電子計算機による情報処理の全部又は一部について利用者識別情報等(ID・パスワード)により利用者を制限する措置(アクセス・コントロール)を講じているもの」のみが対象となっていることも問題です。
例えば、近年盛んになっている SOHO (Small Office, Home Office) 環境では、 多くの場合、アクセス制限を行っていない (不要なので)、 あるいは行えない (OS の制限) と考えられます。 SOHO 環境ではごく小数の人間だけがコンピュータを扱うので、 アクセス制限など必要がないのです。
そのような環境においては不正アクセスされてもしかたがない、 そんなものは無視だ、というのが警察庁の考えのようですが、 これは間違っています。 例えば、内部のコンピュータについては全くアクセス制限を行っていないが、 Internet など外部との接続点 (ルータ、ファイアウォールなど) についてはセキュリティが必要で対策もそれなりに取っている、 という SOHO サイトは現実に存在するでしょう。 特定の「電子計算機」「利用者識別情報」だけが主な対象となっているのが問題なのです。 システム全体として対策を行うという観点が抜けています。
まとめると、2 については、例えば次のようにすべきと考えます。
「公衆回線と直接的あるいは間接的に接続している電子計算機システム等であって、 当該電子計算機システム等の使用者が当該電子計算機システム等による情報処理の全部又は一部について利用者識別情報等(ID・パスワード)により利用者を制限する措置(アクセス・コントロール)を講じているもの(以下「特定電子計算機システム」という。)をこの法制の対象とする。」
ここでいう「電子計算機システム等」にはルータなどのネットワーク接続装置を含む、 システム全体を指すものとします。 システム中には、 個別にはアクセス・コントロールを実施していない計算機が存在するでしょうが、 システム全体としてアクセス・コントロールを実施していれば本法政の対象とすべきだと考えます。
なお、資料 2 として link されている図において、 不正アクセス者として「ハッカー」という言葉が用いられていますが、これは誤りです。 「ハッカー」は犯罪者や不正アクセス者を指す言葉ではありません。 詳細については http://www.vacia.is.tohoku.ac.jp/~s-yamane/articles/hacker.html をごらん下さい。
このままでよいと考えます。
(2) には問題があると考えます。 (2) では次のように述べられています。
公安委員会は、反復・継続して(1)に違反する行為を行っている者に、 その中止等を命ずることができることとし、 命令に違反する者については罰則を科すこととする。
また、註釈においては次のように書かれています。
不正アクセス自体、 犯罪の防止を目的としてこの法律で新たに罰則を科すこととする行為であるから、 不正アクセスを助長する行為の禁止違反にまで直接罰則を科すのは過剰な規制となると考えられる。 他方、不正アクセスを助長する行為が現に行われている場合には、 これを排除して不正アクセスの発生を防止する必要があることから、 行政命令による措置を講ずることとする。
以上からは、(1) で禁止した ID 屋が、 継続して存在する組織体であることを前提にしているように見えます。 しかし現実には、不正アクセスに関して脅威となるのはそのような組織体ばかりではありません。 個人のクラッカー、あるいはクラッカー達のゆるやかな連携もまた脅威です。 彼らの動きは素早く、「行政命令」が有効とは思えません。 また、行政命令の発行が「反復・継続」を前提としており、 匿名性の高い Internet 環境での有効性に関しては疑問です。
ID 情報提供自体についても、 不正アクセスに準じた直接罰則を科す必要があると考えます。
(1) については同意します。
(2) については問題があると考えます。
特定電子計算機の使用者は、電気通信回線を通じて当該特定電子計算機に利用者識別 情報等の入力がされた場合には、当該入力が行われた日時、 当該利用者識別情報(ID)、入力元の電子計算機の識別情報を記録し、 これを3ヶ月間保存するようにしなければならないこととする(資料4)。
ということですが、 3 か月という期間はどのような理由により決定されたのでしょうか?
記録の必要性は理解していますが、 現実にネットワークを管理している立場から言わせていただくと、 3 か月というのはかなり長期です。 少なくとも当方には、 容量不足などにより 3 か月もの長期に渡る記録が不可能な計算機が多数存在しますし、 そもそも記録自体が非常に困難な計算機もあります。
必須義務ではなく「3 か月間は記録することが望ましい。」 といった努力義務にすべきと考えます。 また「3 か月」の理由については明記すべきと考えます。
蛇足ですが、 一般的なメディアにおいてはもはや「3 ヶ月」という書き方はしません。 「3 か月」と書きます。
(3) も問題だと考えます。
特定電子計算機の使用者は、 特定電子計算機について不正アクセスが行われたことを知ったときは、 速やかに、その旨を公安委員会に届け出なければならないこととする。
とありますが、暴論以外のなにものでもありません。 警察庁の本音はオーウェルの「1984」的世界の実現なのでしょうが、 あまりに露骨ではありませんか?
(3) は全文削除すべきと考えます。
(2) の「必要な事例分析の事務を専門的知識を有する者に委託することができることとする」の実体が「天下り先の確保」となる懸念があります。 そのようなことにならない処置を望みます。
関連: JPCERT のコメント | 経団連のコメント
