From: kjm@rins.ryukoku.ac.jp (KOJIMA Hajime / =?ISO-2022-JP?B?GyRCPi5FZ0glGyhC?=) To: comment@npa.go.jp cc: kjm@rins.ryukoku.ac.jp Subject: =?ISO-2022-JP?B?GyRCSVRANSUiJS8lOyU5QlA6dkshQCkkTjRwS1xFKjlNGyhC?= =?ISO-2022-JP?B?GyRCJChKfSRLQlAkOSRrJTMlYSVzJUgbKEI=?= Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Date: Tue, 08 Dec 1998 13:26:38 +0900 Message-ID: <26558.913091198@hyperion.st.ryukoku.ac.jp> Sender: kjm@hyperion.st.ryukoku.ac.jp 龍谷大学理工学部の小島と申します。 http://www.npa.go.jp/seiankis3/top.htm において募集されている「不正 アクセス対策法制の基本的考え方に対するコメント」を以下に示します。ご 検討下さい。 >>> ここから ------------------------------------------------------------------------ 「不正アクセス対策法制の基本的考え方」に対するコメント 小島 肇 1998.12.08 ------------------------------------------------------------------------ 1 趣旨  不正アクセスを防止するための法整備は絶対に必要ですので、賛成します。 ------------------------------------------------------------------------ 2 不正アクセス対策法制の対象となる電子計算機  事業の用に供され、公衆回線と接続している電子計算機であって、当 該電子計算機の使用者が当該電子計算機による情報処理の全部又は一部に ついて利用者識別情報等(ID・パスワード)により利用者を制限する措 置(アクセス・コントロール)を講じているもの(以下「特定電子計算 機」という。)をこの法制の対象とする(資料2)。 とありますが、以下の点が問題だと考えます。 A. 「事業の用に供され」るもののみが対象となっており、個人資産の保護がまっ たく考えられていません。あいかわらず「企業優先、経済優先」から脱してい ない警察官僚の現状が読み取れます。  対象となるコンピュータについては、不正アクセスを受けた場合 に重大な被害に結び付き、その影響が他にも波及するおそれがある ものとすることが適当である。このようなコンピュータとしては、 企業、官公庁等の事業のために使用されているコンピュータが想定 されることから、個人的に使われているパソコンは除くこととす る。(この対象については、5の義務との関係も十分に考慮してお く必要がある。)。 という註釈からは「警察庁は個人資産なんてどうなってもかまわないと考えて いる」としか理解できません。現実問題として、Internet に接続された多数 の個人コンピュータが大規模に crack される事例も発生しており、単純に無 視してよい事柄ではありません。社会は個人により構成されていることを忘れ てはいけません。企業が社会なのではありません。 「事業の用に供され」ようがされるまいが、本法政の対象とみなすべきだと考 えます。「事業の用に供され、」の部分は削除すべきと考えます。 B. 「公衆回線と接続している電子計算機」とは何なのかが不明確です。それは例 えば Internet に直接接続している計算機のことでしょうか? Firewall を介し て接続している場合は対象外でしょうか? システム管理者など技術担当者にとって明確な記述が必要であると考えます。 例えば「公衆回線と直接的あるいは間接的に接続している電子計算機」であれ ば、その範囲は明確です。 C. 「当該電子計算機の使用が当該電子計算機による情報処理の全部又は一部につ いて利用者識別情報等(ID・パスワード)により利用者を制限する措置(ア クセス・コントロール)を講じているもの」のみが対象となっていることも問 題です。 例えば、近年盛んになっている SOHO (Small Office, Home Office) 環境で は、多くの場合、アクセス制限を行っていない (不要なので)、あるいは行え ない (OS の制限) と考えられます。SOHO 環境ではごく小数の人間だけがコン ピュータを扱うので、アクセス制限など必要がないのです。 そのような環境においては不正アクセスされてもしかたがない、そんなものは 無視だ、というのが警察庁の考えのようですが、これは間違っています。例 えば、内部のコンピュータについては全くアクセス制限を行っていないが、 Internet など外部との接続点 (ルータ、ファイアウォールなど) についてはセ キュリティが必要で対策もそれなりに取っている、という SOHO サイトは現実 に存在するでしょう。特定の「電子計算機」「利用者識別情報」だけが主な対 象となっているのが問題なのです。システム全体として対策を行うという観点 が抜けています。  まとめると、2 については、例えば次のようにすべきと考えます。  「公衆回線と直接的あるいは間接的に接続している電子計算機システム 等であって、当該電子計算機システム等の使用者が当該電子計算機シス テム等による情報処理の全部又は一部について利用者識別情報等(ID・ パスワード)により利用者を制限する措置(アクセス・コントロール)を 講じているもの(以下「特定電子計算機システム」という。)をこの法制 の対象とする。」  ここでいう「電子計算機システム等」にはルータなどのネットワーク接続装置を含 む、システム全体を指すものとします。システム中には、個別にはアクセス・コ ントロールを実施していない計算機が存在するでしょうが、システム全体としてア クセス・コントロールを実施していれば本法政の対象とすべきだと考えます。  なお、資料 2 として link されている図において、不正アクセス者として「ハッ カー」という言葉が用いられていますが、これは誤りです。「ハッカー」は犯罪者 や不正アクセス者を指す言葉ではありません。詳細については http://www.vacia.is.tohoku.ac.jp/~s-yamane/articles/hacker.html をごらん下さ い。 ------------------------------------------------------------------------ 3 不正アクセスの禁止  このままでよいと考えます。 ------------------------------------------------------------------------ 4 不正アクセスを助長する行為の規制  (2) には問題があると考えます。(2) では次のように述べられています。 公安委員会は、反復・継続して(1)に違反する行為を行っている者に、 その中止等を命ずることができることとし、命令に違反する者について は罰則を科すこととする。  また、註釈においては次のように書かれています。  不正アクセス自体、犯罪の防止を目的としてこの法律で新たに罰則を 科すこととする行為であるから、不正アクセスを助長する行為の禁止違 反にまで直接罰則を科すのは過剰な規制となると考えられる。他方、不 正アクセスを助長する行為が現に行われている場合には、これを排除し て不正アクセスの発生を防止する必要があることから、行政命令による 措置を講ずることとする。  以上からは、(1) で禁止した ID 屋が、継続して存在する組織体であることを前 提にしているように見えます。しかし現実には、不正アクセスに関して脅威となる のはそのような組織体ばかりではありません。個人のクラッカー、あるいはクラッ カー達のゆるやかな連携もまた脅威です。彼らの動きは素早く、「行政命令」が有 効とは思えません。また、行政命令の発行が「反復・継続」を前提としており、匿 名性の高い Internet 環境での有効性に関しては疑問です。  ID 情報提供自体についても、不正アクセスに準じた直接罰則を科す必要があると 考えます。 ------------------------------------------------------------------------ 5 特定電子計算機の使用者の義務 * (1) については同意します。 * (2) については問題があると考えます。 特定電子計算機の使用者は、電気通信回線を通じて当該特定電子計 算機に利用者識別 情報等の入力がされた場合には、当該入力が行わ れた日時、当該利用者識別情報(ID)、入力元の電子計算機の識 別情報を記録し、これを3ヶ月間保存するようにしなければならな いこととする(資料4)。 ということですが、3 か月という期間はどのような理由により決定されたので しょうか? 記録の必要性は理解していますが、現実にネットワークを管理している立場か ら言わせていただくと、3 か月というのはかなり長期です。少なくとも当方 には、容量不足などにより 3 か月もの長期に渡る記録が不可能な計算機が多 数存在しますし、そもそも記録自体が非常に困難な計算機もあります。 必須義務ではなく「3 か月間は記録することが望ましい。」 といった努力義務 にすべきと考えます。また「3 か月」の理由については明記すべきと考えま す。 蛇足ですが、一般的なメディアにおいてはもはや「3 ヶ月」という書き方はし ません。「3 か月」と書きます。 * (3) も問題だと考えます。 特定電子計算機の使用者は、特定電子計算機について不正アクセス が行われたことを知ったときは、速やかに、その旨を公安委員会に 届け出なければならないこととする。 とありますが、暴論以外のなにものでもありません。警察庁の本音はオーウェ ルの「1984」的世界の実現なのでしょうが、あまりに露骨ではありませんか? (3) は全文削除すべきと考えます。 ------------------------------------------------------------------------ 6 不正アクセスを防止するための民間活動の援助等  (2) の「必要な事例分析の事務を専門的知識を有する者に委託することができるこ ととする」の実体が「天下り先の確保」となる懸念があります。そのようなことに ならない処置を望みます。 ------------------------------------------------------------------------ >>> ここまで ---- // 木下是雄「理科系の作文技術」中公新書 624 を読もう!! 小島 肇 - KOJIMA Hajime - 龍谷大学 理工学部 電子情報学科 (RINS) [Office] kjm@rins.ryukoku.ac.jp, http://www.st.ryukoku.ac.jp/%7Ekjm/ Phone: 077-543-7414 Fax: 077-543-0706