« Winnyの存亡より匿名性の存亡が心配だ入院してました »

「情報システム等の脆弱性情報の取扱いに関する研究会 報告書」の限界

2004/04/12

Permalink 00:42:35, by Nobuo Sakiyama Email , 34 words   Japanese (JP)
Categories: セキュリティ

「情報システム等の脆弱性情報の取扱いに関する研究会 報告書」の限界

「情報システム等の脆弱性情報の取扱いに関する研究会 報告書」がIPAセキュリティセンターから4月6日に発表されている。研究会に幹事として参加した高木さんは「今の段階で可能な現実的な落とし所に落ち着いていると思う」とする一方、小島さんLucrezia Borgiaさんの、シニカルと言える反応が見られる(そのほかスラッシュドットジャパンでの反応など)。

...

報告書に記されたガイドラインは、研究会の前提からすれば、おおむねこうなるしかないというものなだろう。例えば、IPAが「違法な手段で取得したことが明白な届出」について対応しないことがある、ということは、逆にいえば対応することもある、ということで、IPAの受付機関の存在そのものが不正アクセス等を行うインセンティブとなることを避けつつ、問題の性質によっては対処できる余地を残す、という意味であろう。他の点についても、独立行政法人であって行政機関ではないIPAのなかに独自に受付機関・調整機関を設置するという前提において、通報者保護のための免責を独自に行うことはできないし、違法/合法の具体的な線引きは検察による起訴によってはじまる刑事裁判や、事例の関係者による告訴ではじまる民事裁判で裁判所が判例を重ねることによってしか確定しない以上は、ごく自明な領域以外についてIPAが線引きの例示をすることは不可能だろうし、IPAとしてわずかでも違法の可能性を問われる行為を独立行政法人として設置しようとする公的スキームのなかで奨励すると受け取られることはできない、ということなのだろう。

結果として、「今の段階で可能な現実的」である一方、 脆弱性発見者が受付機関を通して通報するインセンティブは、

  • 発見者の個人情報が製品開発者やウェブサイト運営者に同意なく通知されない
  • 個人的に通報するより多少ましな対応が行われるかもしれない

といった点にとどまり、かなり弱いと言える。一方、製品開発者やウェブサイト運営者については、このスキームに従うインセンティブがほとんど存在していない。 彼らへの通報がIPAという「公的機関」を経由することで、多少のプレッシャーを 製品開発者やウェブサイト運営者が感じることはあるかもしれないが、 スキームを無視して不誠実な対応をとったとしてもスキームに従うIPAや発見者は一切を公表できないはずとなれば、 脆弱性を修正しなくともリスクがセキュリティ事故として顕在化しない限りは、 製品開発者やウェブサイト運営者は不誠実な対応を改めるインセンティブを持たないだろう。 しかも、セキュリティ事故が起きたとして、それで被害を被った人がそれを「セキュリティ事故」によるものだと示すことはどれだけ可能だろうか?

Ross Anderson教授の論文"Why Information Security is Hard - An Economic Perspective"は、さらに前の"Why Cryptosystems Fail"を参照しつつ議論を始めている。 ここで、銀行口座をめぐる詐欺のひとつであるphantom withdrawal、つまり預金者がATMで引き落としていないとする金額が実際には口座から引き落とされていると預金者が訴える問題が例として扱われている。問題の挙証責任についてアメリカでは預金者有利に、つまり「預金者が嘘をついていると銀行が証明できない限りは損害賠償責任を銀行が負う」とされている一方、イギリス等では銀行有利に、つまり被害を訴える預金者が銀行の具体的な瑕疵を証明できずに民事で負けるどころか刑罰に課せられてきたことという状況のもと、結果としてアメリカのほうがより安全なシステム構築が行われているということが紹介されている(日本では刑罰に問われるかどうかは別として、このような問題について預金者側が立証責任を負う点についてはイギリス同様らしい)。 なお、"Why Information Security is Hard"は、引き続いてCommon Criteriaの評価がベンダーによる金銭負担で行われることによって十分なものでなくなっているという問題に言及するなど「システムを護る者とセキュリティの被害を被る者が異なること」からおきる問題について豊富な実例を紹介している。

話を報告書に戻すと、結局のところ報告書はインセンティブの問題に本格的に手をつけることができていない。できあがっている内容を最大限に尊重するとしても、脆弱性がセキュリティ事故に結びついた被害で裁判等になった場合にIPAが積極的に証拠を裁判に出す形で製品開発者やウェブサイト運営者の同意のない開示を行いうるといったことを明記してよかったのではないかと思われる。この点、報告書では脆弱性通報メカニズムの存在によって、脆弱性を知らなかったと開発者等が否認することを防げる可能性があるとは述べているが、より強い姿勢が 必要なのではないかということだ。

もうひとつ、メタレベルの問題でいえば、研究会はコンピュータセキュリティ研究者と官僚とベンダーとセキュリティ専門企業という産官学の枠組で取り組まれてきた。それぞれもちろん日本のトップクラスの優秀な方々であることは疑いないのだが、しかし、「護る者と被害を被る者が異なる」状況とはいえないだろうか?消費者問題に直結しているだけに、消費者団体からの参加や消費者利益を代表するような活動を行ってきた弁護士が必要だっと思うが、どうだろうか?