10月24日付け日経新聞に「サイバー攻撃を⼀⻫遮断 ネット事業者が防御で連携」という記事がでています。
「総務省とNTTコミュニケーションズなど国内のインターネット接続業者は2018年度をめどに、サイバー攻撃を⼀⻫に遮断する仕組みを作る。不正アクセスの発信源となるサーバーを即座にネットから切り離す。」ということです。
この仕組みのために、「DDoS攻撃が発⽣した直後に、接続業者が発信源のサーバーを特定。その情報を業者間で共有し、犯⼈のサーバーからの攻撃指令を⼀⻫に遮断する。国内の有⼒な接続業者が連携して実効性を⾼める。」というのが、その手法ということになります。
この記事にも書いてありますが、「電気通信事業法では通信の秘密の保護がうたわれており、攻撃を起こすサーバーの情報の業者間での共有は進んでいなかった。」のですが、ガイドラインを年明けにまとめて、電気通信事業法などの法改正も検討する、ということだそうです。
電気通信事業法の通信の秘密を犯す行為については、同法4条において(秘密の保護)のタイトルのもと
(秘密の保護)
第4条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。
となっています。
DDoS攻撃が発⽣した直後に、接続業者が発信源のサーバーを特定した場合に、このサーバーの情報は、上の「他人の秘密」ということになるわけですが、現在の解釈では、「電気通信事業に従事する者に関する第1項の適用関係を明らかにするとともに、電気通信事業に対する利用者の信頼保持の観点から、電気通信事業に従事する者に対し、第1項よりも広い範囲の守秘義務を職務上の義務として課したもの」という趣旨になります。どちらにしても、このサーバーの情報は、具体的な通信を識別しうる情報なので、通信の秘密とてし保護されるデータとして、この4条の保護のもとにあるということになります。(よく、通信の構成要素をなすデータといわれますが、多分、そういうことだとおもいます)
ところで、このような保護されるデータについては、「「積極的な取得の禁止・窃用の禁止・漏えいの禁止」を意味するものと考えられています。そして、実務的には、「窃用」が、単に「用いること」と同義であると解釈されています。これは、法的な解釈本では、「窃用」とは、自己または他人の利益のために用いることをいう、とされており、公共の利益のために利用することは含まれないと解釈される余地があるのですが、実務(というか、担当課的には)そのような余地を認めない、むしろ、そのような行為は正当業務行為の解釈で対応する、というようにされていました。
でもって、ちょっと時代を遡ってみる(このごろ、こればっかり)、2004年3月にコンピュータソフトウェア著作権協会(ACCS)にDos攻撃が仕掛けられたわけですが、これがわかるのに、プロバイダーは、通信を届けて、攻撃に加担しなければならないのですか、という問題が出てくるわけです。
正当業務行為でもって、問題が起きるごとに、プロバイダーで法的許容性について議論したり、場合によっては、担当課に相談したりするということでは、とてもじゃないけど、実務的には回らなくなります。そこで、事前に許容される行為が検討されるといいねという感じに思えます。ただ、そのときには、「そうはいっても、結局、憲法の「通信の秘密」が同じ内容だとして、鎮座しているからねえ」ということで、実務規範的なものを事前に鼎立するというのは、不可能な感じでした。
私としては、ちょうど、「通信の秘密」が世界でも特別の規定とかいう話をきいて、なんか変だよねということで、ちょっと調査をして「ネットワーク管理・調査等の活動と『通信の秘密』」(JAIPAのHP内に掲載)・「通信の秘密の数奇な運命(憲法)」 (情報ネットワーク法学会誌第5巻(2006 年 5 月))という論考にまとめさせていただきました。
まさにそのような議論を背景に、ISP同士で、攻撃者の情報を共有することはどうなのか、というのは、2005年のInternet weekで議論されています。
このような動きのもと、プロバイダのホワイトリストを作りましょうという動きになり、「電気通信事業者における大量通信等への対処と通信の秘密に関するガイドライン」(初版 2007 年 5 月 30 日(非公開)とつながったと理解しています。
そのような議論の提起から、既に10年以上が経過しています。いまでは、いわゆる大量通信等ガイドラインも「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン」と名前を変えており、「通信の秘密」の解釈についても、かなりの程度、柔軟に対応されるようになってきました。
DDos攻撃に際して、プロバイダーがどのように対処をなすことができるかについては、サイバー攻撃等への対処ガイドラインに記載がなされています。
(1) サイバー攻撃等に係る通信の遮断については、被害者から申告があった場合、事業者設備に支障が生じる場合、送信元設備の所有者の意思と関係なく送信されるサイバー攻撃等の場合に遮断が認められています。
(2) 送信元詐称通信の遮断、(2) 送信元詐称通信の遮断、(4) マルウェア等トラヒックの増大の原因となる通信の遮断が、正当視業務行為として認められるとされており、また、(7) サイバー攻撃等への共同対処においても「情報提供を受けた電気通信事業者において当該特性に合致する通信を遮断してよいとされています。
今回の記事は、仕組みとしては、このガイドラインで許容されている枠組みをむしろ、公認し、積極的に推進しようという位置づけであるように思えます。そうだとすると、このようなセキュリティのための活動にも、予算とかがきちんと付くのでしょうか。非常に賢明な判断ということになるかもしれません。
あと、「電気通信事業法などの法改正も検討する」ということですと、どのような改正になるのでしょうか。興味しんしんというところでしょうか。私が「いいだしっぺ」であることは、みなさん、認めてくれるでしょうから、フォースの力で論文を書いたということを認めてもらえるかもしれません。