ワールド経済フォーラムの「サイバー犯罪防止-ISPの原則」(1)に引き続いて、報告書を見てみます。
まずは、原則1(消費者保護のための共同行動の原則)(8頁以下)です。
広範囲に及ぶサイバー攻撃から消費者をデフォルトで保護し、既知の脅威を特定して対応するために仲間と協力して行動する。
この原則の意味する克服すべき課題(challenge)とは、ISPの重要な役割、脅威情報の共有を増加することによって、消費者の保護をデフォルトにすること、犯罪者がボットネットから消費者から財を奪い、莫大な利益を上げていること、それらのコストは、ISPによってになわれていること、があげられています。
この原則の有するインパクトとしては、
- マルウエアが消費者の機器に到達するのを防止することはボットネットの拡大を防止し、消費者とIPSのコストを削減すること
- 広範囲に広がる脅威とその対処方法に関する情報を ISP コミュニティ全体で共有することで、より包括的な対応が可能になり、犯罪者が攻撃を成功させることがより困難になること
- 集団的なレジリエンス(回復力)を構築し、攻撃の拡大や消費者や経済への影響を防ぐ可能性を高めること
この原則を実際に行うためには、何をブロックして、何をブロックすべきではないか、というのが問題なにります。
同報告書によると種々の国でこの透明性を確保するための努力がなされているとされます。
EUでは、ISPがどのようにして は、オープン・インターネット・アクセス規則の第3条(3)についてENISAが定めたガイダンスを最善に実施することができるか検討する途上である。そのガイダンスでは、国家規制当局(NRA)が、ネットワーク、ネットワークを利用するサービス、またはエンドユーザーの機器のセキュリティを保護するために、特定のトラフィックをブロックするなどのセキュリティ対策をプロバイダが取ることを許可するかどうかが許諾されるか。また、消費者は、攻撃から身を守るために ISP が行っている活動を認識し、必要に応じてオプトアウトする機会を持つ必要があります。
とされています(1.3.1)。
ここで、ENISAのガイドラインというのは、“Guideline on assessing security measures in the context of Article 3(3) of the Open Internet regulation”になります。
そもそも、Open Internet regulation (Regulation (EU) 2015/2120))というのは、ネット中立性規則ともいわれています。資料は、こちら。
上の3条(3)となっていますが、そのパラ1は、ISPは、・・差別、制限及び干渉なしに、かつ送信者、受信者、アクセスされ配信されるコンテンツ、利用され提供されるサービスにかかわらず、全てのトラフィックは同等に扱われなければならない(第3条(3)1パラ)としています。ただし合理的なトラフィック管理を実装することができるとされ、合理的なトラフィック管理とは、透明的で、非差別的で、比例的であり、また商業的考慮ではなく特定のトラフィック・カテゴリーの客観的に異なった技術的なサービス品質要件に基づくものされています。そして、この例外的なケースは、a)EUの法律及び国内法の遵守のため、b)ネットワークのセキュリティのため、c)同等なトラフィック・カテゴリーが同等に扱われる場合、ネットワーク混雑の発生を回避し、例外的なあるいは一時的なネットワーク混雑の影響を緩和するために特別に実施されるケースがあげられています。
ちなみに前文(14)は、
“ (14) 第二に、悪意のあるソフトウェアの拡散により発生するサイバー攻撃やスパイウェアの結果として発生するエンドユーザのなりすましを防止するなど、ネットワークの完全性と安全性を保護するために、このような合理的なトラフィック管理措置を超えるトラフィック管理措置が必要となる場合があります。”
として、合理的なトラフィック管理を越えた性質を有していることをみとめているのは、興味深いものといえるでしょう。
このENISAのガイドラインというのは、上の「b)ネットワークのセキュリティのため」という要件を分析するものです。 具体的には、
- セキュリティ対策が正当か否かを理解するために、NRA が考慮すべき評価要因のリスト。
- NRA が対策の正当性を評価する際に使用することができる評価チェックリスト。
- セキュリティ対策に関する情報をプロバイダーから収集するために、NRA が使用することができる正当化書式。
このセキュリティ例外の範囲については、BERECの推奨事項(BEREC Guidelines on the Implementation by National Regulators of European Net Neutrality Rules)が分析をしています。
この推奨事項の21頁は、攻撃の態様、トラフィック管理のための手法があげられています。(詳しくは省略)
ENISAのガイドラインに戻ります。同ガイドラインは、3.1で、セキュリティリスクなどについての評価要素をあげています。具体的には、
- セキュリティリスク
- 効果
- 比例原則
- 適切性
があげられています。
同ガイドラインの3.2は、評価チェックリストです。
同ガイドラインの3.3は、正当化チェックリストです。NRAがセキュリティ手法について情報の提供をうけることができるものとされており、その場合のプロバイダーの内部情報収集用の資料として用いることができるとされるものです。
ガイドラインの添付資料Aには、
- ミライボットネット対応のための7547番・5555番のポートのブロッキング
- 161番ポート、162番ポートのブロッキング
の例が紹介されています。
ということでENISAのガイドラインを全部見ましたが、それだけ興味のある報告書だといえるでしょう。
ここで、WEFの報告書に戻ります。報告書は、大多数のISPがデフォルトで消費者を 客観的に有害なサイトから保護することを選択した場合には、 世界全体がサイバー攻撃によって 被る被害を減少させることができるとして
- 提言1:消費者を守るために 既知のサイバー攻撃からデフォルトで保護すること。 消費者にそのような努力が知らされること また、必要に応じてオプトアウトする機会を持つことができることを確かにする。
- 提言2:ピアー、国内および超国家的な規制体と協力して、 デフォルトで消費者を共同して守るために最適な方法を決定するために 連携すること。必要に応じて、新しい 監督機構と規制 フレームワークを定義することに協力すること。
を提案しています。
この原則1は、我が国の文脈でいえば、「永遠のビギナー」を守るのをデフォルトにしましょうという提言と同義といえるかもしれません。ただし、そのために世界的な規模での監督機構等を提案しており、さすがWEFという感じがしますね。
