「対ボットネットの法律問題」というのは、結局、関係者が、ボットネット攻撃に対して、法的に、何ができて、何ができないか、また、何をしなければならないのか、という問題ということができるでしょう。
関係者
ここで、関係者といった場合に、ISPや法執行機関、学術研究者、企業、政府機関などがあげられることになります。ちなみに、Liis論文でも、これらについて検討しています。
これらの関係者は、大きくわけると、政府（法執行機関、その他の政府機関）、インターネット中間者、民間（研究者、セキュリティ企業、被害企業）にわけることができると思います。
可能な行為
何ができるか（何ができないか）というのは、具体的には、攻撃者にたいしての積極的な反撃行為、積極的な情報取得行為、消極的な情報取得行為などの問題があります。この点について検討しておかなければならないのは、強制力は国家が独占しているという原則ということになります。要は、自力救済（redress）は、原則として禁止されており、例外的な場合に限って許容されるということです。これは、国際的な関係でも適合します。外国に対するサイバー力の行使（この概念自体、また別個の議論を必要としますが）は、その他国の主権の侵害等に問われることがあるというのが一般理論になります。
「強制力が国家が独占している」という原則は、（１）国家が、独占して行使しうる強制力というのは、どのようなもので、法執行機関、諜報機関および軍隊は、いつ、どのような行為をなしうるのか、また、それらの法的な位置づけはどのようなものか、という論点　（２）ＩＳＰや民間が、いろいろななす行為は、「強制力」の国家独占の原則との関連で、禁止されているのに該当するのではないか、また、逆に、許容される場合は何か、という論点を含むことになります。
（１）の論点は、捜査権限の問題であり、私の論文でいうと、リーガルマルウエアの問題も含まれてくることになります。
（２）の論点は、防衛行為の許容性の問題、また、許容される場合に注目した場合には、アクティブサイバー防衛の問題になってきます。
関係者の義務と責任
何をしなければならないのか、というのは、なすべき作為義務という観点と、それを怠った場合に損害が生じた場合の責任という観点から、分析されるということになります。
このように問題点のマッピングをしたのちに、すこし、順番を変えて、関係者の義務と責任の観点から、問題点についてのドイツの立場をLiis論文をみながらふれていくことにしましょう。