サイバーセキュリティの法整備について|サイバーセキュリティ.com

サイバーセキュリティの法整備について



前回、サイバーセキュリティに関する法整備が進んできた、という近況をご紹介いたしました。引き続き、今回はサイバーセキュリティの法整備に関してご紹介していきたいと想います。

ただ、私は法律の専門家ではありません。おそらく、サイバーセキュリティ.com読者の皆様の多くも法律の専門家ではないかと思います。そのため、技術者としてどのような実務的な配慮をするべきか、といった話題が中心となりますこと、ご了承ください。

 法整備の実例と運用について

1996年、警視庁がベッコアメ・インターネットをわいせつ図画公然陳列容疑で家宅捜査、写真を掲載した男性を逮捕する出来事がありました。これが日本でインターネット上での行為が摘発された初めての事件であると言われています。その後、ネットワークを経由した犯罪が増加・多様化し、2000年、不正アクセス禁止法がそれに対処するために制定されました。

不正アクセス禁止法は2012年に改正され、フィッシング行為が処罰対象となりました。IDとパスワードをだまし取るために偽のSNSサイトを設置した学生が、その初摘発となったことは、覚えている読者もいらっしゃるのではないでしょうか?

サイバーセキュリティの法整備の軸としては、このように不正アクセス禁止法が運用され、改正を加えられてきました。そのほか、以下のような法律がサイバーセキュリティに関連して運用されています。

  • 刑法
  • 著作権法
  • 電気通信事業法電子署名及び認証業務に関する法律
  • 電子署名に係る地方公共団体の認証業務に関する法律
  • 電波法
  • 特定電子メールの送信の適正化等に関する法律
  • 不正アクセス行為の禁止等に関する法律
  • 有線電気通信法

実際の運用の事例としては、総務省の「国民のための情報セキュリティサイト」に詳しく解説されていますので、ぜひ、いちどご覧ください。

【国民のためのサイバーセキュリティサイト – 総務省】
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/index.html

 罰則の具体例について

さて、自ら不正アクセスに手を染めるなど、明らかに処罰の対象となる行為は、サイバーセキュリティ.com読者の皆様は行うはずはないと思います。そのため、まず気になる点としては、不正アクセスを防ぎきれなかった場合などに、どのような法律上の罰則などが存在するかだと想います。

まず、不正アクセス禁止法に絞ってご紹介を続けます。不正アクセス禁止法では、アクセス管理者の努力義務として、不正アクセス行為を防御するために以下の様な対策が求められています。

  1. ID・パスワード等の適正な管理
  2. アクセス制御機能の高度化
  3. 不正アクセス行為からの防御措置

これらはこうしなければならないといった細則を定めたり、罰則があったりする規定ではありませんが、システム管理者の防御措置は義務である、とご理解ください。

 ログ分析による事件摘発の実例とその重要性

2013年、和歌山県警捜査1課と生活環境課が、大阪・和歌山両府県警のウェブサイトなどに殺害予告などを書き込んだ学生を摘発する事件がありました。この際、県警の捜査員は、海外の複数のサーバを経由して通信経路を分かりにくくする匿名化ソフト「Tor(トーア)」の通信履歴(ログ)を、実に数億行も解析して行動を明らかにしたと語ったと報道されています。従来、システムのログはサイバーセキュリティが侵害された場合の手がかりとして有用であると言われてきましたが、ログの分析が表立って語られることは珍しく注目を集めました。

ところで、ログの保管は、古くから現場のシステム管理者のすべきことの重要項目としてあげられてきました。システムのログを集めることは、サイバーセキュリティの観点からはどのように有用なのでしょうか?

ひとつは、ご紹介の事例のように、不正アクセスが発生した場合の手がかりとして活用することができます。
いつ、誰が、どのように不正アクセスを行ったのか、どのような攻撃を受けたのかを記録しておくことで、もろもろの調査を助け、場合によっては自社へのあらぬ疑いを避けることに役立つ可能性があるといえるでしょう。

また、今後、刑法などにおける証拠として、様々なシステム上のデータが採用されていくことになれば、ログはさらに重視されることになると思われます。

もっとも、現在の一般的な捜査でも、証拠の取り扱いは極めて厳正さを求められることから、仮に、今後、ログが証拠として採用されることが一般化してきた場合には、その取り扱いや正しさなどについても、あらためてルール化がなされ、それに耐えうる技術的な保管がなされるようになると言われています。

サイバーセキュリティ.com読者の皆様としては、当面、できうる限りの注意や配慮をもって、ログの保管などを心がけていただければと思います。次回は、再び、サイバーセキュリティの攻撃手法についてお話しできればと思います。


SNSでもご購読できます。