歩いてわかった日本の デジタル・フォレンジックの現状 行政書士グラウクス法務事務所 代表行政書士 村島 唯朗 行政書士がなぜ デジタル・フォレンジックを語るか デジタル フォレンジックを語るか 8ビット時代からのパソコンユーザーだった 子ども時代 ↓ 高卒後 勤労学生として数社のIT 高卒後、勤労学生として数社のIT 高卒後、勤労学生として数社の 勤労学生として数社のIT系企業を 系企業を 渡り歩く (ユーザーサポート、ヘルプデスク等) 卒業後に感じた疑問 完成した製品を扱う仕事しかしていない ↓ ソフト開発、ハード設計、ネットワーク構築 いずれもできない ↓ tweener”” なんでは・・・? 自分は “tweener (注: tweener “between between””から出た言葉。バスケットボールの用語で、どの ポジシ ポジションにいても中途半端な選手のこと) も中途半端な選手 と) 情報セキュリティとの出会い 「情報セキュリティアドミニストレータ」という 資格の存在を知る ↓ 「これから必要とされる!」と直感 ↓ 受験・合格 ↓ 個人情報保護法に、法律の重要性を見出す 「フォレンジ ク」との出会い① 「フォレンジック」との出会い① 「情報セキュリティアドミニストレータ」資格で 用いられた「フォレンジ ク コンピ 用いられた「フォレンジック・コンピューティング」 ティング」 という用語が「フォレンジック」との出会い ↓ 情報セキュリティにおける「フォレンジック」の 意味を見出すこととなる ↓ 私の中で「フォレンジック」は「情報セキュリティ」 における重要な 概念となる における重要な一概念となる 「フ レンジ ク との出会い② 「フォレンジック」との出会い② 「フォレンジック」 =法的な ↓ 「法的資格が欲しい」 ↓ 比較的容易な行政書士を受験、合格 フ レンジ ク業務 の意欲 フォレンジック業務への意欲 行政書士としてひととおりの仕事をこなすも、 行政書士としてひととおりの仕事をこなすも 情報セキュリティおよびデジタル・フォレン ジックへの意欲はおさまらず、異業種交流会 などで話題に出してみる ↓ 多くは という反応 歩き始める 市場調査を兼ねて 飛び込み営業を始める 市場調査を兼ねて、飛び込み営業を始める (エリア別、1 ((エリア別、 リア別、1日あたり 日あたり40 あ り40~ ~50 50件) 件) ↓ 9割以上は話もさせてもらえず (どうやら 「士」と付く人とは1 (どうやら、「士」と付く人とは1 (どうやら、「士」と付く人とは 「士」と付く人とは1人と付き合いが あれば良いと思っている様子) IDF公式の IDF公式の デジタル・フォレンジック① デジタル フォレンジック① IDFオフィシャル見解 IDFオフィシャル見解 「インシデント・レスポンスや法的紛争・訴訟 インシデント ポン や法的紛争 訴訟 に対し、電磁的記録の証拠保全及び調査・ 分析を行うとともに 電磁的記録の改ざん 分析を行うとともに、電磁的記録の改ざん・ 毀損等についての分析・情報収集等を行う 一連の科学的調査方法・技術を言う」 『デジタル・フォレンジック事典 デジタル フォレンジ ク事典』 デジタル・フォレンジック事典』 ク事典』より 法廷闘争 証拠収集終了 証拠保全 インシデント発生 IDF公式の IDF公式の デジタル・フォレンジック② デジタル フォレンジック② アメリカ式裁判の証拠の扱い ディスカバリ 出 出せるだけの証拠は予め出しておく(Dis 出せるだけの証拠は予め出しておく( る け 証拠 予 出 おく(Dis-Coverしておく) Cover しておく) 裁判官・陪審員の判断を仰ぐ 裁判官 陪審員 判断を仰ぐ ※デジタルデ デジタルデータに関するディスカバリ タに関するディスカバリ →e-ディスカバリ 連邦証拠規則(アメリカ) 科学的・技術的・その他特別な知識が陪審員の証 拠に対する理解または争点の明確化に寄与すると き、知識・技能・経験・訓練・教育をもって専門家と しての資格を有するならば 意見またはその他の しての資格を有するならば、意見またはその他の 形によってこれを証拠とすることができる。ただし、 (1)証拠が充分な事実 (1)証拠が充分な事実、または資料に立脚している (1) 証拠が充分な事実 または資料に立脚している 証拠が充分な事実、または資料に立脚している こと(2) こと (2)証明が信頼できる法則または方法に基づい 証明が信頼できる法則または方法に基づい ていること(3) ていること (3)証人が事案の事実について信頼でき 証人が事案の事実について信頼でき る方法で法則や方法を適用していることを要する 法 法 法 要す (拙訳 拙訳)) つまり まり 連邦証拠規則によると 専門家の意見 専門家の意見≒ ≒物的証拠 日本式裁判 物証主義(デジタルデータは印刷して出 すしかない) 基本的に裁判官のみの意見で決まる →裁判官のデジタル的知識は 大丈夫かな? 緻密なデジタルデータを出すより、普段から まじめにマネジメントに取り組んでいると アピールした方が心証が良いのでは? ア 方 心証 良 →日常からのデジタル・フォレンジック 法廷闘争 記録の収集 証拠収集終了 フォレンジックな ジ クな 証拠保全 日頃からの インシデント発生 私の考える デジタル・フォレンジック② デジタル フォレンジック② 以上を基にした日本の デジタル・フォレンジックの実情 のひとこと 中小企業における 情報資産の取扱 ユーザー切り替えもなくPC使い回し ユーザー切り替えもなくPC 使い回し 分類されず山になっているUSB 分類されず山になっている 分類されず山 な るUSBメモリ メモリ リ (おそらく)プリントアウトした紙といっしょに 入り 入り口に段ボール箱に詰め込んで放置され 段ボ 箱 詰め込ん 放置され ている光学ディスク 中小企業における 「仕事」のあり方 仕事」のあり方 使い回しのPCで、個人情報検索・ネット 使い回しのPC で、個人情報検索・ネット 参照を行いながら「うち 個人情報ないんで」 参照を行いながら「うち、個人情報ないんで」 のひとこと 法律と都条例の違い 法律→過去半年間のうち、扱っている個 法律→ 過去半年間のうち 扱っている個 人情報の数が1度も5000件を越えな かった事業者は除外 条例→ 条例 →件数による除外なし 即ち、都の個人情報保護条例によると、 全 全ての事業者は個人情報取扱事業者 事業者 個 情報 扱事業者 中小企業の業務進行の実態 個人所有のノートPC、スマホで業務を持ち帰 個人所有のノートPC PC、スマホで業務を持ち帰 スマホで業務を持ち帰 るのは当たり前 荷物持ち込みを禁じるなど、比較的注意して いる会社でも インタ ネット使い放題→ いる会社でも、インターネット使い放題→ いる会社でも、インターネット使い放題 ネット使い放題→アッ プローダを使えば仕事を持ち帰るのは容易 情報セキュリティ6 情報セキュリティ 6大要素 機密性(Confidentiality) 機密性( 完全性( 完全性 完 性(Integrity) 性( g y) 可用性((Availability) 可用性 真正性(Authenticity) 真正性 (Authenticity) 責任追及性(遡及説明可能性) (Accountability) ( y) 信頼性(Reliability) 信頼性 (Reliability) 中小企業の情報担当者 専門の部署はなく、他の担当と兼務(それ 自体は問題なし) 順 順調に回っているころはごく僅か 情報担当者(「実質的な」担当者を含む)は、 多くの場合あまり相応しくない ※実質的な担当者・・・正式に決まっているわけ ではないのに、なぜかPC ではないのに、なぜか PC系トラブルがあったら 系トラブルがあったら その人のところに話が行 てしまうという存在 その人のところに話が行ってしまうという存在 実質上の担当者の2 実質上の担当者の 2類型 ①周囲の人間があまりにコンピュータ知識が なさ過ぎて、小さなこと(例・ (例・MS MS--Office Officeの小技など) の小技など) を知っているだけで、PC を知っているだけで、 PCのことならあいつに のことならあいつに 聞けという位置にされてしまった人 (古い会社で、年配の従業員の中で1 (古い会社で、年配の従業員の中で 1人だけ 若い、というケースが多い) ②いわゆる「パソコンオタク」 確かに詳しいが ②いわゆる「パソコンオタク」。確かに詳しいが、 知っていてはいけない知識も多い 「実質上の担当者」が存在する 企業の共通点 「情報の問題」=「コンピュ タの問題」としか 「情報の問題」=「コンピュータの問題」としか 考えていない 法律を扱う人間がもっと努力するべきか? 情報取扱の法的側面について説明不足、 あるいは法律を取扱う人間自身が考えて いない? 半年間の飛び込みの後・・・ 何らかの接点を持った会社にアポなし突撃 PマークあるいはISO27001 マークあるいは クある ISO27001認証取得会社 認証取得会社 は対象外 ホ ムペ ジ ホームページに、情報に関する記載がない 情報 関する記載がな ところ、あっても薄いところを中心に 条件に合えば、IT 条件に合えば、 IT系企業にも訪問 系企業にも訪問 情報の取扱の記述が薄い会社 (特にIT (特に IT系)の共通点 系)の共通点 認証取得に挑んで 失敗した経験がある 認証取得に挑んで、失敗した経験がある 情報セキュリティポリシーを厳格化して認証 情報セキ リティポリシ を厳格化して認証 の取得に挑むも、挫折(中にはカードキーの 導入など設備投資したにもかかわらず挫折 した会社も) その結果 結 情 情報セキュリティがトラウマ化 が 予算カットはセキュリティから ここで発生した新たな疑問 「情報セキュリティポリシ-」「情報セキュリ 「情報セキュリティポリシ 」「情報セキュリ ティ関係認証取得」を商品にしている私 しかし、「情報」とはなんなのか? この点を曖昧にしたまま 「情報化社会」が この点を曖昧にしたまま、「情報化社会」が 謳われ、認証制度ができ、e 謳われ、認証制度ができ、 e-Japanが進め Japan p が進め られようとしていないか? それまでの私の「情報」観① 言及(datum) 言及(datum) DATA 対 象 物 言及(d 言及(datum) ) 言及(datum) 言及(datum) 言及(datum) 言及(datum) それまでの私の「情報」観② DATA KNOWLEDGE DATA DATA DATA DATA DATA DATA それまでの私の「情報」観③ KNOWLEDGE INFORMATION 市場 知的財産権 知的資産 経営理念 人材 技術力 社員教育システム 仕入れルート 仕入れル ト 販売チャンネル 人脈組織力 企業間提携 社会的信用 等 知的財産 発明・考案その他の知的創作 ブランド ビジネスモデル 営業秘密 ノウハウ 等 知的財産権 著作権 産業財産権 育成者権 等 知的財産権の種類 知的創造物についての権利 創 物 権 発明を保護 出願から20年(一部25年に延長) 特許権(特許法) 実用新案権 (実用新案法) 物品の形状等の考案を保護 出願から10年 物品のデザインを保護 登録から20年 意匠権(意匠法) 文芸 学術 美術 音楽 プログラム 創作時から死後50年 法人は公表後70年 映画は公表後70年 著作権(著作権法) 回路配置利用権 (半 導体集積回路の回路配置に関する法律) 育成者権(種苗法) 半導体集積回路の回路配置の利用を保護 登録から10年 植物の品種を保護 登録から25年(樹木30年) (技術上、営業上の情報) 営業秘密 (不正競争防止法) ノウハウや顧客リストの盗用など、不正競争行為 を規制 知的財産権の種類 営業標識についての権利 営業標識 権 商標権(商標法) 商品・サービスに使うマークを保護 登録から10年 商号 (会社法、商法) 商号を保護 商品等表示・商品形態 (不正競争防止法) 以下の不正競争行為を禁止 ・混同惹起行為 混同惹起行為 ・著名表示冒用行為 ・形態模倣行為(販売から3年) ・ドメイン名の不正取得等 ・誤認惹起行為 ←この色が産業財産権 個人情報の扱い方 Propertyとして 扱う Liability rule による 資産 財産 資産、財産 事後的救済 EU式 アメリカ式 日本の「個人情報」に対する対応 「国際標準」としてのEU方式の取り入れ 「国際標準」としてのEU 方式の取り入れ のみを考えた 国益の変動・産業の生産性は眼中になし PDCAサイクル PDCA サイクル PLAN DO 情報取扱の 計画を 綿密に行う 計画と 齟齬がないよう 慎重に実行する 情報 ACT CHECK 問題点を 発見したら すぐに対策する 計画と実行に 相違点がないか 細かく調べる 日本式「ルール」のあり方 ルールを制定する ルールが守られていないという事実が 露わになる ルールを棚上げし、「暗黙のルール」で 運営する 例:「実質的な情報担当者」 大手コンサルティング会社の コンサルティング料① ポリシー作成 →最低価格 最低価格120 120万 万 →最高価格 最高価格300 300万 万(ふざけんな!) (当事務所調査) いずれも 「最低価格」で 見積もりにより いずれも、「最低価格」で、見積もりにより これ以上上乗せ 大手コンサルティング会社の コンサルティング料② 認証取得支援において あらかじめ金額 認証取得支援において、あらかじめ金額 を提示した会社は 1社もなし!!! 社もな つまり、言われるがまま払うしかない 「強み」としての認証① プライバシーマークまたは プライバシ プライバシーマークまたはISO27001 マ クまたはISO27001 クまたはISO27001認証取得が 認証取得が 条件の公開入札 ・日本小型船舶検査機構 受検案内印刷印字発送業務 平成23 平成 23年 年 ・広島国税局 広島国税局管内一元化対応LAN配線等工事の委託業 務 平成 平成21 21年 年 ・厚生労働省労働基準局 厚生労働省労働基準局 「労働時間等の設定の改善の促進を通じた仕 労働時間等の設定の改善の促進を通じた仕 事と生活の調和に関する意識調査」 平成 平成22 22年 年 ・岩手県 平成19年度総務事務センター労働者派遣業務 平成19年度総務事務センタ 労働者派遣業務 ・奈良市 戸籍電算化システム導入業務 平成22 平成22年 年 ・つくば市 小中学校教育用コンピュータ(賃借)導入 平成 平成22 22年 年 ・旭川市 旭川市道路管理システムデータ補正業務委託 平成 平成22 22年 年 「強み」としての認証② ・沖縄県 沖縄県 教員免許状原簿情報のデ 教員免許状原簿情報のデータベース構築(パンチ入力等)に タベ ス構築(パンチ入力等)に 係る業務委託 平成 平成20 20年 年 ・預金保険機構 預金保険機構の給与計算業務 平成 平成22 22年 年 ・新潟県 平成 平成22 22年度産業廃棄物管理票交付等状況報告書電算入力 年度産業廃棄物管理票交付等状況報告書電算入力 業務 ・佐倉市 国民健康保険被保険者証(カードタイプ)等の印刷 平成 平成22 22年 年 ・大阪市住宅供給公社 未納のお知らせ等作成等業務 平成23 平成23年 年 ・宮城県 環境情報共有システム構築事業「みやぎ環境情報共有システ 境情 築事 「 ぎ 境情 ム」に係る機器設備等提供及び運用管理(ホスティング)業務 平成22 平成22 年 ・大阪市立大学 大阪市立大学医学部附属病院 病院情報システム運 用管理業務委託長期継続 平成 平成23 23年 年 ・日本銀行 システム運用業務の作業支援(日本橋センター)に関する業 務の委託 ・独立行政法人都市再生機構 平成 22 22年度人事システムの改修業務 年度人事システムの改修業務 「強み」としての認証③ ・安城市家屋管理図作成業務委託 安城市家屋管理図作成業務委託 平成21年度 ・三重県 脆弱性診断委託業務 平成21年 独立行政法人統計センタ 政府統計共同利用システム運用・保守業 政府統計共同利用システム運用 保守業 ・独立行政法人統計センター 務 平成23年 ・大東市 基幹系システム再構築 平成22年 ・農林水産省 「品種登録迅速化総合電子化システム」及び「品種登録 予備審査促進データベースシステム」のプログラム修正業務 平成23 年 ・北海道 循環資源・リサイクル製品情報ネットワーク支援システム保守 管理委託業務 平成19年 ・福井市 家屋経年異動判読・現況データ整備及び地目照合等業務 平成22年 ・諫早市 電子入札コアシステムアウトソーシングサービス提供委託業 務 平成22年 ・独立行政法人 日本貿易振興機構 平成22年度ドキュメントサービス (大量コピー、出力、製本等)業務一式 平成21年 認証制度の本来の意義 元来は「情報の扱いがきちんとしている」の 証明であったはず 「データ(特にデジタルデータ)」は、管理 不行届きによりCIA 不行届きにより CIAが簡単に失われる が簡単に失われる 「情報を」管理することは、必要かつ有用 情報を」管理することは、必要かつ有用 しかし 現代日本の「情報」観① 情報をコンピュ タに載せて有用性を得る 情報をコンピュータに載せて有用性を得る ことにしか注意が払われていない→ ことにしか注意が払われていない →情報 イコールコンピュータと思っている トラブルが起きたら 弁護士に頼めばいい トラブルが起きたら、弁護士に頼めばいい →情報イコール物理的な資産と同じと思わ れている 現代日本の「情報」観② 法=トラブルの領域 接点なし 情報=コンピュータの 領域 よく見られた「情報」観 Q・情報事故が起きたらどうしますか? A・(コンピュータを不正使用した)相手を訴 ( ン タを不 使用 )相手を訴 える Q・情報事件はコンピュータだけにも限りま 情報事件は ピ タだけにも限りま せんし、相手もいない場合もありますよ A・国に何らかの救済を求める 第三者被害が発生した場合 大量流出 企業 同情 個人 デジタルデータの特徴 紙ベースでは 紙ベ スでは 考えられなかった 大量の情報漏洩を 引き起こす 情報を 預ける 一時的被害者 個人情報漏洩の流出事件の際の 「個人」たちの反応の例 個人」たちの反応の例 「被害者の会」の結成 情報管理者への責任追及 情報管 者 責任追及 だけど、あなたは言えるほど個人情報を きちんと扱 ていますか? きちんと扱っていますか? 日本人は 概念をきちんと 日本人は、概念をきちんと 持っていないのでは?① 「情報」とは? 「プライバシー」とは? ライ シ 」 「個人情報」とは? ハッキリしないまま ビジネスチャンスの拡大 顧客からの信頼 を売りに、認証制度が運営されている 日本人は 概念をきちんと 日本人は、概念をきちんと 持っていないのでは?② 個人情報 プライバシー これの管理が これの管理と 思われてしまう 国等による情報管理 反対論者への疑問 反対論者 の疑問 そういうあなたは 自己防衛はできています そういうあなたは、自己防衛はできています か? 個人情報しか眼中にないようですが、他の 情報に関して あなたは普段どう扱 ていま 情報に関して、あなたは普段どう扱っていま すか? 情報媒体、情報機器等に対し、誰がどう 責任を取 ていますか? 責任を取っていますか? デジタル・フォレンジック以前に 「情報」とは何か という点に 曖昧なコンセ 「情報」とは何か、という点に、曖昧なコンセ ンサスすらもない 「情報を扱っている」という自覚もない →いま正にデータを扱いながら「うちには ま デ タを扱 ながら「うち は データないんで」と言えてしまう デ タないんで」と言えてしまう いま必要なこと 「情報」の持つ価値と その意味について 「情報」の持つ価値と、その意味について コンセンサスを形成する それをしないと EU型にもアメリカ型にもなれない 型にもア リカ型にもなれな では「日本型」はあり得るか? 可能性はある しかし、慎重にならないと「property しかし、慎重にならないと「 、慎重 ならな property型」と p p y型」 y型」 型」と 「liability rule型」の都合のいいところを rule型」の都合のいいところを 関係者各人が主張するという事態に 不毛地帯 情報への関心は「認証取得で ビジネスチャンスを」だけになってしまう デジタル・フォレンジックの意味? 「法的紛争・訴訟」とは、propertyを損なった 「法的紛争・訴訟」とは 「法的紛争・訴訟」とは、property propertyを損なった ことによるもの?liability ことによるもの? liability ruleによる事後 ruleによる事後 救済を求めてのもの? アンケ トを採ったら property説が多く アンケートを採ったら、property アンケートを採ったら、 property説が多く なるであろう しかし、自分が被害者になったらliability しかし、自分が被害者になったら liability rule的な考え方をするんじゃないか? rule le的な考え方をするんじゃないか? le 的な考え方をするんじゃないか? あくまでも法律的な 考え方をするなら liability rule→ rule→加害者は民事的な責任を負 う property→ property →加害者に刑事的責任を問える property説に立ち刑事、 property 説に立ち刑事 liability 説に立ち刑事、liability li bili rule説に rule l 説に 立ち民事の裁判を行っても、property 立ち民事の裁判を行っても、 propertyは元 は元 には戻らない 現在までの司法判断① 有罪 情報の 流用 無罪 情報の 流用 無罪 無罪 p perty?? prop 情 報 情 情報の 持出し 有罪 lia abilityy rule? 媒体の 媒体 持出し 持出 媒体の 転得 現在までの司法判断② これまでのところ、property説? これまでのところ、property 説? 例1:東京地裁昭和 :東京地裁昭和40 40年 年 機密情報を持ち出 した後複写し 元に戻した→ した後複写し、元に戻した→ した後複写し、元に戻した 元に戻した→窃盗罪(原本の 窃盗罪) 例2:東京地裁平成 :東京地裁平成9 9年 勤務先の情報を勤務 先備え付け用紙にプリントアウトし 持出し 先備え付け用紙にプリントアウトし、持出し (紙の窃盗罪) 「情報」の価値を認めつつも、「モノ」の移動が ないと罪には問えない 現在の司法判断では 正当な利用権限のある人間が 正当な手続 正当な利用権限のある人間が、正当な手続 で複写した情報を持ち帰り、流用しても窃盗 罪には問えない! (ただし 不正競争防止法などにより保護される (ただし、不正競争防止法などにより保護される 可能性はあり) つまり 法律そのものが、情報の取扱に対する 明確な方針を打ち出せていない もし現状で中小事業者が 情報事故に巻き込まれたら 普段からきちんと情報を管理していない デジタル・フォレンジック、デジタルデータの 証拠保全及び分析なんて できるのか? 証拠保全及び分析なんて、できるのか? できたとしても誰がどのようにその正当性を 証明するのか? すると、やっぱりまず・・・ 「情報って何?」から始めるしかない property型を突き詰めれば、「スパイ防止法」 property p p y型を突き詰 y型を突き詰 型を突き詰めれば、「スパイ防止法」 れ 、 イ防 法」 的なものが制定される?(しかし、法曹界から の反対は強い) property型では、刑事責任及び重い民事責 property 型では、刑事責任及び重い民事責 任を情報管理者は負うことになる 敢えて ディストピアとしての 敢えて、ディストピアとしての property型社会の妄想 property 型社会の妄想 企業等にとって情報の取扱に伴う負担は 過大なものに 取扱を誤ると、刑事事件にも発展 民事でも膨大な不法行為責任 民事 も膨大な不法行為責任 被害者の過失は小さく、企業の責任は重く 被害者の過失は小さく 企業の責任は重く →相当の経営体力のある企業でないと、 情報の取扱なんて怖くてできない そして ディストピアとしての そして、ディストピアとしての liability rule型社会の妄想 rule型社会の妄想 情報の価値は非常に軽い 企業等も責任感をあまり感じずに取扱 企業等も責任感をあまり感 ず 取扱 一般市民が情報事件・事故に巻き込まれた ときには 少額 賠償金 終わ ときには、少額の賠償金で終わってしまう しまう もし、アンケートを採ったら 直感的にはproperty型社会に支持が集ま 直感的にはproperty 型社会に支持が集ま る(個人主義) 「個人として扱うのが一番いい」と直感的に は考える しかし「労働者」としての自分に気付き悩む、 しかし 労働者」としての自分に気付き悩む、 かも(よく考えている人なら) 日本的(安易?)な解決策 折衷型 そこそこの責任追及(そこそこの刑事責任、 そこそこの責任追及(そこそこの刑事責任 そこそこの民事責任) 民 責 実例・・・HDD 実例・・・ HDD積み増しを請け負った業者が 積み増しを請け負った業者が 誤 誤ってデータ消失、バックアップがなかった デ タ消失 バ ク プがなか た ということで過失相殺5 ということで過失相殺 という とで過失相殺5割(広島地裁平成 とで過失相殺5 割(広島地裁平成11 11 年) 等いくつかの判決(聞いて下さい) 基本はproperty 基本は property型だが、ある程度の事後救済 型だが ある程度 事後救済 型だが、ある程度の事後救済 (他者占有であっても) そもそもの話 EU型property EU型 property式か property式か、アメリカ型 式か アメリカ型liability 式か、アメリカ型liability アメリカ型liability rule 式か、どっちかを選ばなければいけないわ けでもない →バランス →第三の道の模索 やはり、現状放置はいけない 小さい企業なればこそ・・・? 日本の企業の99%は中小ですよ? 日本の企業の99 %は中小ですよ? 給与所得者の70 給与所得者の 70%も中小企業の人ですよ? %も中小企業の人ですよ? 中小企業に「情報の価値と意味」を知って 中小企業に 情報の価値と意味」を知って もらわないと、日本の産業社会の安定は ないと言 ていい ないと言っていい デジタルデータの特質 大容量で、コピーが容易 メディアが小さく、扱いやすい(隠しやすい) メディアが小さく 扱いやすい(隠しやすい) その場にいなくても、コピ その場にいなくても、コピーが作れる が作れる 以上のような特性を、デジタル・フォレンジッ クの基礎として、中小企業の関係者には学 んでもらう必要がある →市民としての権利であり義務(同時に労働 者という側面があっても) 事後救済するしかなかった 日本の事例 乳幼児検診システムをメーカーに発注した ところ 実際の開発を行った孫請けから 地 ところ、実際の開発を行った孫請けから、地 方自治体の住基データ22 方自治体の住基データ 22万人分弱が流出 万人分弱が流出 (その市の住民全員分) プライバシー権を盛り込んだ新しい個人情 プライバシ 権を盛り込んだ新しい個人情 報保護条例の施行前、旧条例からの経過 措 がな 措置がない間の隙間の事件 隙 事件 →刑の廃止の扱い 市とメーカーは損害賠償で和解 市 損害賠償 和解 市を訴えた3 市を訴えた 3人の市民とも、損害賠償 この事例を考えてみると liabilityy rule的な解決しかなかったことは rule的な解決しかなかったことは 確か しかし 前提にはproperty しかし、前提にはproperty しかし、前提には 前提にはproperty型の考え方が 型の考え方が あるように思われる(事実、3 あるように思われる(事実、 3人に過ぎない けれども訴えている) だけど、たった3 だけど、たった 3人 人・・・本当に情報を 本当に情報を propertyだと考えている人が多いのか? property だと考えている人が多いのか? 請負業者も孫請けにやらせている→ 請負業者も孫請けにやらせている →重要な ものを任された意識はあるのか? 本当にみんながproperty 本当にみんなが propertyだと思っていて、 だと思っていて、 この孫請けに怒りの矢を向ければ おそらく この孫請けに怒りの矢を向ければ、おそらく この会社はひとたまりもない やはり、以上を考えると 日本人の「情報」観は未熟といえる そ そのことによる不利益が、中小企業に よる不利益 、中小企業 向けられている傾向(例:先述の事件) 普段からマネジメントをきちんと行って 普段から ネジメ トをきちんと行 気をつけていればいいはず 気を けていればいいはず ↓ それができれば苦労はない というところで、現状を見ると 潤沢な資金・人員をセキュリティ専門に割け る大企業が、認証取得 同じレベルの情報安全を 中小企業に要求 同じレベルの情報安全を、中小企業に要求 している 自分(私)にはなにができるか 多くの方はproperty型を選ぶはず 多くの方はproperty 型を選ぶはず ↓ 自助努力の必要性を説く EU型とアメリカ型のどちらか、という問題点 EU 型とアメリカ型のどちらか、という問題点 があることを敢えて伝える必要も? 私の勧める「デジタル・フォレンジック」像とも 一致する 認証制度の問題点① 市販本に稀に見られる「CIAのそれぞれを 市販本に稀に見られる「CIA のそれぞれを 点数化し、掛け合わせて3 点数化し、掛け合わせて 3で割って、脆弱性 の点数と重要性の数値をかけてリスク値を 求める」なんて 考えただけで気が遠くなる 求める」なんて、考えただけで気が遠くなる 求める」なんて、考えただけで 考えただけで気が遠くなる よ! しかも、ネット接続とか電気とか、評判とか 信用まで情報資産 本当にそこまでやる必要があるか?本当に 守るべきものが置き去りにならないか? 教科書どおりにやっていると・・・ 多大な労力が必要 ↓ 中小企業でも専任担当者が必要 ↓ 過大な負担 挫折 過大な負担・挫折 ↓ セキュリティがトラウマ化 最近 増えてきた「安い 早い」が 最近、増えてきた「安い、早い」が 売りのコンサルタント 本当に セキュリティポリシーは有効に機能 本当に、セキュリティポリシーは有効に機能 してる?認証のための認証になってない? アフターフォローに不安 アフタ フォロ に不安 本来のあり方だと、 本来のあり方だと 私が思うところの姿 情報を整理・整頓して 情報を整理 整頓して、管理をしやすくする 管理をしやすくする とともに検索性を増して利益を引き出す それを電磁的記録の上に載せ、利便性を 最大限引き出し 同時に外部からの攻撃に 最大限引き出し、同時に外部からの攻撃に 対して記録の残るシステムを構築する(IDF 対して記録の残るシステムを構築する( IDF 公式見解の意味での「証拠」が残るように する) しかる後に、必要なら認証を取る IDFへの期待 IDF への期待 まず「情報」の定義を(『デジタル・フォレン まず「情報」の定義を(『 ジック事典』』索引にも「情報」がない) ジック事典 「責任追及性」のために、デジタル記録の 補完としてのアナログ記録の評価も 会員の皆様には、デジタルな事柄をデジタ ルに詳しくない捜査官・裁判官に伝えられる 言葉を持 ていただきたい(自分がデジタル 言葉を持っていただきたい(自分がデジタル に詳しくなかったら、理解できないかも、とい 詳 、 解 、 う発想) 現実性のある姿(2人の通訳) 一般人への言葉を持つ 開発者 技術者 開発者・技術者 危機的状況 開発者・技術者と 意思疎通できる法律関係者 法律という 誰かがやらなければならない アナログ世界 0011001100110101 0110010101110100 1010110110110101 0101010101101101 0110101110100111 0101101111111111 1110111010101010 1010100110011010 0110101010110101 0101010101010100 1101010101010101 0101010101101010 1010101011111111 0110110110101010 捨てられる技術 IT導入による労力が大きすぎ IT IT導入による労力が大きすぎ、経済の足を 導入による労力が大きすぎ 経済の足を 導入による労力が大きすぎ、経済の足を 引っ張っている状態 OSとアプリの違いを、説明されてもわから OS とアプリの違いを、説明されてもわから ない人がIT ない人が ITに関わらなければいけないかの に関わらなければいけないかの ような状態 諦め ITを捨てたからセキュリティ問題はうちとは ITを捨てたからセキ リテ 問題はうちとは 関係ない、という勘違い 情報資産 01110101010 10101010101 01010101101 01010101010 10101101010 アナログな 紙の情報 どちらも大切な情報資産 ど どちらも捨てがたい も捨 が どちらかを捨てたからと言って 情報事故がなくなるわけでもない JNSA調査による漏洩の媒体 JNSA 調査による漏洩の媒体 「(引用)JNSA2009年情報セキ リティインシデントに関する調査報告書」 「(引用)JNSA2009年情報セキュリティインシデントに関する調査報告書」 ※JNSA=NPO日本ネットワーク・セキュリティ協会 情報漏洩の原因 「(引用)JNSA2009年情報セキュリティインシデントに関する調査報告書」 ※JNSA=NPO日本ネットワーク・セキュリティ協会 JNSA調査による JNSA調査による 漏洩1 漏洩 1件あたりの被害者数 「(引用)JNSA2009年情報セキ リティインシデントに関する調査報告書」 「(引用)JNSA2009年情報セキュリティインシデントに関する調査報告書」 ※JNSA=NPO日本ネットワーク・セキュリティ協会 JNSA調査を踏まえて JNSA 調査を踏まえて アナログ媒体 被害少 件数多 デジタル媒体 被害多 件数少 という傾向が見られる。 すなわち、 どちらを選んでも危険の存在は同じ デジタルな人々に期待したいこと 技術を扱う際に 本当に必要な技術は何? と、一瞬考えて頂きたい ついて行けないユーザーを取り残すことで 技術の進歩を進めていないか? 中小企業のデジタル機器 中小企業のデジタル機器・ 情報への対応 情報 の対応 個人情報保護法完全施行に伴い 対応に 個人情報保護法完全施行に伴い、対応に 追われて新しい技術を学ぶ暇がない・・・まだ 良い方 情報→ 情報 →大会社の大きなコンピュータ 大会社の大きなコンピ 大会社の大きなコンピュータ→ タ→零細 タ→ 企業であるうちには関係ない・・・大方の反応 個人情報がないはずがない企業がついていけていない 「実質的な担当者」の業務量を増やす 仕事持ち帰り・独り残業等のリスクファクターに 3 ※ 個人情報を、検索しやすいように一 定のルールに従って整理したもの。電磁的 記録および紙媒体を含む 現状はIT 現状は ITバブルの負の遺産?① バブルの負の遺産?① 現状はIT 現状は ITバブルの負の遺産?② バブルの負の遺産?② 個人情報は「個人デ タ 以上のレベ で 個人情報は「個人データ」以上のレベルで 持っていないと、あまり利便性がない それも、デジタル化すると利便性が飛躍的に 向上(と言って売った) 本当に便利に使えるのは、下地がある人 のみ( まり ほとんどの人にと ては覚える のみ(つまり、ほとんどの人にとっては覚える ことが増えるだけの結果) とが増えるだけの結果) 現状はIT 現状は ITバブルの負の遺産?③ バブルの負の遺産?③ 情弱(情報弱者)企業を大量に生み出した 解説本と首っ引きでPC 解説本と首っ引きで PCに向かう中小企業の に向かう中小企業の 中核人物たち IT使わない方が早くないか IT 使わない方が早くないか((´・ω・`) ・` `)? 結局は「実質的な情報担当者」の仕事が増 え、即ちリスクファクターが増えるという状態 IT社会についていける企業と「情弱企業」との 残酷な差を生み出したのでは・・・? 負の遺産は自分には関係ない? IT化についていけてない企業は、ウィルス IT化についていけてない企業は、ウィルス 対策すらロクにされていない ウィルス対策ソフトにお金を使わないことも 含め、セキュリティ関連から予算を削る・・・ IT社会にとっては不安定化要素 IT 社会にとっては不安定化要素 やはり 一定のIT知識を やはり、 定のIT知識を 持ってもらわないと困る 事業者へのIT 事業者への IT教育のあり方 教育のあり方 国が画一的に行う必要はない(自由主義社 会のためには、むしろそれは好ましくない) 民間の団体で、事業主が集まるところ(例: 商工会議所)で行なえないか ? 商工会議所)で行なえないか・・・? 現状 IT教育と言えばMS Officeの使い方 IT教育と言えばMS-Officeの使い方 稀にセキュリティ関連のセミナーが開かれる 稀にセキュリティ関連のセミナ が開かれる も、関心を持つのは元から意識の高い人のみ またも妄想SF またも妄想 SF的な話 的な話 「クラウド」が発達する 「クラウド」自体が1つの巨大なコンピュータ 「クラウド」自体が1 となる 「クラウド」と相性のよくない人は切り捨てら れる社会の到来 とは言え セキュリティは とは言え、セキュリティは 大企業でも頭痛の種 従業員を1カ所に集めての講義は非効率 従業員を1 社内LAN 社内 LANでの でのe e- ラ ラーニングを導入するも、e ラーニングを導入するも、 ングを導入するも、eラーニングに注意を惹きつけることができる 時間は20 時間は 20分程度 分程度 情報セキュリティの全てを語るのは到底無 理(フォレンジックの話なんて絶対無理) そもそも、デジタル・フォレンジックという「新 領域」を教える人もいなければ教材もない IDFが行うべき仕事として IDF が行うべき仕事として デジタルに絡む法律事件の研究 同時に、法的なものにデジタルをどう位置 づけていくかの検証 ほんの一例 情報の安全の労働法における位置づけ 例:労働法における試み セキュリティ ポリシー(左図の 2段目まで)を、 2段目まで)を 就業規則や 労働協約に 労働協約 書けないか? これも、IDF これも、 IDFには望みたい には望みたい 認証制度についてJIPDECと渡り合うくらい 認証制度についてJIPDEC と渡り合うくらい のことはしてもいいんじゃないか? 本当にセキュリティ対策がなされている所が 審査に通っているか? ビジネスチャンスが欲しさに表面だけ取り 繕った事業体が審査に通っていないか? (認証とかテストといったものにはついて回る 問題ではあるが、だからといって放置する こともできない) やはり 中小企業における やはり、中小企業における デジタルデータの扱いは問題 デジタルデ タの扱いは問題 活用が可能な人材のいる企業と生産性に 歴然たる差 安全性にまで考えが及ばないということで、 社会全体の危険性を増している property型の考え方をするならば、危険性 property 型の考え方をするならば、危険性 に対して何らかの手当は必要 liability rule型の事後手当が必要でないと rule型の事後手当が必要でないと 事後 が必 な は言わないけれども は言わないけれども・・・ 情報事件・事故というものは 「起る」というそのこと自体が社会の 生産性を下げることになる 起ってから何とかしようというよりは、 起ってから何とかしようというよりは 起らないようにつとめるのが得策 IT ITベンチャー系は、しばしば「詳しい ベンチャー系は、しばしば「詳しい が故に危ない」→ が故に危ない」 →やっぱり危険 以上を踏まえて、現状 中小企業は、情報事故・事件に対して、信じ られないほど無防備 情報セキュリティ6 情報セキュリティ 6大要素が何 大要素が何一つ満たされ つ満たされ ない→ ない →あらゆる情報危機の可能性 無理してIT 無理して ITを導入し、かえって非効率が発生 を導入し、かえって非効率が発生 逆に、不経済性の発生 そして 不経済性 の対応 不経済性への対応 ハッキリ言って 現状は「放置」 ハッキリ言って、現状は「放置」 そしてIT そして そ IT化はその速度をますます速める 化はその速度をますます速める 化 そ 速度をますます速 る 情報弱者と情報強者の差は開くばかり その差をどうやって埋めるのかということが いま緊急の課題ではないか? property的な考え方を property的な考え方を 突き詰めると 究極「自己責任」の一言で片付けられる 自分の財産を危機に晒したくなければ、何 もしないのがいちばんいい 社会の活力を殺ぐことに 最低保障を担保しながら情報という資産 を活用するにはどうしたらよいか? 情報における 最低保障の担保とは 有形財産ならお金を渡せばいい・・・が 有形財産ならお金を渡せばいい・・・が、 情報安全の最低担保はどうする・・・? 遵法精神に欠ける人間から、危険で違法、 しかし便利なことを吹き込まれ いけない しかし便利なことを吹き込まれ、いけない ことだと知らずにやってしまう弱者の存在も 考えられる 極論:ITを知らないやつは手を出すな ITに対する姿勢の IT に対する姿勢の2 2極分化 タイプ1 タイプ2 ITと聞いただけ で不機嫌になる IT技術は持つ者 の勝ち。被害に 遭うやつは自業 自得 効果は薄いかも知れないが、 地道に教育していくしかない 道 教育 く な 日頃からのフォレンジック対策 監視カメラのように、誰がどんな操作をした か、わかりやすい記録を残すソフトが作れな いか? 危険な操作をしたユーザーに対しては、 事後的アドバイスが可能に 欠点は「事後的である」ことを免れないことと 欠点は「事後的である」ことを免れないことと、 その裏をかくユーザーが必ず現れるであろ 裏 うこと、ユーザー切り替えせずに使いまわし ている場合の行為者の特定が難しいこと 「デジタル」の側からの歩み寄り インターネットアクセスログなどと違い、一目 インタ ネットアクセスログなどと違い、 目 見てわかりやすいログを収集するシステム の必要性 「ふたりの通訳論」におけるデジタル側の 通訳に、より容易になることができる 「フォレンジック」の側からの 歩み寄り 法律家は 一般的に言って 比較的に勉強 法律家は、一般的に言って、比較的に勉強 熱心(業務に繋がりそうなことには) 集団講義的な「教育」でも、比較的啓発は 簡単なんではないかと思われる 行政書士の仕事のひとつ 予防法務 トラブルの芽は、予め潰しておく 弁護士さんがあまりやりたがらない が が のは トラブルがあってから仲裁に のは、トラブルがあってから仲裁に 入った方が実入りがいいから、という のはゲスの勘ぐりでしょうか? ITに対する無知故にトラブルに ITに対する無知故にトラブルに なる可能性のあるユーザー なる可能性のあるユ ザ IT知識のない中小企業は IT IT知識のない中小企業は、トラブルに巻き 知識のない中小企業は トラブルに巻き 知識のない中小企業は、トラブルに巻き 込まれる可能性が大いにある トラブル件数は、確実に増えている かつての日本の産業界の構造 巨 大 企 業 中規模企業 小企業 業 小企業 業 中規模企業 小企業 業 小企業 業 トラブルがあっても巨大企業傘下にあれば あ 傘 あ 何とかなった 日本産業界の変革期!!! 「大会社の傘下」にこだわらず 新商品・新 「大会社の傘下」にこだわらず、新商品・新 サービスを模索している企業が本当に数々 そういう企業が「IT そういう企業が「 ITに詳しくない」だけで、 に詳しくない」だけで、 情報戦に負けるようなら 日本社会全体の 情報戦に負けるようなら、日本社会全体の 損失 事後救済よりは、やはり事前の備え→ 事後救済よりは、やはり事前の備え →デジ タル フォレンジ クの拡大解釈 タル・フォレンジックの拡大解釈 未熟ながらも、日本人は・・・ やはり 国家の干渉を廃して自己決定した やはり、国家の干渉を廃して自己決定した い、という情報観を持っているであろう 少なくとも、プライバシーに関しては間違い ないであろうと思われる 皆様自身に問うて頂きたいこと 事後救済型・liability rule型・ 事後救済型・liability rule型・IDF IDFのオフィ のオフィ シャルの「フォレンジック」がいいのか? 事前救済型・property 事前救済型・ property型・村島式拡大解釈 型・村島式拡大解釈 の「フォレンジック」がいいのか? デジタルとフォレンジックのより良好な関係 とは? 早く定まらないと、社会的・経済的損失は 計り知れない デジタル・フォレンジック研究会 デジタル フォレンジック研究会 の存在 会の存在・数多くの熱心な会員の存在は 会の存在・数多くの熱心な会員の存在は、 日本の社会・経済にとって貴重な財産 冒頭には 悲惨」と言いましたが 冒頭には「悲惨」と言いましたが・・・ 捨 たも でもな 捨てたものでもない と、思います 長時間おつきあいいただき ありがとうございました ともにこれからも よりよいIT社会を目指しまし う よりよいIT社会を目指しましょう
© Copyright 2024 Paperzz
