「サイバーセキュリティ戦略(案)」への意見

「サイバーセキュリティ戦略(案)」への意見

2013年6月5日
                   一般社団法人 情報処理学会
                      会 長  古川 一夫
 
 
 以下のとおり、2013年6月4日付で意見書を提出しましたので、ご報告いたします。
 (協力:セキュリティ委員会)



2013 年6月4日
内閣官房情報セキュリティセンター(基本戦略担当)御中

一般社団法人 情報処理学会
会長 古川 一夫

 
サイバーセキュリティ戦略(案)に関する意見提出の件

拝啓 時下益々ご清栄のこととお慶び申し上げます。
さて、標題の戦略案に関して、下記のとおり意見を提出しますので、ご査収ください。
敬具

 

はじめに

 本戦略案に示された取組方針には大きな異論はなく、日本版NCFTA の設立等を通じて、セキュリティ戦略が前進することに期待いたします。
しかし、個々の論点については、その表現の仕方も含めて検討の余地があるものと思われますので、以下のとおり意見を表明させていただきます。

2.基本的な方針 (1)目指すべき社会像(p.16)
「…世界を率先する強靭で活力あるサイバー空間を構築し、(中略)攻撃等に強く、イノベーションに満ちた、世界に誇れる社会として、サイバーセキュリティ立国を実現する…」

【意見】
「目指すべき社会像」の項を立て、セキュリティが自己目的化しないように情報セキュリティで守るべきものを明確にした点に共感を覚えるものです。但し、サイバー空間は文化を育み、多様な人と社会との間の相互理解を醸成し、時には匿名のつぶやきも受け止め、対抗言論を促す変化と包容力に富んだメディアですので、これらの点にも配慮した社会像の議論が望まれます。

 また、セキュリティ戦略についてプロアクティブな取組姿勢を明示し、社会全体でリスクを機会に転換する攻めの姿勢を明らかにした点が評価できます。しかし、情報セキュリティの確保には、地道な啓発教育・技術開発の努力が必要であり、我が国の成長戦略(サイバーセキュリティ立国)の一つにすることができるかどうかについては慎重な議論が必要と考えます。

2.基本的な方針 (2)基本的な考え方 ②深刻化するリスクへの新たな対応(p.17)
「とりわけ顕著に進行している、甚大化するリスク、拡散するリスク、さらに、グローバルリスクについては、これまでの戦略で講じてきた様々な取組の延長では十分に対応できなくなっている。」

【意見】
リスクの甚大化、拡散化及びグローバル化は、戦略案がまさに指摘する通りといえます。しかし、「これまでの戦略で講じてきた様々な取組の延長」では本当に十分に対応できないのか、これまでの取組で何が足りないのか、具体的に評価し、検証結果を踏まえて戦略を個別具体的に立案することが必要ではないでしょうか。

2.基本的な方針 (2)基本的な考え方 ③リスクベースによる対応の強化(p.17)
「サイバー攻撃に関するインシデントの認知・解析機能の向上、これらの機能の連携、情報共有の促進による脅威分析能力の高度化、各主体のCSIRT間の連携や国際的なCSIRT間連携の強化等が重要」

【意見】
総論としては賛成でき、インシデントの解析機能の向上は重要な課題ですが、解析を重視するあまり、「通信の秘密」「プライバシー」等への影響を軽視しないよう慎重に検討することを希望します。

3.取組分野 (1)「強靭な」サイバー空間の構築 ④サイバー空間の衛生(p.31)
「ネットワーク型のボットウイルス感染対策として、ISP の協力を得て実施された官民連携プロジェクトであるCCC では、一般利用者に注意喚起等を行う取組が行われてきた。今後、…悪性サイトの検知機能の強化などデータベースの機能の高度化を推進する。」

【意見】
CCC については、2011 年3 月に終了した後、今後はどの様な形でこのような取り組みを継承してくのかの姿勢が不明瞭となっています。CCC に関するWeb ページ(https://www.ccc.go.jp/ccc/index.html)では、ページ作成中のステータスのまま長く更新されておらず、一部機能(ハニーポット)を継承したとみられるCCC 運営連絡会(一般財団法人日本データ通信協会 テレコム・アイザック推進会議・一般社団法人JPCERT コーディネーションセンター・独立行政法人情報処理推進機構)はみられるものの、例えば、その他の機能がどのように継承されたか分かりにくい状況となっています。CCC には一定の効果があったと考えられますが、その効果を検証し、有意義な機能については、発展的継承を行うなど、セキュリティへの取組に間隙が生じてはならないと考えます。

3.取組分野 (1)「強靭な」サイバー空間の構築 ⑤サイバー空間の犯罪対策(p.32)
「サイバー犯罪に対する事後追跡可能性を確保するため、関係事業者における通信履歴等に関するログの保存の在り方やデジタルフォレンジックに関する取組を促進するための方策について検討する。特に、通信履歴の保存については、通信の秘密との関係、セキュリティ上有効な通信履歴の種類、保存する通信事業者等における負担、海外でのログの保存期間、一般利用者としての国民の多様な意見等を勘案した上でサイバー犯罪における捜査への利用の在り方について検討する。」

【意見】
通信履歴の保存については、サイバー犯罪条約の批准に際して議論されたことを踏まえて、丁寧な検討が必要と考えられます。現在、技術革新等を経て、セキュリティ上有効な通信履歴の範囲が拡大し、あるいは通信事業者等の負担軽減策に変化が認められるのであれば、新たな技術的知見等を踏まえて再検討する価値はあるものの、費用対効果の期待できない施策を強行することのないように十分な検討を重ねることを希望します。

3.取組分野 (2)「活力ある」サイバー空間の構築 ①産業活性化(p.35)
「セキュリティ目的のリバースエンジニアリングに関する著作権法の適用明確化や、ビッグデータ解析による高度なサービスの実現等の産業の活性化を阻む可能性がある規制の改革に取り組むことが重要である。」

【意見】
(1) リバースエンジニアリングと著作権法
セキュリティ目的のプログラムのリバースエンジニアリングは、米国のフェアユース規定、英国のフェアディーリング規定等に照らし、現時点でも適法であると考えられます。しかし、現行著作権法第30 条の4(技術の開発又は実用化のための試験の用に供するための利用)、第47 条の7(情報解析のための複製等) 等の規定では、不十分な場合もあり、著作権法の適用明確化は重要な論点と考えられます。
現行の権利制限規定(30~50 条)は、対象となる行為が極めて個別具体的に限定される規定となっており、本戦略の目指すセキュリティ立国の阻害要因となることが懸念されます。
ただし、リバースエンジアリングに伴う複製翻案等の行為が著作権侵害とならない場合をセキュリティ目的にのみ限定したのでは、その他公益性の高い著作物の利用態様について、利用者を委縮させることになるため、幅広く議論をすることが望ましいと考えられます。
(2) 個人情報の保護
ビッグデータ解析などを阻む可能性がある規制の中には、個人情報保護法のように有益なものもあることから、規制によって実現しようとする権利利益等の保護との両立を図る視点が欠かせないものと考えます。

3.取組分野 (2)「活力ある」サイバー空間の構築 ③人材育成(p.37)
「こうした人材の量的不足の解消に向け積極的な取組が必要であるとともに、教育だけでは得られない突出した能力を有する人材の確保も大きな課題である。こうした人材の確保に関しては、ソフトウェア関連分野における独創的なアイデアや技術、これらを活用する能力を有する優れた個人を発掘育成するための合宿研修や情報セキュリティ人材が実践的技能を競うコンテスト等を官民で連携し、実施する。」

【意見】
突出した能力を有する人材の確保にあたっては、突出した能力を伸び伸びと伸ばせる環境(try&error も一定程度許容する多様性を重視した教育)が必要ではないかと思われます。例えば、好奇心から行うソフトの違法ダウンロードに罰則を科すというようなことで補導される児童等がむやみに増えることは望ましくないものと考えます。

その他

【意見】
本戦略案の本文中では全く言及がありませんが、いくつかの論点について今後の検討を希望します。
(1)インターネット利用者の認証基盤の在り方への検討
現在のインターネットでは、フリーのアカウントが多量に普及し,虚偽のアカウントの作成やそれらを使った不正行為についての問題が生じています。ビッグデータが注目されれば、それらの行為は今後より深刻になることも懸念されます。おりしも共通番号法が成立し、利用者の認証基盤についてはどの様な形が望ましいのか議論するタイミングではないかと思われます。
(2)デジタル機会均等を目指して
ICTの利活用が困難な高齢者等は、よりセキュリティ上のリスクに晒されることが多くなることから、安全・安心にICTを活用できるという意味も含めたデジタル機会均等を再考することも必要と考えられます。

以上