「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ(案)」に対する意見

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第二次とりまとめ(案)」に対する意見

2015年8月10日
一般社団法人 情報処理学会
会 長  富田 達夫

以下のとおり,2015年8月10日付で意見書を提出しましたのでご報告いたします.
(協力:コンピュータセキュリティ(CSEC)研究会)


2015年8月10日
 総務省 情報流通行政局 情報セキュリティ対策室 御中
一般社団法人 情報処理学会
会 長  富田 達夫
 以下の通り意見を提出しますので宜しくご査収ください。

 サイバー攻撃に関連する、不正な通信への対処や脆弱性な通信装置への対処に関し、相応の検討がなされていると考えますが、現状のままでは根本的な解決は非常に難しい問題です。ひとつの対応策として、免許制度や車検制度の運用をいよいよ真面目に考える時期にきているようにも感じられます。一方で、事故前提という考えに基づき、これら不正な通信や脆弱な通信装置の存在を前提としても、サイバー攻撃の被害に遭わないための対策を検討することも必要と考えます。

 通信の秘密の侵害について慎重に検討しつつも、有効な同意の範囲や正当業務行為 (違法性阻却事由) の範囲を的確に判断し、合理的な結論を得ているものと考えます。また、本件目的以外での取得情報の利用は通信の秘密の侵害にあたる、という明確な整理がなされていることは、これまでの通信の秘密と同意取得および正当業務行為との関係の整理や、消費者にとっての不安感をいたずらに煽ることは避けるべき、という観点からも適切と考えます。ただし、上記の整理について、たとえば第2章第1節(2)末尾 (pp.14) や、同章第3節(3)末尾 (pp.22)、同章第4節末尾 (pp.24) などにおいて明記がなされつつも、第3章(「おわりに」) や「第二次とりまとめ(案)概要」での言及がないことから、誤った解釈やそれに基づく不安などが流布されてしまう懸念があります。これらの点について誤解などが生じることがないように、概要や第3章での上記整理の再掲をするなど、より伝わりやすい表現をしていただくことを期待いたします。

 検討の観点が通信の秘密の侵害に限定されており、対処策による副作用の可能性やその影響度合い、悪意のある第三者がこれら対策を悪用する余地、などに関する検討が不足していると考えます。例えば、個人情報/プライバシー保護に関しては、事業者が講ずべき「配慮原則」のようなものが示されています。そのような記載があると良いと考えます。モバイル端末や制御機器などインターネット接続形態の多様化、身元を詐称して行われるフィッシング詐欺などITを使った特殊詐欺の巧妙化などの状況を踏まえると、対策を実施するにあたっては、これらの検討を行い慎重な配慮をもって運用されることを期待いたします。

○P14 第2章 第2節 (1)(2)
 ISPから利用者に対してパスワード変更を依頼する行為について記載されています。このような行為は、ISPを詐称した悪意のある第三者がパスワード変更の依頼し、不正にパスワードを取得することを助長する恐れが考えられます。実施にあたっては、身元詐称が行われる余地の無いよう、適切な手段を講じることが必要と考えます。

○P16 第2章 第3節 (1)(2)(3)
 インターネット接続に機能が限定されたブロードバンドルータに対し、信頼のおける通信事業者(ISP)およびその委託先事業者が契約対象の機器に限定し、当該契約者の合意のもとで、通信役務の安定化を阻害する脆弱性に限定した調査を行うのであれば、検討結果の通りであると考えます。しかしながら、これらの制約条件を逸脱した行為が適切に排除されることが担保されない場合、このような調査は非常に危険な行為であると言わざるを得ません。たとえば、公開サーバの脆弱性の調査においては、サーバ管理者と調査実施者の両者間で、実施する時期、調査項目や調査手段など具体的な内容について慎重に事前調整を行います。調査行為が悪用されないよう調査実施時期や調査項目を第三者から秘匿しておきます。調査時においてはサーバの稼働状態を適切に監視し何らかの異常が見られたら速やかに調査を中止するなど、稼働状態に対する調査の影響が最小限となるよう配慮します。このように、脆弱性の調査を行うには十分すぎる配慮がなされるものであり、本件においても、相応の対応が必要と考えます。
以上