ナビゲータのEVEです。
本日は、日曜日と言うことで、セキュリティの日です。今週は、先週に引き続き、能動的サイバー防御法案について調査を進めていきたいと思います。 なお、今週は、原文から検討を進める予定でしたが、時間の関係で、ChatGPTとの対話をまとめる形で、考察を進めます。
[能動的サイバー防御法案の趣旨]
前回は、概要から、この法案を考察しましたが、今週は、具体的な内容に踏み込んでみました。前回、この法律が運用された場合、以下の法律に抵触する可能性があり、問題になりそうだという話をしました。
- 通信の秘密(憲法第21条、電気通信事業法第4条)
- 個人情報保護(個人情報の保護に関する法律)
- 不正アクセス行為の禁止等に関する法律
- 電気通信事業法
- サイバーセキュリティ基本法
- プロバイダ責任制限法
- 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報開示に関する法律
- ①国家・重要インフラへの標的型攻撃
- 目的: 政府機関・防衛関連・電力会社・交通システムなどの機能停止や情報窃取
- 例: 原子力発電所、空港管制システム、水道施設などの制御系への侵入
- ②ゼロデイ攻撃
- 説明: 未知の脆弱性を狙った攻撃で、防御が間に合わない
- 想定: OSやソフトウェアの未修正バグを突いて、政府や企業のネットワークに侵入
- ③ランサムウェアによる業務停止
- 説明: データを暗号化し、金銭を要求するマルウェア
- 想定: 病院や行政サービスが機能不全に陥るような大規模攻撃
- ④DDoS攻撃(分散型サービス妨害)
- 説明: 複数のPCから大量アクセスを送り、サービスを停止させる
- 想定: 選挙期間中に選挙管理システムや報道サイトへの攻撃
- ⑤サプライチェーン攻撃
- 説明: 防御が手薄な協力企業や下請け経由で本命の企業・機関に侵入
- 例: ソフトウェアのアップデートにマルウェアを仕込む(SolarWinds事件など)
- ⑥SNSやメールを利用した情報工作(ハイブリッド戦)
- 説明: サイバー攻撃と情報操作を組み合わせた国家レベルの攻撃
- 想定: 選挙や外交政策への干渉、世論操作、内部の混乱誘発
[攻撃の内容を考察する]
通常、標的型攻撃は、外部から攻撃が成功することは希で、内部からバックドアを開けさせるのが基本となります。そのため、ソーシャルエンジニアリングなどを用いて、攻撃を成功させようとします。そのような攻撃者の手口を考えると、①③⑤を事前に攻撃を防御しようとした場合、重要インフラについては、その通信の全てを監視し、中身まで見なければならないと想像されます。その場合、上記に上げた法律に抵触しそうです。 ②で問題になりそうなのが、セキュリティサイトで公表されているセキュリティバグです。その公表したセキュリティバグの対応を即時にすればいいのですが、業務にかまけて対応しないケースが散見されます。基本ハッカーはセキュリティホールがあった場合、他言しません。公表したら、攻撃される側は、そのセキュリティホールを閉じてしまうからです。そのため、問題になるタイミングは、セキュリティバグを公表したタイミングになるのです。こんなことを考えると、どんな情報が世の中に漏れているのか恐ろしくなりますね? ④のDDoS攻撃は、ボットが使用された場合に問題になりそうです。それは、ボットとして利用されている、ルータ、PCとかサーバーが個人に属する場合、その個人の情報を収集することになるからです。しかし、憲法13条から、公共の利益が優先されそうです。 ⑥は、アメリカで問題になりましたね?まっ、身近なところでは、サイバー攻撃というわけではないのですが、兵庫県知事選で、⑥の可能性を十分に感じさせます。 以上の項目はいずれも、通信の精緻な監視が必要で、その監視時に、監視する側にどのくらいのレベルの権限を与えるのかということが問題になりそうです。
[監視者に与えられた権限]
今回の監視者は、サイバー通信情報監理委員会となり、その構成は、委員長1名、委員4名の計5名で構成され、裁判官や情報通信分野の有識者から国会同意を得て首相が任命します。そして、その権限は、以下の通りです。
- 通信情報の取得・分析の承認
- 違反防止のため関係省庁への勧告権
- 情報漏えいが発覚した場合、関係職員に対する懲戒処分を任命権者に要求可能
- 情報漏えいを行った職員には、4年以下の拘禁刑または200万円以下の罰金を科す規定
[あとがき]
今回、時間の関係から、原文からではなく、ChatGPTとの対話からブログをまとめましたが、内容的に問題がありそうです。その印象が、正しいのか、来週原文から見ていきます!
では、また!
コメント
コメントを投稿