2022年1月11日火曜日

エンジニアは法律を、そして現状を学ぼう 「自分は関係ない」では済まされない理由


2022年01月11日 07:21  ITmediaエンタープライズ

ITmediaエンタープライズ

写真Wizard Bible事件から考えるサイバーセキュリティ
Wizard Bible事件から考えるサイバーセキュリティ

 本連載はアイティメディア内で転々としつつ、2022年で9年目を迎えます。本年もどうぞよろしくお願いいたします。



Wizard Bible事件から考えるサイバーセキュリティ



 皆さんは年末年始どのように過ごされたでしょうか。筆者は、齊藤貴義氏とIPUSIRON氏が執筆した『Wizard Bible事件から考えるサイバーセキュリティ』という本を読みました。



 クラウドファンディングを募って出版された同書籍は、サイバー犯罪関連法の問題点を「Wizard Bible事件」「Coinhive事件」「アラートループ事件」という3つの事例から明らかにしたもので、当事者への貴重なインタビューも含まれます。筆者はクラウドファンディングに参加して書籍版を入手しましたが、現在は一般販売でも入手可能です。



 先に挙げた3つの事件は、サイバー犯罪関連法の曖昧さが“えん罪”を引き起こしたと言い切れるケースです。サイバー犯罪を取り締まるために作られた法律が間違った方向に進めば、セキュリティ業界の萎縮につながる可能性があるということは随分前から懸念されていましたが、この本を読むとそれが現在進行形で起きていることだとだと分かります。読めば読むほど、国内で発生するサイバー犯罪の取り締まりにさまざまなハードルがあることを知れる良書ですので、セキュリティに関わる全ての人はぜひご一読ください。



●求められるセキュリティレベルが格段に上がる時代



 もう一つ、この時期に気になったトピックとしては、エンジニアが12月1~25日まで毎日テーマに沿った記事を投稿するイベント「Advent Calendar」があります。



 筆者は毎年、Qiitaの「本番環境でやらかしちゃった人 Advent Calendar」を楽しくかつ恐ろしく拝見していましたが、今回はクラウド会計ソフトを提供するfreeeの「PSIRT」(Product Security Response Team)マネジャー、ただただし氏の記事が注目を集めました。



 「CEOに身代金を要求したい」という物騒な一文から始まる同記事は、セキュリティチームが秘密裏に社内を攻撃し、正しく対処できるかどうかを評価する「レッドチーム演習」のリアルな状況をレポートする内容です。サーバを運用する全ての企業が読むべき、非常に興味深い試みを詳細に取り上げています。



 意図的に不具合を発生させるカオスエンジニアリングやレッドチーム演習は比較的大きな組織で実施されています。今回筆者が特に興味を持ったのは、同記事の以下の一文です。



「私は、freeeくらいの規模の事業会社は自前のRed Teamを持つべきだと考えていて、PSIRTの中に常時稼働する本物のRed Teamを作り上げるのが当面の目標です。もちろんそのためには、攻撃を受けて立つBlue Teamも必要です」



【マジで】サイバー演習シナリオの作り方【怖い】(freee Developers Blog)より



 セキュリティがうまく回っているかどうかを確かめることは難しいですが、レッドチーム演習といった仕組みを積極的に取り入れて、本格的にPSIRTを回す心意気には頭が下がります。こうした取り組みはいずれ、規模に関わらずどの企業でも採用されるようになるでしょう。そしてこれを積極的に外部に発信することは、利用者のみならず取引先にも好印象を与えるのではないでしょうか。



●セキュリティ知識の中に、法律も含めなければならない時代



 難しいのはレッドチーム演習やセキュリティ学習の中で実施した疑似攻撃が、日本の法律上で“犯罪”と見なされる余地が少しでもあるということです。筆者はセキュリティを取材する立場ですが、これまで法律についてかじる程度しか知らなく、どこかで「自分が知る必要はない」と思い込んでいました。しかし「Wizard Bible事件から考えるサイバーセキュリティ」を読むと、そうも言っていられない状況が目の前にあることを痛感します。



 特にセキュリティに関わる全ての人が知っておくべき法律として、サイバー犯罪でしばしば引用される、刑法における「不正指令電磁的記録作成等」、第168条の2があります。



■第168条の2(不正指令電磁的記録作成等)



第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。



一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録



二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録



2 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。



3 前項の罪の未遂は、罰する。



刑法「第168条の2(不正指令電磁的記録作成等」より



 上記の法律の重要ワードを引用すると、“正当な理由なく”、“電子計算機における実行の用に供”し、“意図に反する動作”をさせることが問題とされています「Wizard Bible事件」「Coinhive事件」「アラートループ事件」などがそのような状況に当たるのかどうかは、IT関係者は少しだけでも考える必要があるでしょう。エンジニアは、ITに関することだけに注力したいところですが、日本の現状を考えると周辺の知識も付けていかなければ、自衛できない状況にあることは理解しなければならないと感じています。



 一方でこれは、自分の知識を広げたり、組織力を強化したりするチャンスとも捉えられます。少し大きめの企業に務めているのであれば、法務部が存在するはずです。これを機に法務部と仲良くなり、法務部にもITの知識を付けてもらうことで組織の自衛力を高められればなお良いでしょう。CSIRTやISAC(Information Sharing and Analysis Center)など、業界の横のつながりなどもうまく活用できれば、ノウハウを共有してさらに組織として強くなれるかもしれません。



 サイバー攻撃対策は一筋縄ではいきません。常に現状を把握し、状況を理解することに努め、かつ常に新しいことを取り入れ、変わり続けなくてはならないのだと思います。この年末年始に触れた2つのトピックは、それを再認識するのに非常に役立ちました。


0 コメント:

コメントを投稿