| 「ネットワークセキュリティと紛争処理」に対するQ&A |
|---|
| |
| 1.会場にて |
|---|
| |
| Q : | あちらこちらで、いわゆる侵入検出システムというのを動かしているところがあるかと思います。非常に常識的になりつつあると思うのですが、色々なセキュリティグループのディスカッションを見ると、IDSでチェックするのはいいけれども、そのチェックした内容について何をチェックしたかを口外するのは、これは無断盗聴になるのではないか、という議論があります。 引っかけた内容(確かにインシデントなのだが)を議論の為に少し開いたところで喋るのは、そういう恐れがあるので喋れないという話しが出てくることがあります。 その辺のところは、たぶん電子メールなどでも問題のある電子メールを見つけた時にその内容をどこまで見て良いのか、管理者としては法律的に非常に微妙なところがあると思うのですが、そのへんのところはいかがでしょうか。 |
| A : | 大変難しい質問ですね。 立場によっても答えが変わってくるのではないかと思います。 ネットワーク管理者の方ですと基本的にネットワークを保護しなければいけないので、基本的には全部見ていいはずです。 ただし、それを口外してはならないというのは電気通信事業法の中にも、要するに知り得た秘密を漏らしてはならない、という規定がありますので、見てはいけないのではなく、見た情報を通信の秘密に渡る部分については言ってはいけない、ということです。 ただ、犯罪行為が行われているとか、ある特殊なスキャンをかけてきて侵入している様だ、ということについては外形的な事実というのを報告したうえで、パッチを当てるなり対策を立てる、というのは当然のことでしょう。 それは確か必要に応じて必要な限りにおいてネットワーク管理者はその内容を見て良いし、管理して良い、ということになっているはずです。 ですからそこに規制は無い、だからそれが盗聴ということでは無い、と私は理解しております。 逆に、管理の為に見るものでは無くて、例えば私が事務所員が可愛くて他の男とどうもメールのやり取りをしている、男としてはどうも許しがたい、ということでネットワークを管理するのでは無く、人を管理したくて情報を盗み見るという場合、この見る行為自体が違法な監視行為、プライバシー侵害行為になる、ということだと思います。 |
| |
| Q : | 先程ウイルススキャンソフトの話しがあったと思いますが、端末に入れる場合は非常に安くて入れない人が悪いということで納得できたのですが、メールサーバなどでスキャンをすべきかどうかと言うことに関しては今のところどうなのでしょうか? |
| A : | メールサーバでメールのスキャンして良いかというお話では、やはり"検閲"ではないかということと、プライバシー侵害じゃないか、ということの議論が現実に成されています。 どういうことかと言うと、少し微妙なのですが、あるソフトウェアのところをメールを走らせて、そのメールの中にあるものをスキャンかけてチェックするということ自体がメールの中の電子情報、いわゆる、通信の秘密にわたる電子情報の外からのチェックであることは客観的に明らかだと思うのです。 従ってこれを同意無く実施するというのは、やはりまずい事だと私は理解しております。 従ってメールサーバまるごとスキャンかける場合には基本的には同意をとっておくべきだと思います。 何故ならば、例えば(こういう方がいるのかどうかわかりませんが)、メールウィルスの研究者の方とかがメールウィルスの送受テストしていて、それを全て破壊されて持っていかれたのでは研究は出来ないわけです。 「何故それをやったのか」「危険ですからです」「それは私の問題でしょう、私が私のところに運んできて自分のところで発症するかどうかを私が検疫しているのですからあなたにとやかく言われる必要は無い」と言われると、対応する術は無いのではないか、と思うわけです。 むしろ、無断でメールの中を触る、要するに人間が目で見たという意味ではなく、あるソフトウェアの上を走らせるという行為自体がやはり基本的には検閲行為になるのだろう、ということです。 ですから私は同意の無い限りメールサーバまるごとのものはやってはいけない、と思います。 逆に言いますと、企業や大学が、ウィルスが多すぎるのでこのメールサーバをチェックします、と言うことを周知徹底し理解した上で利用できる様な仕組みを作って頂ければ、私は大丈夫だと思っています。 ですから例えば職場で言えば、電子メール規則であるとか、就業規則に近い様なものを作る、大学では学内の利用規則という様な物でコントロールする、ということが必要なのではないだろうかと思います。 この様な回答でよろしいでしょうか? |
| |
| Q : | よく判ったのですが、同意を得るということが、外から来るメールというのは世界中から来るわけなのですが、これは同意を…… |
| A : | 確かに外から来るメールについてどうするかというのは問題ではあるのですが、例えば私が同意して私が外から来るメールについてウィルススキャンかけるというのは私の問題です。 ですから私がOKすればそれは構わないわけです。 それと同じ発想です。 また、その中の物をウィルススキャンかけちゃいけないよ、というのを全世界に向かって宣言する必要なんて全然ありません。 要するに、受け取る人が、これは防御する、こういうメールは受け取らない、こういう対応をします、これは受信者の方の自由ですから、受信者の方を無視してやるのはいけないでしょう、ということだと思います。 そういう観点で見て頂ければ良いと思いますが。 |
| |
| |
| 2.質問票より |
|---|
| |
| Q1 : | 2チャネルなどへの書き込みに対して取りうる対策、対応についてはあるのでしょうか? |
| A1 : | 先日、日本生命事件の決定が出て、管理者に削除を命じました。 今後こうした対応は可能になると思われます。 ただ、表現の自由との対立になるため、書き込み内容の吟味が必須となります。 また、因果関係上の問題も有ります。 対応は慎重に、専門家と相談しながら進めるということになります。 |
| |
| Q2 : | From行詐称の場合、生じた被害に対する本人の責任は? (情報公開におけるアドレス詐称は今後も増加すると思うので。) |
| A2 : | 電子署名等によって、自己表示を明確にすることが考えられます。 勝手に名前を使われただけでは責任は発生しないと思います。 純粋な被害者になるのだと思うのです。 むしろ成りすましを行なった人間の責任となるでしょう。 |
| |
 |
システム技術分科会 〜Q&A〜