第687号コラム:小山 覚 理事(NTTコミュニケーションズ株式会社 情報セキュリティ部 部長 )
題:「サイバー攻撃対策と『通信の秘密』の考え方 その5」
今回のコラムは4月8日発信第660号の続報である。「サイバー攻撃対策と『通信の秘密』の考え方 その5」と題して、私自身が逡巡している悩ましい課題について、脈絡なく書き連ねていることをご理解いただき読み進めて頂ければ幸いである。
前回のコラムでは「総務省サイバーセキュリティータスクフォース」にて、プロバイダ自身が通信の流れを把握・分析(以下、フロー情報分析)し、「C&Cサーバなどの攻撃元を調査する行為」について、「通信の秘密」の規定との関係を整理する方針が示されたことをご紹介した。
その後、具体的な検討が「総務省 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会(以下、総務省研究会)」で行われ、10月4日に「第4次取りまとめ案」のパブリックコメントが募集されている。サイバー攻撃対策と通信の秘密の取り扱いに関心を持たれている方はぜひご覧いただきたい。
これまで3回開催された総務省研究会では、マルウェアに感染した端末への対応や、DDoS攻撃等の顕在化している攻撃事象について、プロバイダが対処する際の法的根拠となる考え方について議論が行われており、利用者の同意が必要な場合や、正当業務行為などの違法性阻却事由が成立する条件が整理されてきた。
今般の「第4次取りまとめ案」では、「フロー情報分析」の適用範囲が明確化されている。フロー情報分析は通信ネットワークの設計のベースとなる通信量の調査や、サービスに影響を及ぼすDDoS攻撃の検知等を目的に、多くのプロバイダで日常業務として行われている。
第4次取りまとめでは、DDoS攻撃の検知だけでなく、DDoS攻撃等の命令を発する攻撃元C&Cサーバを調査することが「正当業務行為」に該当するとの整理が行われた。私はこの「第4次取りまとめ案」に賛成の立場である。
この「第4次取りまとめ案」について、プロバイダ関係者で意見交換した際に出た意見を2つご紹介したい。
1つめは「攻撃命令を出すC&Cサーバの調査に加えて、攻撃命令と思われる通信の遮断など、踏み込んだ対策を行う際の整理を行ってほしい」という意見である。
2つめは「通信遮断などの対応を行う場合は、違法性阻却事由の整理で済ませるのではなく、法改正を視野に入れるべき」との意見である。
私はこの両方の意見に賛同しつつも、手を挙げて「賛成!」とは言えず、反対もできず逡巡している。その辺の迷いを吐露させていただくことになるが、もう少しお付き合いいただきたい。
これまで総務省研究会では法改正を伴わずプロバイダが実施できる対策について整理されてきた。しかし日々巧妙化し激しさが増すサイバー攻撃に対して、スピード感を持って取り組めているかと問われれば、実際は課題が多いと答えざるを得ない。
サイバー攻撃は総務省研究会の結論を待ってはくれない。またこちらの想定通りの攻撃手法で仕掛けてくれるとも限らないからだ。
現場での運用面の課題もある。
例えばDDoS攻撃をプロバイダが自社ネットワークでブロックする行為は、通信の安定運用を目的に行う場合は正当業務行為として認められる。しかしサイバー攻撃が
事業用設備に影響しない場合や、一旦止んだ攻撃が再発するか不確かな状態で、通信をブロックした場合にも正当業務として認められるのか、その時々の判断を24時間体制の運用現場に委ねることは難しい。ガイドラインがあっても実際には対策に踏み出せないこともある。
一方でプロバイダの義務としてサイバー攻撃対策を行う旨の法改正が行われた方がすっきりするという意見もある。しかし義務を全うするためには多少なりともお金が必要で、費用の回収ができないリスクを考えると、プロバイダ自ら法改正を望む声は出しづらい。
例えばDDoS攻撃などのサイバー攻撃をプロバイダのネットワークでブロックしても、収入増に必ずしもつながらない状況では経営を圧迫することになりかねない。悩ましい課題である。
もう一つの懸念はプロバイダを含む通信事業者の役割の拡大である。電話の時代から通信事業者は通信の秘密を墨守し、金科玉条のごとく利用者のプライバシーを守ってきた。
通信の内容把握をリアルタイムに行えるのはスパイ映画の中だけに留めるべきであり、杞憂にすぎるが、法改正が通信事業者の役割の拡大に繋がることは避けたいところである。
最後に私がサイバー攻撃対策と「通信の秘密」に関心を持つ切っ掛けになった事件をご紹介して筆を置きたい。
2004年に奇妙なDDoS攻撃が発生した。毎月決まった日時に特定のWebサイトを攻撃する特徴があり、多数のパソコンに感染したマルウェアの仕業だった。攻撃は毎月繰り返され標的となったWebサイトは一時閉鎖に追い込まれた。同じホスティングサービスの利用者もサイトが閲覧ができなくなる2次被害も発生した。
当時私はプロバイダのセキュリティ対策に関わっていたが、通信の秘密に抵触するため、被害者に声をかけることも、攻撃を止めることもできず忸怩たる思いで見守っていた。
この事件以降複数の通信事業者団体が協働し、通信の秘密に配慮したサイバー攻撃対策について、プロバイダが法的に実施可能な対策と手法についてガイドラインを作成するようになったのだが、同じような取り組みが今後も継続していくのか・・・この「第4次とりまとめ」が変化の契機となるような気がする。
【著作権は、小山氏に属します】