[connect24h:7131] Re: ＣＧＩの欠陥突き情報引き出した京大研究員逮捕警視庁

[Yuichi OHMiZU <yu1o@xxxxxxx>]

おおみずです。
こんにちは。

いままで議論にはほとんど参加していないのですが、ちょっとだけメールして
みます。なお、私もセキュリティ技術や法律に詳しい身ではありませんけど…。

Ikeda Sokichiさんが04.2.7 2:38 PMに書きました：
>いけだです。
>
>> という議論だったと思うのですが、一方的に「ナイーブ過ぎるほうがいい
>> じゃないですか」と言われても……。
>
>別に一方的に言ってるつもりはないんですけどね(^^;
>どういえば良かったんでしょうか？
>
>> Ikedaさんの挙げた「侵入」の定義は到底容認できません。自分を含めた
>> 多くの人が一般的に行っていることが犯罪になりかねないのは勘弁して
>> ほしいです。おちおちwebの利用も出来なくなってしまいます。
>
>普通にリンクたどってる限りは犯罪にならないですよね？
>これだけでWebの利用は可能ですし、例に挙げられていたような
>入力間違いで問題になった場合は「過失」となるわけで。
>
>勘違いしないで欲しいのは、すぐに「侵入」→「犯罪」→「逮捕」と
>なるわけではないです。
>程度によって「これからは注意してね」という程度の犯罪もあります。
>

犯罪の要件については、成文化された法律が根拠になるわけで、不正アクセス
については不正アクセス禁止法で定義がされています。
今回の容疑が、法律の解釈として正当かどうか深い議論があるのは周知のとおり。

では、法律に書いてないことが全てやっていいことかというと、当然そうでは
ないですよねえ。法律は最大公約数的な内容しかありませんので、倫理とか
モラルとかマナーといった不文法的もので規制されるものもあると思います。
いけださんはそうした部分を議論の土俵にあげたいと思っているのではという
気がしましたが、いかがでしょうか。


>数年前はそうではなかったかもしれませんが、
>Officeさんのような行為は「多くの人が一般的に行っている」わけでは
>なく、一部のインターネットに詳しい人が行っている行為です。
>Web利用をしている多くの割合の人は「リンクしかたどらない」
>人ばかりでURLなんか気にしていない素人ばかりです。
>
>犯罪とまでいえないまでも「これはやってはいけないこと」と
>素人にもわかるように伝わるものにしないといけないと思います。
>専門家は少々複雑でもどこまでが問題かどうかわかりますが
>素人が知らぬうちにグレーソーンに踏み込んでしまいがちです。
>
>もう10年以上インターネットと接していますが、
>URLを推測して入力する行為については「正当」だと思ったことは
>ありませんし正当化するつもりもありません。
>セキュリティについてチェックする立場にもないので、
>管理者と認識がないサイトに対してそんなことはしませんけど。
>

インターネットコミュニティは歴史が浅いので、他の分野と異なり、倫理、
モラル、マナーといった規範の概念が、人によってさまざまです。
ですから、どういうことが「やってはいけないこと」とできるかについては
今後も議論が続くと思います。

私の考えについていうと、リンク以外のURLを入力してアクセスしようとする
ことが、「やってはいけないこと」になるのは、うーん、どうかと思って
しまいます。私のように合意できない人のほうが多いのではないでしょうか。
仮に合意とするならかなりの時間と紛糾が想像されますね。


ところで規範を作るのなら、数が多く雑多な素人の側にルールの遵守を求める
よりは、まずはサイトの管理者の側に規範を作ったほうが浸透しやすく、
社会的なコストを考えても合理的かな、と思っています。

“素人は知らぬうちにグレーソーンに踏み込んでしまいがち”ととらえるなら、
サイトの管理者のほうに、非公開のファイルについてはアクセス制限などの
対策をしてもらうことが、実効性のある対策として優先度が高いのではない
でしょうか。


>みんながみんな必要としているとは思いませんので、
>必要であれば「ネットセキュリティの専門家」として登録できる
>ようにして、その人々は「カギの110番」のような位置付け
>になればその技術を存分に発揮できるのではと思います。
>そうすれば当局の管理の元に胸を張って思う存分にセキュリティ
>技術の向上に邁進するのではないでしょうか？
>素人が面白半分にグレーゾーンに踏み込まないようにするような
>ルール作りを専門家の方々に求めたいと思います。
>
>専門家の方々にはなかなか受け入れられないでしょうが、
>あくまで線引きは素人の利用者にもわかるようにということが
>私の意見です。
>

いや、受け入れられないことはないと思いますよ。
“素人”というのは、面白半分にグレーゾーンに踏み込んでくる可能性が
あるというのは、だいたい合意できるのではないでしょうか。
ですから、素人相手に明示的なルールを作って遵守を求めることは一つ必要
かもしれませんね。はい。

ただ、面白半分の輩はルールがあってもなくても踏み込んでくるというのは
容易に想像がつきます。ということでは、やはり管理者の側にはそのルールを
破られても対策できるセキュリティ技術を実践してもらうことを求めるのが
よいと思います。

で、さらにいうと、その実践のレベルが十分かは、当事者だけでは自己満足に
なってしまうので、第三者の監査を受けることを規範にしていくのがのぞま
しい方向では？
（その監査を行うのはたとえば「当局」でなくて、民間の組織で済むのでは
と思いますけど）。


管理者の側の責務については、不正アクセス禁止法にも条文があります。
この範囲のことは、成文化されたルールとして求められているのだと思います。
といっても、“言うは易し、行うは難し”なんですけどね。

> 第五条
> 　アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該
> アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により
> 確認するために用いる符号の適正な管理に努めるとともに、常に当該アク
> セス制御機能の有効性を検証し、必要があると認めるときは速やかにその
> 機能の高度化その他当該特定電子計算機を不正アクセス行為から防御する
> ため必要な措置を講ずるよう努めるものとする。


以上、いけださんのもとのメールの方向性とはちょっと異なる観点だったかも
しれませんが、何かの足しになれば幸いです。


_]_]    Yuichi OHMIZU    @Yokohama, Kanagawa    _]_]
_]_]       mailto:yuichi.ohmizu@xxxxxxxxx       _]_]
----------------------------------------------------
☆彡　無線LANのページ  for Wireless LAN users
      http://homepage.mac.com/yu1o/wlan/

--[PR]------------------------------------------------------------------
■Ｇ■Ｇ┃Ａ┃Ｂ┃Ａ┃マ┃ン┃ツ┃ー┃マ┃ン┃英┃会┃話┃
■Ａ■━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛
■Ｂ■　無料でネイティブ講師とのマンツーマンレッスンを体験しよう！
■Ａ■　今ならGABAオリジナルのフレーズブック＆CDをプレゼント！！
詳しくはこちら→ http://ad.freeml.com/cgi-bin/ad.cgi?id=c4yiu
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp