サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
GPT-4o
itresearchart.biz
「GCHQ:英国サイバー諜報局」で学ぶサイバーセキュリティの法と政策-夏休みの課題ドラマです 2023.8.20 Security Wars, アクティブ防衛, インシデントレスポンス, サイバー規範, 国家責任, 対抗措置, 影響工作, 情報セキュリティ, 重要インフラ防衛 投稿者: Ikuo Star Channel EXなどの放送・配信で、「GCHQ:英国サイバー諜報局」(原題は、The Undeclared War(宣告なき戦争))が公開されています。でもって、全6エピソードを一気見して、いろいろとサイバーセキュリティを語る上で勉強になった点がありましたので、幾つか、ふれたいと思います。(警告 ネタバレを含む) いろいろなメディアで、サイバー手段を使った攻撃的な手法の採用がどうの、という趣旨の議論がなされていますが、最低でも、このドラマをきちんとみて、以下の知識を備えないで、その種
詐欺師の手段としてのNFT-Solidityのコードからみる法律的意味 2022.12.7 ブロックチェーン, 仮想通貨, 電子商取引 投稿者: Ikuo DeFiに関して、普段から疑問に思っていることというのは、 NFTなどのトークンって、実際のコード的には、どうなっているの。あと、そのトークンが権利を表象しているっていうけど、それは、どのような意味なの? ということです。12月4日に情報ネットワーク法学会の研究大会で、「DAOの法承認とあるべき規制論」というセッションのモデレータ役をしました。その準備のためにちょうどいい機会なので、普段から疑問に思っていることを調べてみたいと思います。 0 スマートコントラクトのコード スマートコントラクトについてのお題目としては 第三者を介さずに信用が担保されたトランザクションを処理できるという特徴がある 契約のスムーズな実行・執行などが行われる な
「信書の秘密」の数奇な運命、そして、「通信の秘密」-「裸の王様」としての「通秘論」 2022.6.6 情報セキュリティ, 通信の安全/プライバシ 投稿者: Ikuo 総務省で、「郵便局データの活用とプライバシー保護の在り方に関する検討会」が開催されています。そこで、郵便法などで定められている秘密の保護というのがとのような意味のか、というのが議論されているわけですが、その内容をみる前に、個人的に、研究等の成果もある電気通信事業法の秘密の保護をみていきたいと思います。 1 電気通信事業法 個人的には、「通信の秘密の数奇な運命」として、電気通信事業法4条の「秘密の保護」の1項が、通信の内容の保護を意味しており、2項は、いわゆるメタデータの秘密の保護をはかっていたのではないか、とかんがえているところです(海外の立法との整合性などを理由としています)。まず、条文をみます。 (秘密の保護) 第四条 電
脅威インテリジェンスにおけるIPアドレスの取扱 GDPR対個人情報保護法(令和2年改正法-個人関連情報) 2021.10.1 GDPR, データ保護/プライバシ, 情報セキュリティ, 情報共有, 通信の安全/プライバシ 投稿者: Ikuo ネットワークに攻撃を仕掛けているものがいて、そのIPアドレスがわかっているとしたときに、そのIPアドレスをネットワーク管理者間で共有したり、また、顧客に脅威インテリジェンス情報として共有することは、各国においてデータ保護法制の関係で問題ないのでしょうか。データ保護論者は、そのようなIPアドレスを共有するときに、攻撃者の同意をとならなければならないとかいわないよね、という問題があります。 まずは、論点として、IPアドレスって「個人情報」なの、「個人データ(Personal Data) @GDPR」なの?という問題です。 以下、便宜上、個人データと呼びます。
MSのTeamsの最高裁判所(ゲスト)アカウントで「このリソースへのアクセス条件を満たしていません」と出た場合 2021.8.14 その他, 司法のIT化, 技術一般 投稿者: Ikuo 私(高橋)は、駒澤綜合法律事務所で、きちんと一般の事件をしているわけです(ITセキュリティでは、事務所は回りませんので)が、交通事故の新件で、書記官さんから、Teamsで、「事件番号(略)のチームに追加されました」というメールが来ました。ので、アクセスしてみましたが、何回やっても 現時点ではこれにはアクセスできません サインインは完了しましたが、このリソースへのアクセス条件を満たしていません。 たとえば、管理者によって制限されているブラウザー、アプリ、または場所からアクセスしている可能性があります。 というエラーがでてきます。悩んでいたのですが、検索したところ 「解決済】このリソースへのアクセス条件を満た
ホーム 情報セキュリティ, 通信の安全/プライバシ, 通信の秘密, 通信の秘密(秘密の保護), 電気通信法 国際的な観点から、「通信の秘密」の数奇な運命と「サイバー攻撃の指令元検知しやすく 総務省が法解釈整理 」という記事を考える 国際的な観点から、「通信の秘密」の数奇な運命と「サイバー攻撃の指令元検知しやすく 総務省が法解釈整理 」という記事を考える 2021.7.9 情報セキュリティ, 通信の安全/プライバシ, 通信の秘密, 通信の秘密(秘密の保護), 電気通信法 投稿者: Ikuo 「サイバー攻撃の指令元検知しやすく 総務省が法解釈整理」という記事が出ています。 総務省は防犯カメラなどの機器を乗っ取って標的にサイバー攻撃をしかける指令元のサーバーを迅速に検知できるよう法解釈を整理する。 記事によると 指令元の割り出しには、通信先の住所を示すIPアドレスや、通信の種類を示す識別番号、日
脆弱性の開示の枠組を深く勉強したい人に-ワクチンの予約システムの報道に関して 2021.5.19 情報セキュリティ, 脆弱性対応 投稿者: Ikuo 世間では、ワクチンの予約システムについて新聞社が、実際の接種券にはない架空の数字を入力しても予約可能だと報じたことに関して、脆弱性の開示の枠組を遵守すべきではないか、といういい方をする人もでており「脆弱性の開示の枠組」に興味が増しているように思います。そこで、この「脆弱性の開示の枠組」を正確に理解してもらうために基礎的なお話をまとめます。 ソフトウエアの脆弱性を不特定多数に開示する前に、そのソフトウエアの開発者に連絡することが求められていますという考え方は、いわゆる「協調的な脆弱性の開示(CERTのガイドを紹介しておきます-https://resources.sei.cmu.edu/asset_files/SpecialReport/2017
昨年来、なにかあると「通信の秘密」という言葉に関連して、報道されることが多くなってきました。 例えば、 (1)ISPによるブロッキングが、憲法の「通信の秘密」の規定に違反するおそれ (2)NHKによる「総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も 」報道 (どうも、NHKの報道は消えていますね) (3)捜査当局が、スマホからのデータ抽出は、「電話やメールの内容は憲法が定める「通信の秘密」に当たる。」 とかです。 個人的には、これらが、法的にきちんとした分析に基づいて「通信の秘密」という用語を用いてるのかなという疑念をもっています。 この点で、注意すべきことは、憲法における「通信の秘密」と電気通信事業法における「通信の秘密」が法律の概念としては、あって、それぞれの関係が不明であること、しかしながら、憲法の教科書では、ほとんど、同一であるとされる記述が一般であることです。 この
「サイバー攻撃の国際法」(タリン・マニュアル2.0の解説)を読む前に 2018.6.26 リスク, 対抗措置, 情報セキュリティ, 武力紛争法, 通信の安全/プライバシ 投稿者: Ikuo 「サイバー攻撃の国際法(タリン・マニュアル2.0の解説)」という本があります。今年の5月くらいに販売になって、結構、情報セキュリティのまわりの人たちでも購入した人が多いと思います。 帯は、「国際社会が抱える深刻な問題にいかに対応するかを分かりやすく解説」というフレーズです。ちなみに、左が、タリン・マニュアル2.0で、厚いです。 膨大なタリンマニュアルをコンパクトにまとめた本として、非常に役に立ちます。特に、タリンマニュアル本体の規則の何番だったか、と思い出せないときに、規則をほとんど一覧できるのは、すごく役にたちます。 その一方で、情報セキュリティの関係者で法律の素養をあまり有していない人には、非常に、
株式会社ITリサーチ・アートが、総務省より請負い、調査報告をなしました「EU 各国における個人情報保護制度に関する調査研究報告書」が公表されております。 実際の調査は、宮下紘准教授、板倉陽一郎先生と私(高橋郁夫)とで、チームを組んで調査いたしました。 調査対表国は、ベルギー、ポーランド(以上、板倉先生)、アイルランド、イギリス、イタリア(以上、高橋)、ドイツ、フランス(宮下先生)になります。 調査事項は、公的部門に適用されるGDPR(内容と準備状況)と現時点における公的機関に対する運用状況になります。 学問の世界でも耐えうる調査研究成果を、国のインテリジェンスとして提供するというのが、当社のミッションですが、そのミッションに貢献することができたかと思います。上記調査対象国の報告書としては、もっとも、詳細で、わが国にとってもきわめて示唆的な報告書になったものと自負しております。 みなさまのお
「サイバー攻撃の犯人は誰?知る必要はあるのか」という記事が出ています。「セキュリティ業界では、常識だと思われているが実はそうではない「セキュリティの非常識」がたくさんある。」として、有識者が語るという企画です。 有識者の意見としては、かなり限定つきの上で、「アトリビューションが重要でない場合もある」という意見のようです。たとえば、根岸さんは、「一方、一般企業がサイバー攻撃を受けたときは、その攻撃者が国家かそうでないかなどは関係なく、対策をきちんとやることが重要になります。誰が攻撃したかは二の次です。」ということで、アトリビューションがそれほど重要ではない場合もあるというスタンスのようです。 でもって、タイトルが、「攻撃者が誰なのかは重要か」なので、重要ではないという論に思えるけど、場合によるよねという話です。見事に、編集者の作戦に乗ってしまいました。 ただ、このような場合にアトリビューショ
「 セキュリティー会社員がファイル共有ソフト内にウイルス保管」 という記事がでています。 京都府警サイバー犯罪対策課は31日、不正指令電磁的記録保管容疑で、インターネットセキュリティー企業社員の男(43)を逮捕したということです。 具体的には、同社のパソコン内のファイル共有ソフト「Share(シェア)」に、ウイルスが含まれたファイルを、第三者がダウンロードできる状態で保管したというのが容疑ということになります。 まずは、不正指令電磁的記録保管容疑については、構成要件としては、刑法168条の3「正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。」ということになります。前条1項の目的というのは、「人の電子計算機における実行の用に供する目的」ということになります。 この不正指令電磁的記録の行使
お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について という会社のコメントについて 2017.11.3 情報セキュリティ 投稿者: Ikuo 前のエントリでふれた事件について、逮捕された従業員の雇用主が、 「お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について」というコメントを出しています(平成29年11月日付け)。 会社において、会社の不正行為が疑われる場合、もしくは、従業員の不正行為が疑われる場合の対応については、いろいろな鉄則があります。 それこそ、Tycssのイベント(サイバー犯罪の傾向と対策・対応 )でも話してきましたし、詳しくは、情報漏えい発生時の対応ポイント集」や私が、調査委員長を務めました報告書「情報漏えいインシデント対応方策に関する調査」で詳しくふれているところです。 要は、「正確な事実」に基づいて「透明性原則をもと
IPA「脆弱性届出制度に関する説明会」が開催されました。 そこで、この制度の利用者(?)の方から、いろいろな感想が「つぶやかれています」。この点については、「脆弱性届け出制度に関する説明会のつぶやきまとめ」でまとめられています。 私(高橋郁夫)個人としては、いわゆる「中の人」になりますので、具体的なこの制度の変更にいたった議論の経緯その他についてコメントすることは避けます。 ただし、この制度について、常にウワォッチし、あるべき制度を考えていた一法律家としてのコメントをさせていただければ、以下のとおりになるかと思います。 まずは、この制度が構築されたのが、2002-2003年の時期であったということは、さけて通ることができないと思います。その当時までに、時計を巻き戻してみましょう。 研究者・実務家の方が、脆弱性を見つけた、それを企業に対して、これ、脆弱性になるから直したらいいんじゃないの?と
「サイバー攻撃に「おとり」・・ウイルスを誘導」という記事が読売新聞からでています。 この記事が具体的にどのような仕組みを念頭に置いているかというのは、よくわからないところです。 (9/04 2240追加ですが、「新たな対策では、企業のシステムを精巧に模した疑似サイバー空間を作り、そこにウイルスを誘導することで、侵入後の動きを観測する。観測で得られたウイルスの情報については、サイバー攻撃対策に取り組む企業間で共有して、防御方法を見つけ出して、感染を封じ込めようとする」という記述がありますが、それでも、よくわかりません) 「政府や実在する有名企業のシステムに似せた「おとり」システムを作り」となっているので、実は、実在のシステムに侵入されたときに、そのターゲットの通信経路を操作して、デコイのシステムに誘導して、その上で、 (1)その通信を取得し、分析し、発信元を突き止め、発信元から情報を取得し、
電気通信業界・プロバイダー業界の人たちと話していて、戸惑う言葉の一つに「責任分界点」ということばがあります。 そもそも「責任」という言葉自体は、(1)行為をなすべき義務を負う、という場合と、(2)一定の問題が起きたときに、誰が責任を負うか(liable)か、という場合の二つの場合があります。 クラウドで、情報漏洩が起きたときに、その責任分界点は、どこなのか、とか、業界の人から聞かれて法律家としては「?」となるわけです。どうも、近頃では、ロボットや自動運転自動車にまで、このような用法が広がっているようです。Liablityを考えるときには、各行為者が、どのような予見可能性があって、具体的な回避可能性は、どうなのという具体的な事案に応じて、Liablityが決まっていくので、どこかの一点を基準に、行為者の責任が100対ゼロということにはなりません。なので、このような問題を検討する時には、「責任
ロボット法学会設立準備会に出席してきました。報道は、こちら。 非常に熱意のある参加者・事務局で、いろいろと面白かったです。 ただ、ロボットとして、何をテーマに論じるの、土俵は何にするの、という議論が、あまりされなかったのは、残念でした。法律家が議論するのであれば、アルファなり、オメガとしての、「定義」は、きちんと意識して論じるのが、当たり前の礼儀ではないでしょうか。(まあ、自分が、あまりにも古い流儀にこだわりすぎるのかもしれませんが) そんなことをいっても仕方がないので、体系について、考えていることを以下にメモします。たぶん、ロボット法としての論点は、IoTの問題と人工知能による制御の問題で、「ほぼ」足りるのだろうと思います。(何が足りないかは、考えていません) すると、問題となる各論点は、「自律性」「物理的存在」「存在と社会との関わり」の分野で論じられるはずです。 (1)自律性 人工知能
このページを最初にブックマークしてみませんか?
『トップページ - IT Research Art』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く