最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  　 5月16日に、米国アラバマ大学学バーミングハム校コンピュータ情報科学学部の“ SECuRE and Trustworthy computing Lab ：SECRETLab” は、5月10日に中国杭州で開催した国際的なシンポジューム「第8回情報、コンピュータと通信のセキュリティ・シンポジューム(8th Association for Computing Machinery （ACM）Symposium on Information,Computer and Communications Security：ASIACCS)」  (筆者注1) において「検出が困難なコマンドとモバイル端末間のコントロールに関する検出可能チャネル(Sensing-Enabled Channels for Hard-to-Detect Command and Control of Mobile Devices)」と題する報告 (筆者注2) を行った旨報じた。今回は、同リリースの概要を紹介する。 　この問題が取り上げられた背景には、急速に利用拡大が図られているモバイル端末に解するサイバー脅威問題を冷静に解析した研究者の探求心に加え、筆者が従来から問題視する最近時の米国の政治、軍、情報機関、法執行機関だけでなくアカデミック分野によるサイバー脅威問題の取り組みがある。 　特に今回取り上げたテーマに関しては、バングラディッシュ出身の研究者や従来対立する関係があるとされる米国の中国系の研究者も含む共同研究に基づく成果として国際学会で発表・報告された点に注目したい。 １．研究成果の概要 　アラバマ大学の“UABSECuRE and Truthworthy：SECRET”コンピューテイング研究室と同大学 “UAB Security and Privacy in Emerging computing and networking Systems：SPIES” は次のテーマにつき共同研究を行った。 　同研究室の指導教官である ラジブ・ハサン助教授(Ragib Hasan ph.D.,assistant professor of computing and sciences) は「一般大衆はメールとインターネットの利用時のみがウィルスに感染すると考えており、アリーナやスターバックスに行...

  　 Last Updated:April 30.2024 　わが国のサイバー攻撃などの関する関係者は、米国のサイバー攻撃に対する国を挙げての取組みについて本年2月12日に公布された 「重要インフラのサイバー・セキュリティの改善にかかるオバマ大統領令(Executive Order -- Improving Critical Infrastructure Cybersecurity)」 を必ず目を通していよう。 　このような中で、去る5月16日、 ノースカロライナ州立大学 の研究グループが標記の研究報告をまとめた旨 緊急リリース した。この論文の標題は「D-NC(distributed network control)システムのための安全な分散制御技術方法の集合と回復方法の分析(Convergence and Recovery Analysis of the Secure　Distributed Control Methodology for D-NCS)」である。 　この研究成果の発表は、きたる5月28日～31日、台湾の台北で開催されるIEEE(米国電子電力学会)国際シンポジューム(2013 IEEE International Symposium on Industrial Electronics (ISIE 2013)) の5月30日の13:00-14:50のセッション (筆者注1) で行われる。 　筆者はこの分野の専門家ではないため、同大学のリリース文の概要のみ紹介し、必要と思われる範囲で補足する。 　なお、今回のシンポジュームの参加国や発表者一覧を良く見ておいてほしい。IT分野でも急速に発展している国とりわけ中国の大学や中国の海外への進出研究者が多いことも注目すべきであろう。 １．ノースカロライナ州立大学の研究グループ研究報告リリース概要 　同大学のサイトで 閲覧可能な論文 は6頁ものである。 (1)同大学の研究者は、輸送、電力やガス他の重要インフラの調整のため米国中をつなぐネットワーク制御システムに対するサイバー攻撃を防御、隔離のためのソフトウェア・アルゴリズムを開発した。 　これらネットワーク化された制御システムは、本質的にコンピュータと物質である端末の間を接続し、コントロールするものである。例えば、近代的な建物では温度センサー、暖房システム...

  ４. 英国や英連邦の主要国におけるサイバーセキュリティ戦略強化や民間会社との情報共有化等に向けた具体的取組み (1)英国のサイバーセキュリティ戦略や民間との情報共有化に向けた具体的取組み 最近の数年の取組みを整理する。なお、筆者が毎日チェックしているメディア“Huffpost Tech UK”は、去る4月8日付けでワシントンD.C.の英国大使館の外交および安全保障政策グループの責任者・  ビクトリア・ウッドバイン(Victoria Woodbine) 氏 (筆者注23) が「 Government and Business Team Up to Strengthen UK Cyber Security」 という興味深いブログ・レポートを書いている。 Victoria Woodbine 氏 (A) 2013.3.27 英国内閣リリース 「Government launches information sharing partnership on cyber security」(New cyber partnership launched to help government and industry share information and intelligence on cyber security threats) (B) 2013.3.27 内閣府担当国務相・出納担当相(Minister for the Cabinet Office and Paymaster General)フランシス・モード(Francis Maude)氏のSpeech： 「 Cyber Security Information Sharing Partnership(動画および公式文書記録)」 Francis Maude 氏 (C)英国議会　POST NOTE 389 （2011年9月　）「Cyber Security in the UK」で概観できる。 (中略) (D)2011年11月25日　英国内閣発表「Policy paper Cyber Security Strategy」専門サイト 　さらに具体的に内閣サイトの情報を整理する。 (中略) (E)2012年12月3日　サイバーセキュリティ戦略策定1年後の進展状況報告 「Progress against the...

  ○CISPAの下では、民間企業はどのようなことが可能となるか? いかなる会社も、CISPAの下では、会社の権利と資産を保護するためにサイバーセキュリティ・システムを使用し、またサイバー脅威となる情報を特定することが可能となる。さらに、それが「サイバーセキュリティ目的」である限り、その情報を政府を含む第三者と共有できる。 これらの前提条件が満たされるときは、いつでもCISPAはあなたのコミュニケーション・サービスプロバイダーがあなたのメールやテキスト・メッセージを政府と共有することを許容できるくらい広く記述されている。また、あなたのクラウド・コンピューティング・ストレージ会社は、あなたのために保存するファイルを第三者と共有できることになる。 　現時点では、  “Cable Communications Policy Act of 1984”  、 “1968年Wiretap Act”  、  “1988年Video Privacy Protection Act”  、および“ Electronic Communications Privacy Act”   (筆者注12) のような安定運用している法律は、会社が不必要にあなたのメールの中身を含む個人情報を共有するのを防ぐため司法による監視および他のプライバシー保護手段を提供する。 　そして、これら法律は明白にあなたの個人情報を明かす際に度が過ぎる会社に対する民事訴訟(civil action)を起こすことを許す(筆者注13)。CISPAの主要な条項は、CISPAが他のすべての法による関連条項に優越することを本質的に「いかなる他の法律の規定にもかかわらず(notwithstanding any other law)」有効であると宣言することによって、CISPAはプライバシー法を含むこれらの法的保護を脅かすものとなる。 　また、CISPAは民事と同様に刑事上の責任に対しても会社のための広い免疫を引き起こす。 会社が潜在的に個人的で個人情報の大きい帯状の領域を政府と共有するというCISPA規定はより法的な保護を民間会社に提供する。 ○CISPAは著作権保護にかかる法執行のための法の濫用を防ぐ上で十分といえるか？ 　いいえ。 CISPAの初期の法案のバージ...

  　米国ボストン・マラソン・テロ爆弾事故の余波がなお世界中のメディアを騒がせる一方で、米国ACLU等の人権擁護団体やロースクール等法律アカデミック関係者は米国の監視社会(Surveillance Society)化への強い抵抗感を持って論戦を張っている。この問題は改めて論じたい。 　一方、米国連邦議会下院は4月15日に 一部修正 のうえ、4月18日、賛成288(うち民主党員は92名で下院全党員の約半数)、反対127、棄権17)  (筆者1) で 「サイバー脅威情報の共有保護法案(Cyber Intelligence Sharing and Protection Act Bill：H.R.624)」 を 可決 した。本法案の真の狙いは、グーグルやヤフー、マイクロソフト、アップルと言った大手ネット企業の利用情報を連邦政府が共有することで、サイバー・テロやサイバー攻撃を発見し、具体的に防止しようというものである。 　実は、この 同じ法案(H.R. 3523) は2012年4月26日に下院を通過(賛成248、反対168、棄権15)したが、上院で「議事進行妨害(filibuster)」 (筆者注2) により破棄されたものである。 　一方、オバマ政権は2012年4月25日、H.R.3523につき 政府見解(Statement of Administration Policy：SAP) を発布した。この政府見解は次のような点がポイントと考えられる。 「①政府は、わが国の極めて重要な情報システムと重要インフラを保護するために包括法の不可欠な部分として、サイバーセキュリティの脅威に関して増加する公共に個人的な情報の共有の強化法案問題につき取り組んだ。 米国民のプライバシー、データの機密性および市民的自由を保持して、サイバースペースの民間的側面を認識する方法で情報の共有を行わなければならない。 サイバーセキュリティとプライバシーは互いに排他的ではない。さらに、包括法の本質的部分である情報の共有は、サイバーの脅威から国家の基幹・重要インフラを保護する上で十分とはいえない。政府は現在の法案H.R.3523” Cyber Intelligence Sharing　and Protection Act”に反対する。 (筆者注3) ②政府の提案は、連邦政府にわが国の重要インフ...