Winny+Antinnyによる情報漏洩に関する対策について、前エントリーで個人的な考えを提案させていただきましたが、思いのほか反響があり、私自身も含めさらに深い問題の理解や意見交換の場が必要と感じました。
Winny+Antinnyによる情報漏洩がもたらす被害の現状は単に一つのアプリケーションに留まらず新しいタイプの情報セキュリティに対する脅威(本当は新しくもないですが)に対する対策の必要性を示しているという見方もできるかと思います。このような問題に対しては、技術的な対策だけでなく、運用面、法制面、組織管理の面、教育啓蒙、思想、倫理、経済など広い視点からの検討が必要と思われます。
ということでまずは興味のある有志でP2P型の情報漏洩問題(仮称)について情報交換、意見交換をするような場を持てたらなどと思ってみたのですが、興味をお持ちの方いらっしゃいますでしょうか?
できればユーザ、研究者、ISP、ベンダー、法律関係者、行政関係者などいろいろな立場の方に集まっていただいて、研究会自体は白紙から色のつかない自由な意見交換ができればと思っています。
日時・場所等もまったく未定ですがなるべく早く開催できればなあなどと考えています。参加(登録)は原則実名でお願いしたいと思います。また会場(大阪と東京?)もどなたかご提供いただければなどとあつかましいことを考えておりますが・・・。どうでしょうね。
ご意見ご提案などはコメントでもこのエントリーの右に記載されているメールアドレスにでも。
あらためてとりあげるまでもなくWinnyの使用Antinny等情報漏洩型ウィルス感染による個人・企業団体等に関する情報漏洩が後を絶たない。これはもやは国家的異常事態とも言える状況だろう。いくら企業や国家が情報セキュリティ対策を声高に叫んだり各種対策や研究開発に投資したところで、その狙いどころが外れていればまったく意味が無く実際にそのような状況になっていることが露呈されていると言えるだろう。(残念ながらその事実に気付いている人はまだ多くないようだが。)
そもそも根本的な対策がないかと言えばそういうわけでもないは重要な情報の持ち出し制限や自宅パソコンの安全対策の啓蒙であるが、このような対策に限界があることは明らかである。現状の問題に対する手っ取り早く効果が期待できる一番シンプルなアプローチは国内の全ISPに協力を依頼をして、Winnyのトラフィックを制限することである。実際P2Pソフトウェアの使用がISPのトラフィックの大部分を占めることを理由にそのようなソフトウェアのトラフィックを制限しているISPは存在するし、Winnyを使用しないユーザについては実害がなく、むしろ帯域圧迫の緩和やそれに伴う料金の低下などのメリットも予想される。 このような考え方については、表現の自由や個人の情報活動の制限に繋がるという反対の声も予想されるが、そもそも自ら発信した情報を管理できないという点についてそういった目的のために使用する情報システムとして社会的に許容できるのかという疑問が残る。このことについてはWinnyの技術的欠陥としてプログラムの作成者である金子氏自身が認めている(らしい。下記ITmedia記事参照)。このような欠陥のあるソフトウェアが広く運用されおり、今も個人情報や各種機密情報がその上で漂流し、個人や社会に対して実害をもたらし続けているということ自体が問題であろう。P2Pソフトウェアによる情報発信や情報の交換、匿名による表現の場については他にも様々な方法が存在するし、欠陥が指摘されメンテナンスもおこなわれていないWinnyの利用に固執する必要はないはずである。
このようなアプローチを下支えする考え方として「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律」に基づき著作権侵害の被害者がプロバイダに対して情報発信者の氏名や住所などの開示を請求できたり、十分な対応をとらないプロバイダにその責任を問うことができる(厳密には法自体はこのような責任を免除するための条件を規定している。)のと同様の考えを当てはめてることはできないだろうか。あるいは過去迷惑メール等の第三者中継に利用されたサーバ管理組織が社会的非難を受けたように、実際に情報漏洩や著作権侵害をもたらすWinnyトラフィックを許容するプロバイダについてその責任を求めるという考え方もある。
Winnyのトラフィック制限に関する技術的な面では対応する製品が複数存在しているし実際に制限をかけているISPがあるのだから決して難しいことではないだろう。Winnyを通じた情報流出によって人生を狂わせてしまった個人は少なくないと思われる。そういった悲劇をこれ以上生まないためにも抜本的だがシンプルな対応というのを考えても良いのではないだろうか。
なお無用な誤解を招かないため補足するが、私自身は情報技術利用に関する各種規制や制限については行わないに越したことはないと考えている。しかし場合により社会全体のコスト負担の最適化や被害者の救済を考えればこのような制限・規制はやむを得ないのではないかと考えている。
(文言修正 2/26 14:10)皆様からのトラックバック等のコメントを受け誤解のないように、若干記述を修正しました。
(参考情報)
■開発者が語る“ポストWinny”(ITmedia, 1/30)
http://www.itmedia.co.jp/news/articles/0601/30/news047.html
■ぷらら、「MX」「Winny」ユーザーの帯域を制限へ(ITmedia, 03/10/20)
http://plusd.itmedia.co.jp/broadband/0310/20/lp12.html
■iTSCOM、“Winny”など一部アプリケーションのトラフィック制限を開始(InternetWatch, 03/12/19)
http://internet.watch.impress.co.jp/cda/news/2003/12/19/1569.html
今回新たなな挑戦ということでレベルを上げた県民セミナーを実施してみました。なんとか好評だったのではないかと思います。参加していただいた方のレベルがまちまちなので難しすぎるという声から、より深い内容をという意見もあったようですが。全体的なバランスとしてはうまくまとまったのではと(勝手に)解釈しています。
今回は、セキュアブレインの星澤さんに、フィッシング、ボット、スパイウェアに関する最新動向についてお話いただきました。フィッシングで使われている最新の手口、裏マーケットの様子など内容はかなりディープなものでしたが、具体的な事例を中心にわかりやすく説明いただけたので分野外の方も楽しめたのではないかと思います。長時間にわたりボリュームのある内容を説明していただきましたが、皆さん最後まで興味深く聞いていただけたように見受けられました。
JPCERT/CCの鎌田さんにはインシデントハンドリングの裏事情や米国のフィッシング対策の最新動向などについてご説明いただき、これもまた普段聞けない興味深いお話でした。関西方面でももっとこういう機会を持てると良いなと思っています。
最後は私の方からなぜセキュリティ事故がなくならないかという視点で、今風の対策のあり方についてお話をさせていただきました。企業における現時点での3大リスクとしてWinny+Antinny、Webアプリ、情報紛失をとりあげこれまでとは少し違った視点で具体的対策の提案をさせていただきました。現状を踏まえた実際的な対策というのがポイント。結果的に今日の事件にも大きく関連してしまいましたが・・・。
というわけで今回ご参加いただいた皆様ありがとうございました。今後ともどうぞよろしくお願いします。
最後時間が押してしまい大変申し訳ありませんでした。今後気をつけたいと思います。
■情報セキュリティ県民セミナー ~セカンド・ステージ~
http://www.cmuj.jp/05pref/index2.html
セキュアブレインの星澤さん、JPCERT/CCの鎌田さんをお招きして
スパイウェア、フィッシング、ボットなどの攻撃の現状や
インシデントハンドリングの舞台裏など少し濃いめのセキュリティのお話
が聞けるセミナーを神戸で開催します。
今回は兵庫県提供の情報セキュリティ県民セミナー~セカンド・ステージ~という形での開催です。
これまでも一般ユーザ向けの県民セミナーを提供してきたのですがより高度な内容をという声に
お答えしました。
会場はCMU日本校が入っているビルの会議室で、終了後にはカーネギーメロン大学日本校の
見学会も行う予定です。
詳細・申込は下記をご覧ください。
■情報セキュリティ県民セミナー ~セカンド・ステージ~
http://www.cmuj.jp/05pref/index2.html
CMUがあるピッツバーグを本拠地とするスティーラーズがスーパーボール26季ぶり5度目の優勝を果たしました。
皆様おめでとうございます。
昨年は惜しくもAFCの決勝で敗退したので、今年の盛り上がりはすごかったのではないかと思います。
向こうで見たかったなあ・・・。
最近のコメント