脆弱性の開示の枠組を深く勉強したい人に-ワクチンの予約システムの報道に関して 2021.5.19 情報セキュリティ, 脆弱性対応 投稿者: Ikuo 世間では、ワクチンの予約システムについて新聞社が、実際の接種券にはない架空の数字を入力しても予約可能だと報じたことに関して、脆弱性の開示の枠組を遵守すべきではないか、といういい方をする人もでており「脆弱性の開示の枠組」に興味が増しているように思います。そこで、この「脆弱性の開示の枠組」を正確に理解してもらうために基礎的なお話をまとめます。 ソフトウエアの脆弱性を不特定多数に開示する前に、そのソフトウエアの開発者に連絡することが求められていますという考え方は、いわゆる「協調的な脆弱性の開示(CERTのガイドを紹介しておきます-https://resources.sei.cmu.edu/asset_files/SpecialReport/2017

株式会社ITリサーチ・アートは、平成30年度 総務省「トラストサービスに関する調査の請負」を落札させていただきました。 調査事項は、 我が国とEU におけるトラストサービスに関する法制度等の対応関係及び差異の調査 電子署名及び認証業務に関する法律における課題の抽出 となり、さらに、調査の結果の中間報告をワークショップにおいて報告をなした上で、その議論をもとに調査報告書をまとめることになります。 当社としては、我が国とEU におけるトラストサービスに関する法制度等をなすとともに、中国および韓国のトラストサービスに関する法制度をも調査すべく、現在調査に従事しております。 ワークショップおよび調査報告書で、調査の結果を、世間に問うべき努力してまいりたいとおもいます。関係者各位、特に、トラストサービスにかかわる方々、いろいろと事情をお聞かせいただきたいということでお話を伺うことにあるかとおもいます

お知らせ：当社社員の不正指令電磁的記録（ウイルス）保管容疑で逮捕された件について という会社のコメントについて 2017.11.3 情報セキュリティ 投稿者: Ikuo 前のエントリでふれた事件について、逮捕された従業員の雇用主が、 「お知らせ：当社社員の不正指令電磁的記録（ウイルス）保管容疑で逮捕された件について」というコメントを出しています(平成29年11月日付け)。 会社において、会社の不正行為が疑われる場合、もしくは、従業員の不正行為が疑われる場合の対応については、いろいろな鉄則があります。 それこそ、Tycssのイベント(サイバー犯罪の傾向と対策・対応 )でも話してきましたし、詳しくは、情報漏えい発生時の対応ポイント集」や私が、調査委員長を務めました報告書「情報漏えいインシデント対応方策に関する調査」で詳しくふれているところです。 要は、「正確な事実」に基づいて「透明性原則をもと

「サイバー攻撃に「おとり」・・ウイルスを誘導」という記事が読売新聞からでています。 この記事が具体的にどのような仕組みを念頭に置いているかというのは、よくわからないところです。 (9/04 2240追加ですが、「新たな対策では、企業のシステムを精巧に模した疑似サイバー空間を作り、そこにウイルスを誘導することで、侵入後の動きを観測する。観測で得られたウイルスの情報については、サイバー攻撃対策に取り組む企業間で共有して、防御方法を見つけ出して、感染を封じ込めようとする」という記述がありますが、それでも、よくわかりません) 「政府や実在する有名企業のシステムに似せた「おとり」システムを作り」となっているので、実は、実在のシステムに侵入されたときに、そのターゲットの通信経路を操作して、デコイのシステムに誘導して、その上で、 (1)その通信を取得し、分析し、発信元を突き止め、発信元から情報を取得し、

「サイバー攻撃に対抗措置　政府検討、電力や鉄道被害時」という記事がでています。 この記事は、ある意味で微妙な記事であるということができます。微妙というのは、ここでいう「対抗措置」というのが、国際法上の対抗措置をいっているのかが、明らかではないからです。 国際法で考えるときには、「国際違法行為（International wrongful act）」に対する「対抗措置とは、被害を被っている国家が違法な行為の中止を求め、あるいは救済を確保するために、武力行使にいたらない範囲で相手国に対してとりうる措置」をいいます。広い意味では、それ自体違法な行為による対抗する「復仇」とそれ自身は違法ではない行為により対抗する「報復」とがあります。また、具体的な手法によって分類するときには、外交、交渉、インテリジェンス、武力による対抗があります。 「国際違法行為（International wrongful a

電気通信業界・プロバイダー業界の人たちと話していて、戸惑う言葉の一つに「責任分界点」ということばがあります。 そもそも「責任」という言葉自体は、（１）行為をなすべき義務を負う、という場合と、（２）一定の問題が起きたときに、誰が責任を負うか（liable）か、という場合の二つの場合があります。 クラウドで、情報漏洩が起きたときに、その責任分界点は、どこなのか、とか、業界の人から聞かれて法律家としては「？」となるわけです。どうも、近頃では、ロボットや自動運転自動車にまで、このような用法が広がっているようです。Liablityを考えるときには、各行為者が、どのような予見可能性があって、具体的な回避可能性は、どうなのという具体的な事案に応じて、Liablityが決まっていくので、どこかの一点を基準に、行為者の責任が100対ゼロということにはなりません。なので、このような問題を検討する時には、「責任

EU司法裁、ビットコインは事実上の通貨と判断という記事がでています。 プレスリリースをみてみましょう。 そこでは、VAT指令が、「構成国家は、「通貨、銀行券、法貨として利用される硬貨に関連する取引については、税を除外しなければならない（Member States must exempt, inter alia, transactions relating to ‘currency, bank notes and coins used as legal tender’.）」と定めている（同指令135条）のについて、この規定が適用されるとしたものです。 判決は、これですね。 我が国においても、同様の法律問題があって、法的な問題の惹起を厭うので、実際の取引業者は、課税しているという話をきいたことがあります（論文としては土屋雅一「ビットコインと税務」があります）。この点については、ロビイング的な活

「金融・電力などサイバー攻撃報告義務…政府素案」という報道がでています｡(http://www.yomiuri.co.jp/it/20150501-OYT1T50144.html) サイバー攻撃についての情報共有については､乗り越えるべきたくさんの問題があります｡ (1)仕組みのインセンティブ設計 仕組みのインセンティブを考慮しないと「サイバー攻撃」をなかったことにする誘因になること (2)サイバー攻撃の定義 そもそも､「サイバー攻撃」について､物理的被害を基準としたタリンマニュアルの定義にそろえるべきではないかということ なお､ タリンマニュアル ルール30 サイバー攻撃は、サイバー作戦であって、攻撃であれ、防御であれ、人の傷害または生命の喪失、または、対象物の損壊または破壊を引き起こすと合理的に予期されうるものをいう。 といってます｡ (3)企業の守秘義務免除 企業の営業秘密・個人情報