~情報セキュリティにおける倫理のお話~
セキュリティ・エグゼクティブ・ディレクター 中島浩光
今回のコラムはあえてひらがなで「いんてりじぇんす」としてます。
実際、Intelligenceとなると、軍や国レベルの諜報機関の話とかになると、お堅い話になってくるので、今回はそこまでお堅い話ではないけど、それっぽい(?)話です。
<ご近所さん?>
この話題を書こうと思ったきっかけですが、先日あるセキュリティ業界のWGでリモート会議をしていたのですが、その際に出席者の一人(Aさん)から
Aさん:「中島さん、××区民ですか?」
わたし:「はい、そうですが」
Aさん:「あ、やっぱり。こないだのリモート会議で中島さんが話している時に後ろで防災無線が流れていて、うちも同じタイミングで同じものが流れていたので、ご近所さんかな?と思ったんですよね。」
わたし:「あー、そうなんですね。うち、□□です。」
Aさん:「あ、私は△△です。今度ご近所呑みでもしましょうか」
というようなことがありました。
まあ、分かりやすく言うと、「私がどのあたりに住んでいるか?」ということが、実際の住所以外の情報から特定/推定されてしまったわけです。
<OSINT>
このときは詳細な住所番地まで特定されたわけではないですが、このように一般に入手可能な情報をベースに、いろんなことを特定/推定/推測していく活動を情報セキュリティ/サイバーセキュリティの界隈では Open Source Intelligence (OSINT、「オーシント」とよびます)と言われています。
情報セキュリティにおけるOSINTでの情報収集の対象は脅威や脆弱性に関することが多く、主にインターネット上に公開されている各種情報から、攻撃情報や脆弱性に関する情報等を収集し、分析することで、セキュリティ事故の予防や対策に役立たせることを目的としています。
例えば、ソフトウェアの脆弱性の情報であれば、CC/JPCERT等から各種ソフトウェアの脆弱性の情報が公開されていたりしますが、それらの情報の収集・自社の環境に対する影響の推測などは、OSINTとしては簡単なものではありますがOSINTの活動の一部といえます。
それ以外では、過去の攻撃のパターンや、標的型攻撃メールなどから、攻撃者について調査を行うといった難しい分析なども行う場合もあります。
<特定班>
最初に書いた私が特定された話ですが、この時は相手が「仲間内」といえる関係であり、、その場の話だけであったので特に問題はありませんでした。
さて、インターネットには「特定班」と呼ばれる人たちがいます。彼らは有名人がSNSにあげた写真などから、写真が写された場所や、着ている服やアクセサリーがどこの何でどこで売っている等、いろいろな情報を特定していったりするのですが、驚くほど早く、分析を行っています。これを一人で実施している人もいるのですが、「班」となっているので、複数の人が自分の得意領域で知見を出しあって情報収集・分析を行っている場合が多く、まさしく「集合知」といえるものだと思います。例えば、先祖の遺品の古い写真が発見され、それに関する情報を集めるためにSNSで拡散した場合の例などもありますが、ニッチな分野の専門家や一般の方で詳しい人など、さまざまな分析・考察がされて、どう考えても一人では調べきれないような結果が出る場合があったりします。
そういったことも含めて、特定班の人たちの集合体としての能力に関しては、通常の情報セキュリティの業務としての情報収集といった面からも参考になる部分はあるのではないかと思うのです。
<黒白灰色>
特定班の能力については素晴らしい結果がでる場合も多いのですが、その動機と結果をどうするか?が問題になります。
特に、個人のプライバシーに関する情報を特定するような場合や、特定した結果が元で犯罪行為が発生する場合もあります。
そのため、特定行為に関わるのであれば、その行為自体や、特定した情報の公開が違法にあたらないか?といったことは慎重に考えるべきではあると思います。
セキュリティ業界では「ホワイトハッカー」という、不正アクセスの技術を利用して、企業のホームページのセキュリティの診断をする方々がいます。
彼らは彼ら自身の技術を犯罪に利用しないという契約・前提なので「ホワイト」と冠されるのです。彼らが勝手にやってしまうと「黒=犯罪」になってしまうか、白でも黒でもない「灰色」になってしまうのです。
<倫理・・・>
科学の世界でも、「人間のクローンを作るべきか否か」といったような話で、倫理の話があるのですが、インターネットや情報セキュリティにも倫理の話はあるのですよね。
どの分野でもそうなのですが、技術が高度になって、できることが増えると、倫理が求められる、という話でした。