私のこと、勝手に診断しないでください:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(43)
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第43列車は「無料セキュリティ診断」です。※このマンガはフィクションです。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
「こうしす!」とは
ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。
その情報システム(鉄道システムを除く)の管理を一手に引き受ける広報部システム課は、いつもセキュリティトラブルにてんてこ舞い。うわーん、アカネちゃーん。
「こうしす!@IT支線」とは
「こうしす!」制作参加スタッフが、@IT読者にお届けするセキュリティ啓発4コマ漫画。
第43列車:余計なおせっかい
井二かけるの追い解説
マンガのテーマは、「無料セキュリティ診断」です。
GMOインターネットグループが運営する「お名前.com」が発表した、同社の利用者を対象とする「ネットde診断」という無料セキュリティ診断を自動で行うサービスが、X(旧Twitter)をにぎわせました。
オプトアウト用のフォーム「ネットde診断 自動診断停止申請フォーム」が用意されましたが、そもそもこのような診断をオプトアウト方式で行うことが適切なのかどうかが疑問視される中、2023年12月22日に自動診断の延期が発表されました。
勝手に診断を行うリスク
もちろん、勝手に診断を行われてダウンしたり不具合を起こしたりするような脆弱(ぜいじゃく)なサーバをインターネット上に公開することは、セキュリティ上望ましいことではありません。
しかし、脆弱なサーバが公開されているから勝手に攻撃を行っていいわけではありません。
また、診断対象が顧客のドメイン名であったとしても、そのドメイン名が指し示すIPアドレスで運用されているサーバが、契約者自身が管理しているものではないというケースにも留意が必要です。
例えば以下のようなケースが考えられます。
- 顧客がSaaSでカスタムドメイン名を使用しており、そのSaaSのサーバを模擬攻撃してしまう
- 顧客が現在使用していない古いDNSレコードを放置しており、既に顧客の手から離れたIPアドレスを模擬攻撃してしまう
セキュリティ診断という一見正当な理由があったとしても、法律面、倫理面での問題があるといえるでしょう。
特に本番系に対して攻撃を行ってサービスがダウンした場合は、民事的に損害賠償を請求されるリスクがあります。そのため、セキュリティ診断は本番同様のテスト環境を構築して、テスト環境に対して行うのが望ましい方法です。やむを得ず本番環境に対して模擬攻撃を行って診断を実施するということもあり得ますが、依頼主と慎重にリスクの認識をすり合わせることが必要です。
注意が必要なのは刑事罰のリスクです。
以前、情報通信研究機構(NICT)がNICT法に基づいて実施したパスワード設定などに不備のあるIoT機器の合法的な調査でさえ、当時は「そこまでやるのか」とセキュリティ界隈(かいわい)には驚きを持って受け止められました。
日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について(2月13日更新)(NICT)
政府主導の“対民間”サイバー攻撃? 物議を生む「NOTICE」を実行せざるを得ない、国内の深刻な事情(ITmedia エンタープライズ)
ましてや、一般人や一般企業が行う調査であれば、慎重を期さなければなりません。
勝手にセキュリティ診断を行うと、「不正アクセス禁止法違反」や「偽計業務妨害罪」「電子計算機損壊等業務妨害罪」などの罪に問われるリスクがあります。
例えば不正アクセス禁止法違反では、被害の有無にかかわらず、シンプルに「何人も、不正アクセス行為をしてはならない」に違反するだけで罪を問われるリスクがあります。
もちろん、不正アクセス行為に該当しないよう適切な同意を得ている場合や、正当業務行為や緊急避難などの違法性阻却事由が存在する場合はその限りではありません。ただし、正当業務行為や緊急避難を主張するとしてもハードルが意外に高く、いずれにしても、リスキーな行為であるといえるでしょう。
以下のような有名な事例もあります。
ACCS事件
ACCSのサーバに侵入し、脆弱性を指摘した元研究員が、不正アクセス禁止法違反で有罪となった。
岡崎市立中央図書館事件
図書館の利用者の一人が、システムに対し1秒に1回リクエストを送るクローラーで図書館のWebサイトから情報を収集したところ、システムの不具合により閲覧困難になり、偽計業務妨害容疑で逮捕勾留された
岡崎市立図書館問題でlibrahack氏「前例となって技術者が逮捕されることを心配」(ITmedia NEWS)
同意を得ることは重要ですが、いくら約款に記載されていたとしても、後から加えられた条項の場合は不利益変更などにより有効性に疑問符が付く場合もあります。また、筆者は、規約や約款にあらかじめ包括同意条項を書いておけばいいという包括同意万能論には賛成できません。
特にセキュリティ診断という影響の大きい機微な分野では、リスクを正確に説明した上で明示的な同意を得ることが適切だと考えます。
診断を受ける立場では
もちろん、外部から勝手にセキュリティ診断を行われた程度でダウンしたり、不具合を起こしたりするようなサーバを公開すべきではないというのは基本ではあります。
とはいえ、適切に運用されていたとしても、意図しないセキュリティアラートに対処する必要が生じることは、セキュリティ担当者としても頭が痛い問題です。
「無料で診断してもらえるのならばありがたい」と考えるのではなく、本番環境にせよテスト環境にせよ、どのような診断内容なのかを把握し、計画的に有償の診断を受けることの方がはるかに重要です。
セキュリティ担当者にとって「本番環境に影響があってもいい」「機密情報が設定不備により診断業者に渡ってもいい」というケースは相当にまれですから、勝手に実施されるセキュリティ診断はありがた迷惑……というよりも純粋に迷惑とさえ感じるかもしれません。
通常ならば、テスト環境であるならともかくとして、本番環境に対して影響が不明なセキュリティ診断を受けるべきではないと考えることでしょう。
意図せぬセキュリティ診断を行われないようにするためには、まず、新たにサービスを契約する際、不要なセキュリティ診断について契約書や約款に記載されていないかどうかを確認することが大切です。どうしても契約の必要がある場合は、オプトアウトが可能であればオプトアウトすることが必要です。
もしそのような診断を受けるとしても、何をどのように診断し、その診断によってどのようなリスク(サービスに生じる不具合、機密情報の漏えい)が存在するのか事前に確認することは必須といえるでしょう。
筆者プロフィール
原作:井二かける
アニメ「こうしす!」監督、脚本。情報処理安全確保支援士。プログラマーの本業の傍ら、セキュリティ普及啓発活動を行う。
著書:「こうしす!社内SE 祝園アカネの情報セキュリティ事件簿」(翔泳社)
「ハックしないで監査役!! 小説こうしす!EEシリーズ 元社内SE祝園アカネ 監査役編 [1]」(京姫鉄道出版)
dアニメストアにて、アニメ『こうしす!EE』配信中。
- Twitter:@k_ibuta
解説:京姫鉄道
「物語の力でIT、セキュリティをもっと面白く」をモットーに、作品制作を行っています。
原作:OPAP-JP contributors
オープンソースなアニメを作ろうというプロジェクト。現在はアニメ「こうしす!」を制作中。
- Twitter:@opap_jp、@kosys_pr
- 公式サイト:Open Process Animation Project Japan(OPAP-JP)
- 貢献者一覧:こうしす!/クレジット
関連記事
ブラクラ補導問題を題材にしたエンジニア小説、@ITに爆誕
セキュリティ業界のご意見番といえば、高村ミスズ先生ですよね。
脆弱性管理とセキュリティ診断サービスの未来とは
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。最終回は、脆弱性管理とセキュリティ診断サービスの未来について。
遠隔操作ウイルスによる誤認逮捕で百家争鳴
10月のセキュリティクラスタは、なりすましウイルスとクロスサイトリクエストフォージェリ(CSRF)による誤認逮捕の一件で持ちきりでした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。