さまざまなサイバー攻撃をいち早く検知し対処するには、攻撃者の手口、足掛かりとするインフラ、利用するツールなどの知見が欠かせません。ランサムウェアやbot、攻撃コードについても、例えばハニーポットを構築して捕まえ、解析することで、「どんな脆弱性が悪用されるのか」「どこが狙われているのか」を把握し、次の対策に役立てることができます。

しかし、そうした行為が「不正アクセス禁止法」に違反したり、「不正指令電磁的記録に関する罪」（通称：ウイルス作成・保管罪）にあたるとして、ある日突然逮捕されるのではないか――という懸念が、セキュリティ解析や知見の共有に取り組むエンジニアの間で広がっています。

きっかけとなったのは、仮想通貨のマイニングツール「Coinhive」を自分のサイトに設置したデザイナーが検挙された事件でした。その前後にも、リモートコントロール用のプログラムを紹介していたサイトが閉鎖されたり、アラートボックスが繰り返し表示されるWebサイトへのリンクを貼った男性が家宅捜索を受けたりしました。

そうした事件が相次いだことから、セキュリティに関する情報を公表したり、交換したりすると、自分たちも罪に問われるのではないかという懸念が広がっています。中には情報発信を自粛し、さらには勉強会の休止を表明するケースもあるほどです。

この数年、「セキュリティ人材が足りない」という話題があちこちのメディアで騒がれ続けてきました。それが妥当かどうかの議論も深まらないうちに、ここにきて突然今度は「AI人材が足りない」という話題に主役を奪われた感がありますが、基本的にはまだまだ足りないと言われ続けています。にもかかわらず、こうした自粛ムードが広がれば「セキュリティ人材の育成」とは正反対の動きになってしまうでしょう。

仕事でマルウェアを収集・保管したら罪に問われる？

日本ネットワークセキュリティ協会（JNSA）の社会活動部会 副部会長を務める唐沢勇輔氏（Japan Digital Design）

こうした不安を抱いているのは、余暇の時間を生かして知的好奇心から、あるいは自分のスキル向上のために解析や情報収集を行っているエンジニアだけではありません。セキュリティ関連のサービスを手掛け、仕事の一環でマルウェアや脅威情報を扱うエンジニアや企業にとっても、ひとごとではなくなっています。

2017年には、セキュリティ企業ディアイティの社員が、ウイルス作成・保管の容疑で逮捕される事件が起こっています。この件は、結果的に不起訴処分になりました。しかし、日本ネットワークセキュリティ協会（JNSA）の唐沢勇輔氏（社会活動部会 副部会長）は「サイバーセキュリティ事業に携わっている人たちが『この状況は心配だ』『セキュリティ関連の情報をつぶやくのはやめた方がいいのだろうか』と言い出す状況になっている。このまま基準や指針があいまいなままでは、サイバーセキュリティに関する活動の萎縮につながるのではないかという懸念が広がっている」と指摘します。

唐沢氏は、JNSAの18年度活動報告会で「サイバーセキュリティ事業者としてのコンプライアンスリスクとその保護」と題するセッションに登壇。昨年9月、JNSAの田中英彦会長を委員長として発足した「サイバーセキュリティ事業における適正な事業遂行の在り方に関する検討委員会」（以下、検討委員会）の調査・議論の内容を紹介しました。

「マルウェアや脅威情報の取り扱いには注意が必要だということは、皆が『暗黙知』として知っていたはず。だが、世の中のサイバーセキュリティへの注目度が上がり、新規参入する技術者が増加する中、業界として何らかの指針が必要ではないかと考えた」（唐沢氏）

そこでJNSAは検討委員会を設け、アンケートや聞き取り調査を行い、現場の実態をくみ取りながら検討を進めてきました。警察庁を含む関連省庁、さらには提言をまとめた情報関連の学会とも、意見を交わしてきたそうです。

サイバーセキュリティはもちろん、IT運用や開発ツールの中には、正当な業務への利用はもちろんですが、悪用も可能なツール、いわゆる「デュアルユース」のプログラムが少なくありません。例えば、脆弱性検査ツールは自らのシステムのセキュリティチェックに使えますが、攻撃のターゲット探しにも悪用できてしまいます。

運用管理者の役に立ってほしいと、よかれと思って公開したプログラムが、犯罪者に悪用されることを防ぐのは不可能です。個人あるいは企業が事業の延長で作成した成果物や公開したツールが、万が一悪用された場合、開発者・公開者が罪に問われるのは果たして妥当なのか――検討委員会ではそんな議論も含め、セキュリティ事業を進める上でどのようなリスクがあるかを明らかにしていく方針だそうです。

1|2 次のページへ