スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

米国:P2Pネットワークでの情報漏洩は国家安全保障の脅威

セキュリティかるた 連邦議会の議員たちが、連邦政府職員が誤って機密文書などをP2Pネットワーク上で共有する可能性があるとして、 P2Pネットワークを「国家安全保障の脅威」として批判しているよ、というお話。これに関して、下院監督・政府改革委員会公聴会において、下院監督・政府改革委員会委員長のHenry Waxmanは、詳細を明らかにはしなかったものの、この問題に対処するための新しい法律の提出を考えていることを明らかにした。彼は、P2Pネットワークを介して外国の政府、テロリスト、犯罪組織が、国家機密に関する文書にアクセスできるという可能性を問題視している。ただし、ここで指摘されているのは、あくまでも、誤って共有された機密情報に対するアクセスであることに留意してほしい。また、この公聴会には、LimeWire会長のMark Gortonも参加している。P2Pファイル共有企業の代表として参加したのようなのだが、多くの議員から、 彼がLimeWireの提供を通じて、国家安全保障を危険にさらしているとして痛烈に非難されたようだ。ただ、個人的にはP2Pネットワークへの全面的な規制を、という流れにはなっていないと思われるので、その辺について少し考えてみる。

原典:CNET News.com
原題:Congress: P2P networks harm national security
著者:Anne Broache
日付:July 24, 2007
URL:http://news.com.com/Congress+P2P+networks+harm+national+
security+-+page+2/2100-1029_3-6198585-2.html?tag=st.num

さて、ここで議論されている『国家安全保障への脅威』が何を指しているかを先に整理しておこう。まず、先述したように、P2Pファイル共有ソフトを使用することで、誤って機密情報を共有してしまい、それによって誰しもがその機密文書にアクセス可能になってしまう状態を指して、国家安全保障の脅威としている。また、ここでいう危険に晒されている文書というのは、下院監督・政府改革委員会(Oversight and Government Reform Committee)、米国登録商標特許庁(U.S. Patent and Trademark Office)、民間の調査などによって明らかにされた、政府の軍事指令書、機密の企業会計文書、局所的テロの脅威評価といった政府機密文書や、政府職員のクレジットカード番号、銀行明細、確定申告書、医療記録などの個人情報が含まれるとされる。

委員会有力メンバーである共和党議員Tom Davisは、機密情報が(情報漏洩によって)P2Pネットワーク上でアクセスできるという事実は、「連邦機関(やその他の組織)が保持する個人情報を保護する法律や規則を強化することの重要性」を示すものである、と述べ、これに対しては「迅速な対応が求められている」としている。彼は、政府機関にセキュリティ違反を発見することを義務付ける法案を提出している。

この公聴会においては、P2Pテクノロジーには一定のメリットが存在するものの、それが国家安全保障を危険に晒し、個人のプライバシーを侵害し、著作権法を犯しているという意見が多数を占めた。Waxman議長とPaul Hodes民主党議員は、P2Pネットワークを現在進行形の国家安全保障の脅威と呼んだ。

と、この辺までがCnetの日本語版でも記載されているのだけれども、原文はまだまだ続く。というか、ここからが面白いのに・・・。

ただ、このようなP2Pネットワークに対する批判は、今に始まったことではない。かつてはMPAAの訴えに応じてP2Pネットワークに対する非難を高めていたし、同委員会は4年前にも、P2Pネットワーク上でのポルノ共有、機密情報のリークの調査の2つに関して公聴会を開いている。また、2004年には、議会は多くの主要ファイル共有ネットワークを制限-または事実上禁止-するための複数の提案を議論している。

Waxman議長は、今回の議論ではP2Pネットワークの禁止を含んではいないとしながらも、「政府、個人、企業の機密情報や著作権法とのバランスをとる必要がある」としている。

実際、この公聴会で議論された情報漏洩は、現時点でも法律や連邦政府職員規則において対応できる。電子媒体であっても、従来の紙媒体であっても、公務員が許可なく特定の機密文書を漏洩することは違法とされる。また、連邦取引委員会の消費者保護局で広告綱領副参事を勤めるMary Koelbel Engleは、彼女の機関が行ったP2Pネットワーク利用の調査から、機密情報の危険性は、「テクノロジー自体に固有であるというよりも、主に個人がテクノロジーをどのよう利用するかによって生じる」問題であると言及している。

ここまでの流れをまとめると、機密情報が誤ってP2Pファイル共有ネットワーク上に共有されることが、国家安全保障上の脅威であるとし、より一層の法律や規則の強化を必要とするという意見が多数を占めている。ここまでの話の中で求められている強化というのは、機関や組織に対する個人情報保護を強く求めるといったものだろう。ただ、その一方で、現状の制度でも十分にそれは求めることができること、P2Pネットワーク上への情報漏えいの問題は、テクノロジー固有の問題というよりは、個人の問題であることなども指摘されている。

おそらく、議論全体の流れとしてはP2Pファイル共有に対する批判が強かったのだろうが、それでもさまざまな意見が出されてはいたようだ。ただ、そのようなP2Pファイル共有をフォローしてくれる主張があったとしても、「政府機関の機密情報漏洩の実績を持つLimeWire」のCEO Mark Gortonにとっては、何の援護にもならなかったようだ。彼は一部の議員から痛烈な批判を浴びることとなった。

もっとも容赦のない批判を浴びせたのは、民主党議員のJim Cooper。Gortonを「私がこれまで出会った中で、もっとも世間知らずな会長、CEOだ」と評し、彼の会社が、米国国家安全保障に害を与えるような情報へのアクセスを与える「マスターキー」を製造している、と非難した。

私はこの点で、重大な罪であると考えています。これ(LimeWire)は、ラップトップをアメリカ合衆国に対する武器に変えました。ミスターGorton、あなたはいかにして自分の製品を、悪人たちが、わが国に対して故意に悪用することができるかについての創造力が欠如しているようだ。

とCooper議員はいう。さらに彼はGorton自身のPCからも機密文書が漏洩しているだろうと主張した。

Cooper議員、容赦なさすぎ。おそらく、意図して過度の誇張や皮肉を込めているのだろうけれど、訴訟に備えて情報管理を常に行ってきたわけで、Gordon自身の機密文書が漏れているなどということはあるまい。ここだけ読むと、LimeWire自身に過度の落ち度があるようにも思えるけれど、実際にはユーザの設定ミスによる落ち度が原因になっている話だったりもする。

共和党議員Darrell Issaは、Gortonに対して、LimeWireの運営が、彼の会社に重大な法的責任を課するかもしれないと警告する。

IRS文書を流出させてしまったミズーリ州のCharlie Muellerのような人々が損害を受けたと感じ、あなたの製品固有の欠陥に対して数多くの訴訟を起こすとしたら、それはあなたを驚かせるでしょうか?

Gortonは彼の会社の運営の正当性を繰り返し主張し、国家セキュリティ情報が彼のネットワークを通じてアクセスされていたということを認識してはいないと述べた。そして彼は、LimeWireがより理解しやすい製品を作るよう努力しており、「初心者」ユーザに適したバージョンにも取り組んでいることを明らかにした。さらに、ソフトウェアは、不注意なファイル共有を食い止めることを目的とした複数の警告が挿入されている、という。たとえば、機密情報を含む可能性のある"My Documents"フォルダーやルートディレクトリを共有フォルダに指定しようとすると、ポップアップが表示されるのだという。Gortonは以下のように述べている。

現在、漏洩したとされる多くの情報は、明らかに共有するつもりのないディレクトリを誤って共有してしまうために引き起こされるのでしょう。それらの警告では、少なくともごく一部のケースには、十分ではないかもしれません。

しかし、このような主張に対して、特許庁の著作権組織弁護士Thomas Sydnorは次のように反論する。P2Pユーザが公開することを意図しないファイルを共有させられており、GortonのいうようなLimeWireの警告は、本来それが提示されるべきときに必ずしも現れるわけではない、と。

3月、特許庁がリリースしたレポートによると、「誤用が信じられないほど容易に行われうるという特徴が見られることは衝撃的である」と記されていると、Sydnorはいう。「これらのプログラムのインターフェースでは、ファイルの保存先以外には選択肢なくてもいいように思える。その結果、再帰的にコンピュータ上の全てのフォルダを共有することになる。破滅的な誤りを冒すことは、非常に容易である。」と主張する。

これが何を意味しているかというと、LimeWireの初期設定において選択されたダウンロードフォルダは、同時にアップロードフォルダとして認識される。これは、初期設定ではダウンロードフォルダに設定されたフォルダを、アップロードフォルダをして利用するためである。そのために、ダウンロードフォルダを指定したつもりが、そのフォルダに含まれるファイル全てのアップロードを許可したことにもなる。もちろん、これらを別にすることも可能なのだけれども、別途再設定しなければならず、それに気づかないユーザが情報流出の危機にさらされるということになる。

そのような誤設定によって引き起こされた事件としては、今年初めの運輸省の情報漏洩がある。同省職員の娘がLimeWireを自宅PCにインストールしたのだが、そのPCは職員である母親が在宅勤務のために使用しているものであった。上記のような誤った設定によって、同省や国立公文書館の文書がP2Pネットワーク上の他のユーザにもアクセス可能な状態になってしまった。

発覚後、フォレンジック(犯罪捜査の)分析によって、それらの文書の一部は一般に公開されているものであり、また運輸省の文書の全てが当人以外の機密個人情報を含んではいなかったことがわかった。情報漏洩という点では、それほど大事には至らなかったものの、それでも由々しき事件であったことには変わりないだろう。

同機関の最高情報責任者Daniel Mintzは、彼の機関が現時点でも「不注意な」ファイル共有と戦うための十分な権限があり、それは既に、議会への年次情報セキュリティ報告書において、そのような活動が必要とされていることを説明しているという。

Mintzが議員たちに説明したところでは、更なる情報漏洩を防ぐために彼の機関にとって重要なことは、監視を強化し、「規則の遵守を確実にすることだ」としている。その規則とは、政府に関連した作業をするPCにP2Pプログラムをインストールするためには、書面での許可を必要とすることである。また、職員に対するトレーニングを強化し、彼らに何がどう制限されているかを理解させることが必要であるという。

前民主党大統領候補で、退役将軍のWesley Clarkは現在、P2Pファイル共有活動をモニタリングするアプリケーションを開発するTiversaという小規模企業の役員を務めている。その彼は、「P2PネットワークとかかわりのあるPCにおいて、人々が政府に関連した作業をさせないための、企業および政府関係者による断固たるポリシー」が必要であるとしている。「たとえコンピュータに明るい人であっても、間違いを犯すことはある。そうすれば、いかなる情報であっても、瞬く間に漏洩してしまうことになるだろう」と語った。

まぁ、この記事を全体を見て思うのだけれども、P2Pネットワークへの批判はかなり強いながらも、それほどファイル共有そのものを取り締まるという流れにはなっていないようにも思える。もちろん、楽観的に考えすぎなのかもしれないし、今後どうなっていくかもわからないのだけれど。

今回の議論を整理してみよう。

  • P2Pネットワークは機密情報漏洩の可能性を高める、国家安全保障の脅威である
  • P2Pネットワークを介した情報漏えいを防ぐための取り組みが必要である
  • 一部、P2Pファイル共有ソフトには、アプリケーション固有の問題があり、それを是正させるべし
  • 機密情報を扱う政府機関、その関係者に対する情報保護に関する法律、規則を強化すべし
  • 政府職員へのトレーニングも強化すべし

一部では、個人のリテラシーの問題だろ、って指摘されているけれど、個人的には、リテラシーを高めるためには?という部分の議論でもあると考えているのよね。

このような問題を議論するうえで考えなければならないのは、1つの結論を優先しないこと、なんじゃないかなと思う。たとえば、この記事でも言及されているように、確かにテクノロジー固有の問題というより、使う側の問題(リテラシーとか)でもあるのだけれども、このような漏洩を防ぐためには、テクノロジーの側の協力があってもいいわけで。今回の場合でいえば、LimeWireに対して、早急にダウンロードフォルダの設定とアップロードフォルダの設定を分離するよう求める、というのが1つ考えられるだろう。もちろん、それ以上のことを求めるとなるとそれなりの議論が必要かもしれないけれども、両者のコスト・ベネフィットを考慮したうえで、可能な限り早急に対処できるものに関しては、そうするべきかと思う。

もちろん、それに加えてユーザのリテラシーを高める教育を行い、その上で法律や規則を強化し、機密情報の保護を強固なものとする必要がでてくるだろう。結局は、1つの解決策ではなく、考えられる要因全てにおいて、それぞれに解決に向けて前進させることが必要になるのではないかと。

ただ、このような問題の解決に向けては、そのプライオリティが何であるかを見失わずに議論を進めることも重要だろう。たとえば、これに乗じて著作権保護を前進させるような活動を組み合わせようとすれば、結局は当初の目的以外のところで足止めを食うことにもなる。もちろん、それは解決しなければならないことではあるのだけれども、それはそれで別個に議論を進めるべきだろう。

まぁ、それも難しい話ではあるんだけどね。ちょっと事情は異なるけれども、Winnyでの情報漏洩(こちらはウィルスだけど)、これの1つの解決策としては、金子勇にWinnyを修正させる、ということがあるだろう。まぁ、それも現在裁判が続行中であることを考えると現実的ではないかもしれないし、危険性が低下することで(完全にウィルスの脅威を回避することは不可能だが)、ウィルスを懸念して利用を控えていた人々までもが利用することになるかもしれない。その点で、難しいのだろうなぁと思ったりもする(ただ、もし本当のウィルスによる情報漏洩を何とかしたければ、ウィルスの脅威を回避するため以外の修正を一切加えていない、ということを京都府警やACCSあたりがお墨付きを与えた上で配布されればそれなりに効果はあるのだろうけれどもね。さすがに無理よねぇ)。

まぁ、日本の場合は、ウィルスによる情報漏洩自体が抑制効果を生んでいること(とその他もろもろの事情)を考えると、なかなかそのような手段には打って出れないのかもしれないけれど、LimeWireの場合は、(情報漏洩の脅威による抑止効果が小さいことを考えると)比較的そのような対処を期待できるんじゃないかなと。

まぁ、個人的にはLimeWireのMark Gortonの、この公聴会での発言のほうが気になっている。それについては、後ほど。

Trackback

Trackback URL
http://peer2peer.blog79.fc2.com/tb.php/608-1e56b895

Comment

Comment Form
公開設定

プロフィール
heatwave Author
:heatwave

RSS Jamendo twitter tumblr Creative Commons Attribution 2.1 Japan
ブログ内検索
記事リスト
最新の記事
全記事一覧
他所で書いてるブログ

P2Pとかその辺のお話@はてな

アーカイブ

カテゴリー
最近のコメント
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。