【絶対】セキュリティと法律【遵守】

【絶対】セキュリティと法律【遵守】

従来の法律を用いた対応策

セキュリティ上の脅威(サイバー攻撃など)は多種多様であり、また常に新しいものが生まれ、変化しているため、それらを適切に取り締まる法律を新たに作り続けることは困難です。時代に合わせて法律を整備することも重要ですが、それをただ待つだけでは直面している脅威を野放しにしてしまうことにもつながります。このため実際には、従来の法律の解釈を広げることで現時点のセキュリティ上の脅威に対抗することがあります。典型的な例としては、サービス妨害や機密情報の漏えいなどがその対象として挙げられます。

電子計算機損壊等業務妨害

DoS/DDOS 攻撃は、その攻撃の内容的にサイバーセキュリティ基本法や不正アクセス禁止法で取り締まることができないのですが、攻撃で使われる手法を見ると、明らかに不当な方法によるものが多いため、既存の法律にある「電子計算機損壊等業務妨害」(人の業務に使用する電子計算機を損壊するなどの方法によって、電子計算機の使用目的に沿うべき動作をさせず、または使用目的に反する動作をさせて、人の業務を妨害する行為)で取り締まることができます。なお、利用者のある行為によって、結果的に対象のビジネスやサービスが継続できない状態に陥った場合でも、その行為に妨害の意図がなく、単純な設計ミスや操作ミスなどによるものの場合は、この法律は適用されないと考えるのが妥当です。

不正競争防止法

マルウェアなどを用いて企業から情報を盗み出す行為は「窃盗罪」には該当しません。しかし、盗み出した情報を、他のビジネスで活用する行為は「不正競争防止法」(不正な方法によるビジネスを取り締まるための法律)に抵触することが多いとされます。ただし、この法律を適用するためには、盗まれた情報が機密情報として管理されていることが必要なので注意してください。

法令遵守を徹底する

「セキュリティはわかるけど法律はわからない」は危険

本サイトをここまで読み進めてこられた方はすでに「セキュリティ対策では、結構危険な技術や人間を相手にする」ということを十分に理解していただけたかと思います。攻撃を仕掛ける相手が無法者(アウトロー)であるのに対して、セキュリティ対策を行う我々は法律やルールを守る必要がある、というのは不公平な気もしますが、これは前提条件です。絶対に守るようにしてください。稀に「攻撃者にやりかえす」ような話題が出ることがありますが、これは絶対にやってはいけない行為の1つです。やりかえす方法によってはみなさんが犯罪者になってしまうことも十分にありえます。マルウェアを理由なく保持し続けることも犯罪になるので注意してください。

常識と良識を大切にする

自分自身の常識や良識に照らし合わせて、「これはやばい」「まずい」と直感することは、やらないのが吉です。これは、法律自体が世間一般の常識や良識をベースに構成されており、常識的に危ない、またはアウトと思えるものは、法律上もアウトになる可能性が高いことに起因します。もちろん、最終的には裁判などの手続きを経ることで、セーフの解釈を与えられることはありえますが、「まずい」と思われることをやってしまったら、いったんは警察などの法執行機関による何らかの調べを受けます。

自分の興味は自分の家で行う

「攻撃を行う」のは、常識や良識に照らし合わせると「ダメ」なケーースが多いです。しかし、攻撃を研究したり、実際に攻撃を仕掛けたりすることによって技術力が向上する場合もありえます。技術力の向上に努めることは決して悪いことではないので、興味のある人はセキュリティ関連の技術も磨いてほしいのですが、もし実際に攻撃を仕掛ける場合は、必ず、自分の家で自分の環境に対して攻撃を仕掛けてください。業務上、外部のシステムに攻撃を仕掛ける場合には、当該システムの関係者と合意を取り、書面などでの契約を締結した後で実施してください。そうしないと捕まりかねません。

セキュリティカテゴリの最新記事