Dr.セキュリティ


4つの研究内容


法的解決の研究開発

法的解決のセオリーを作る

法的解決の例

  1. 犯人を特定する。
  2. 犯人の不法行為をやめさせる。
  3. 慰謝料を取って損害を回復する。
  4. 制裁する。刑事告訴する。
  5. 訴訟(裁判)で決着をつける。

上記のような法的解決および救済を実現させる、いわゆる「セオリー」があります。
定石、攻略法、勝利の方程式などと言うとイメージしやすいでしょうか。
確立したセオリーに則って対応を進めれば、事案の解決と被害者の救済を達成する事ができます。

しかしそのセオリーは不変のものではありません。
なぜならば、ITやICTを取り巻く環境は日進月歩で目まぐるしく変化するからです。
毎年毎年、新技術、新サービス、新製品がリリースされ、その度に流行やスタンダードが変化しています。
状況は刻々と変化するため、セオリーも刻々と変化するのです。

時には消滅もします。
ついこの前まで有効だったセオリーが、今では役に立たない。
現在有効なセオリーが、来月にも有効だとは限らない。
ITやICTの変化に伴ってセオリーの有効性は失われるのです。
その代表例は、OSやアプリ等のアップデートです。
アップデートにより一部の仕様が大きく変化し、これまで有効だったツールでは証拠保全が不可能になり、伴ってこれまでのセオリーでは法的解決が不可能となった、ということが頻繁に生じます。
そのセオリーは実行力を成さなくなるので、消滅します。

一つのセオリーが消滅すると、新しいセオリーが生まれます。
変化した状況に適応するためです。
「生まれる」と言っても自然発生するわけではありません。
セオリーとは理論であり、人が考えて作るものだからです。

では一体、誰が新しいセオリーを作っているのでしょうか。
それは、私たちDr.セキュリティ®のような情報セキュリティ関連の企業や、弁護士、検察、学者などの法律専門家です。
Dr.セキュリティ®は、時にはベンダーや法律専門家と共同し、また時には研究会やワークショップ等に参加し、技術的側面と法律的側面の両視点からサイバー犯罪の解決および被害者の救済に有効なセオリーの研究開発を続けております。

法的解決の実現性

× 海外ハッカーのサイバー犯罪は解決困難

○ 国内の事案の場合は法的措置の実現性あり

サイバー犯罪の犯人に対する法的措置は、一般的には「非常に難しい」とされています。
確かに、海外のハッカーによるサイバー犯罪の場合は国内犯罪に比べて解決の難易度が格段に高いです。
その理由などの説明はここでは省略しますが、外国の法律や制度、かかる費用や時間、成功確度や犯人の逃亡リスクなど様々な要因が難易度を高めています。
さらに法人を狙った身代金要求のサイバー犯罪の場合は、ハッカー集団による組織的な犯行であり、法的解決は極めて困難です。
運が良ければ「鉄砲玉」のような一部の者は捉えられるかも知れませんが、組織の中心にいる「親玉」を捉えるのは限りなく不可能に近いのが現実です。

このような組織的なサイバー犯罪ではなく、単独犯や、計画的でない稚拙な犯行というような場合には、海外事案であっても法的解決の道はありますが、費用面などを総合的に勘案しますと、法人ではなく個人が法的措置を取るのはあまり現実的ではないと言えます。

しかし海外ハッカーによる事案ではなく日本国内における事案の場合には、犯人特定や法的措置の確度はグンと高まります。
例えば嫌がらせ・いじめ、愉快犯、ストーカー、脅迫などといった個人間におけるトラブルや、会社と従業員や退職者のトラブルなど、国内における事案の場合では犯人特定や法的措置の実現可能性は高いです。

そしてサイバー犯罪は、通常の犯罪よりも法的解決が容易であるケースも多くあります。
これを意外だと感じる人が大半だと思いますが、その理由を知れば「なるほど」とご理解頂けるはずです。

サイバー犯罪は、サイバー空間という目に見えない場所における犯罪であるため、「解決は難しそうだ」と感じるのが普通だと思います。
しかしサイバー空間における行為は、それに関連する電磁的な記録がコンピュータの内部にも外部にも多く残されるため、事後の調査や立証を容易に実施することができるのです。

分かりやすくするために、通常の犯罪(物理空間における犯罪)とサイバー犯罪を対比して見てみましょう。
通常の犯罪について「空き巣」を例にし、サイバー犯罪について「不正アクセス」を例にして説明します。
空き巣の事案を調べる場合、最初に現場や経路に残る指紋や靴跡などの痕跡を収集する事となります。
不正アクセスを調べる場合、最初にコンピュータや通信機器に残るデータやログなどの痕跡を収集する事となります。
ここまでは両者とも似たような感じですが、次のステップから大きく変わります。

空き巣の場合では、痕跡の収集を実施した結果、指紋や靴跡などが一切残っていなかったというケースもあり得ます。
不正アクセスの場合では、データやログなどの痕跡が一切残っていないというケースは、現実的には起こり得ません。
火災や大津波などによりコンピュータや関連機器などが全て物理的に滅失しない限り、痕跡はどこかしらに必ず残されます。

また空き巣の場合では、指紋や靴跡などの痕跡が残っていたとしても、それが「誰のものか」、つまり犯人は誰なのかを突き止めるのは容易なことではありません。
犯人に前科がある場合は別として、通常は指紋を見てもそれが「誰のものか」はわかりません。
不正アクセスの場合ですと、痕跡が「誰のものか」に関する記録はサービスプロバイダーに保管されているため、犯人を特定するのは比較的に容易です。

この例のように、通常の犯罪よりもサイバー犯罪の方が法的解決が容易であるケースは多くあるのです。
もちろん全てのケースがそうではありませんし、事案の内容や背景など様々な要因により解決困難という場合もありますが、しかし世間一般で言われているほどサイバー犯罪の法的解決は困難を極めるものでは無く、国内事案については比較的高い確度が見込めることを知って頂けたら幸いです。

法的措置の必要性

セキュリティ対策には限界があるため、終局的解決のためには根本原因である犯人を排除することの方が望ましい。
しかし犯人に対しての暴力等による自力救済は法律で認められない。
そのため司法手続きが必須となる。

サイバー犯罪の事案を終局的に解決させるための対策として最も確度の高い方法は、脅威の根本原因である攻撃者(加害者)を排除することです。
そして、それを実現するためには法的な強制力や抑止力が不可欠です。
換言すると「終局的な解決のためには法的措置が必要である」と言えます。

なぜかというと、皆様ご存知かと思いますが、コンピュータの脆弱性やバグが無くなることはあり得ず、ひいてはサイバー犯罪から身を守るための防御策(セキュリティ対策)も100%完璧な方法は残念ながら存在しませんし、それを実現することも現代のテクノロジーでは不可能だからです。

補足

完全無欠のセキュリティは不可能だということを理解しやすくするために、次の喩えをみてください。

【喩え①-自動車】
絶対に故障しない、事故を起こさないという自動車を作ることは、現代の科学技術では不可能です。

【喩え②-医療】
絶対に癌にならない、ウイルス感染しないという予防薬を作ることは、現代の科学技術では不可能です。

これらの喩えと同様にコンピュータの分野でも、完全無欠のものを作るというのは不可能なことなのです。

どんなにセキュリティ対策を施したとしても、加害者に狙われ続けている以上、被害を受けるリスクを完全に取り除くことができません。
脅威を消し去るためには加害者を排除することが最も確実であり、それが解決への近道となります。

しかしいくら被害を受けているからと言って、被害者が加害者に対して暴力を振るって無理矢理どうにかすることは許されません。
被害者に与えられる方法は唯一、法の介入による加害者排除のみです。
法律に基づく論理的な強制力や抑止力をもって対応する。場合によっては警察等の公権力による物理的な執行をもって対応する。そして加害者を排除するというのが被害者に与えられた唯一の方法であり、それを実行するために法的措置が必要となります。
そしてそのような対応を望む被害者にとって、Dr.セキュリティ®のセオリーは大いに役立つことができます。

研究成果の活用状況と今後の展開

活用例

  1. 調査実務
  2. 弁護士の訴訟活動の補助
  3. 技術者育成、ナレッジ提供
  4. 被害者救済の「受け皿」の増強

Dr.セキュリティ®の研究開発により生まれた数々のセオリーは、運営会社である「株式会社アップラス」のサイバー犯罪調査(デジタル・フォレンジック)のサービスにて活用されています。
これまでに1,000件を優に超える数々のシーンで活かされ続けております。
それは、具体的な訴訟案件や事故対応案件における活用だけに留まりません。
法律事務所にナレッジ提供したり、ベンダーや商社などといった業界他社に協力したり、メディアや学生の取材に協力したりなど、様々なシーンでDr.セキュリティ®のセオリーが活かされてきました。

また現在は、協業パートナー企業に対するOEM供給の体制が構築され、より広範囲に調査サービスと法的解決セオリーを提供できるようになりました。

そして今はまだ体制が整っておりませんが、今後は人材育成のシーンでもDr.セキュリティ®のセオリーを活かせるよう取り組む方針でおります。
ITやICTの発展に伴い今後も増々、サイバー犯罪における法的解決が求められる機会は増えることでしょう。
それに比例して関連各所の対応能力を高めなければ、トラブルにお困りの人たちの「受け皿」が不足する事態となります。

コロナ禍の医療資源不足を思い出してください。
医療の「受け皿」の不足は、新型コロナに感染した人たちだけでなく、他の病気や怪我の人たち、その家族や身近な人などにも酷く辛い影響をもたらしました。
同様のことがIT/ICTにおいて発生するリスクは、遠い未来の話ではりません。
今日・明日に発生してもおかしくない状況にあります。
ですので「受け皿」を増やす・強化するという施策を実行するのが急務であると考えております。
例えばフォレンジック技術者の法的解決スキルを向上させたり、法律専門家がIT/ICT関連の知識を増強するなど。

それらに向けてDr.セキュリティ®では、現在は次に挙げる企画を温めております。
① 初学者向け、デジタル・フォレンジック基礎技術の研修講座
② 技術者向け、法的解決セオリーの研修講座とトレーニング
③ 士業や法曹関係者向け、案件種別ごとのナレッジセミナー

次のページ

応用技術の研究開発