概要
序章 問題点の所在と本報告書の構成
1 問題の所在
| インターネットの普及に代表されるように、ネットワークのオープン化が急速に進展 |
特に、↓
| 電子マネー決済をふくむ電子商取引については、国内外において実用化に向けた動きが顕著。一部では既に実用化が開始。 |
このように、↓
| ネットワークのオープン化により、情報交換における利便性が飛躍的に向上。 |
しかし、↓
| メリットのみが強調され、そのオープン性・ボーダレス性ゆえに漏洩、改ざん等の情報セキュリティ上のリスクが内在することは忘れられがち。 |
そこで、↓
| 我が国においても国際的強調を基軸とした情報セキュリティ背策の策定が不可欠。 |
2 本報告書の構成
このような問題意識の下、本報告書においては、
第1部・・・オープンネットワークにおけるセキュリティ上の課題を明らかにする
第2部・・・諸外国における情報セキュリティ施策の動向を踏まえつつ我が国における情報セキュリティ施策の在り方を考察していく
という2部構成により検討を進めていくこととする。
特に、第2部では、まず第1章において、情報セキュリティ施策の中でも暗号に関連する施策の在り方について検討した後、第2章において、それ以外の情報セキュリティ施策の在り方について検討を進める。
第1章 オープンネットワークにおける不正行為の分析
オープンネットワークにおける不正行為としては、通常、次のものが挙げられる。
1 漏洩・盗聴
2 改ざん
3 なりすまし
4 事後否認
5 不正行為にかかる情報の発信
また、各不正行為への対策としての暗号技術が不正に利用された場合には、さまざまな犯罪がより容易・秘密裡に行われる恐れがあることから、
6 暗号の不正利用
も挙げられる。
現実にも国内外において、ネットワークにおける犯罪・不正行為が発生しており、その被害も増加・多様化する傾向にある。
第2章 不正行為への対策
各不正行為への対策例
| 不正行為 | 対策例 | |
| 1 | 盗聴・漏洩 |
|
| 2 | 改ざん |
|
| 3 | なりすまし |
|
| 4 | 事後否認 |
|
| 5 | 不正行為にかかる情報の発信 |
|
| 6 | 暗号の不正利用 |
|
※1 暗号技術の活用方法の概要
※2 端末・本人間認証とバイオメトリクス技術の活用
第2部 情報セキュリティ施策の在り方
第1章 暗号に関連する施策の在り方
1 国際社会における暗号政策に係る議論の動向
○ OECD暗号政策ガイドラインの策定作業
OECDにおいては、1996年5月に各国の代表により構成される専門家会合を設置し、暗号政策に関するガイドラインの策定に向けて検討を進めているところ。同ガイドラインは、近く公表される予定。
○その他
2 暗号機器の使用・輸出入に係る施策の在り方
(1) 諸外国における施策の動向
○暗号技術の輸出
国家安全保障上の間点から、米国を始め多くの国において許認可ないし承認制度により制限。
○暗号技術の使用
ほとんどの国において制限なし。ただし、フランスにおいては、従来より民間の暗号技術の使用を禁止していたが、昨年、一定の条件の下に緩和。
(2) 我が国の現状と今後の見通し
|
ネットワーク上の不正行為防止のための暗号技術活用の有効性↓
| 暗号機器の使用の一般的許容を前提とした上で、暗号技術の適正な利用の在り方等について広く議論を進めていくことが必要。 |
3 認証機関に係る施策の在り方
(1) 諸外国における施策の動向
認証機関の信頼性が確保されていないと、認証機関を悪用し、又は認証機関と結託したなりすまし犯罪が蔓延するおそれがあるため、諸外国において許認可制等の制度を検討。
○米国
○英国
1996年6月に暗号鍵の管理・認証等を行うTTP(信頼される第三者機関)の許認可制の法制化に向けて具体的検討を進める旨の政府決定を発表。
○その他
多くの欧米諸国の他、韓国やシンガポール等において、認証機関に関する法制的・技術的検討を推進中。
(2) 我が国の現状と認証機関の法制的な位置付けの在り方の検討
我が国においては、ビジネスベースでの認証サービスの実用化や認証技術の開発については様々な動きが見られるものの、認証機関の法制的位置付けの在り方に関する議論については広く行われているとは言い難いため、今後、国際的な動向に留意しつつ、十分かつ精緻な検討を進めることが必要。
4 キーリカバリー機能に係る施策の在り方
キーリカバリー機能に係る施策とは、暗号化されたデータに対する政府の合法的アクセスの在り方にかかる施策を指すもの。
(1) 暗号技術の不正利用による脅威の類型
(2) 諸外国における施策の動向
キーリカバリー機能の制度化と政府のアクセスに係る議論の動向
| 秘密鍵を管理する主体 | 政府によるアクセスに応じる義務 | |
| 米国 | 秘密鍵預託機関が持つ方向で検討中 | 義務付ける方向で検討中 |
| 英国 | 許認可を受けたTTP(信頼される第三者機関)が持つ方向で検討中 | 義務付ける方向で検討中 |
| フランス | 承認を受けた秘密鍵管理機関が持つ。 | あり |
| 日本 | 制度化については、ほとんど議論されていない。 | ほとんど議論されていない。 |
(3) 我が国におけるキーリカバリー機能に係る施策の在り方に関する議論の必要性
我が国におけるキーリカバリー機能に係る施策の在り方については、既存の法制度との整合性やプライバシー保護との要請に配慮しつつ、米国をはじめとする諸外国の動向を参考としながら、その要否を含め十分に議論を進めていくべき。
第2章 その他の情報セキュリティ施策の在り方
1 暗号に関連する施策以外の情報セキュリティ施策の類型
暗号に関連する施策以外の情報セキュリティ施策としては、次のものが挙げられる。
2 不正アクセス禁止法制の整備
諸外国における不正アクセス禁止法制の整備状況
| 国名 | 不正アクセス禁止法制の有無 |
| 米国 | ○ |
| 英国 | ○ |
| フランス | ○ |
| ドイツ | ○ |
| カナダ | ○ |
| 日本 | × |
| 不正アクセス行為は、多くの国において処罰の対象とされているにも関わらず、我が国においては、それだけでは処罰の対象とされていない。 |
↓
| 不正アクセス行為は、盗聴や漏洩などのネットワーク上の不正行為につながる行為であるとともに、それを手段として様々ななりすまし犯罪が容易に行われるおそれあり。 |
↓
| 我が国においても、不正アクセス禁止法制の整備が緊急の課題となっている。 |
3 インターネット上の不正・有害情報の流通を防止するための施策
インターネット上の不正・有害情報の氾濫は、青少年に有害な影響を及ぼすものとして、近時、国内外において問題となっている。
これについては、シンガポールにおけるインターネットプロバイダーについての免許制の導入などにみられるように、インターネットプロバイダーに対する管理・規制の法制化や、米国における通信品位法のように不正・有害情報の発信禁止の法制化のほか、フィルタリング用ソフトウェアの開発及びその普及の推進等の動きがみられる。
我が国においても、表現の自由に配慮しつつ、我が国の現状に即したルールの在り方、その内容等について早急にコンセンサスを形成する必要がある。
4 電子マネー等の電子決済に関連する犯罪への対策
近時、電子マネーの匿名性、無痕跡性から、そのマネーロンダリング等への悪用がFATF(マネーロンダリングに関する金融活動作業部会)やBIS(国際決済銀行)を始め国際的に問題とされている。
これについての対策例としては、被害規模の最小限化策としてカード格納金額に上限を設定することや、トレイサビリティ(追跡可能性)確保策として電子マネーにシリアルナンバーを付与すること等がビジネスベースにおいて検討・実用化されている。
我が国においても、電子マネーをめぐる制度の在り方について、国際的な議論の動向に留意しつつ十分な議論を進めていくことが必要である。
5 セキュリティ評価基準の策定
情報システムのセキュリティ機能の客観的評価に用いられるセキュリティ評価基準については、その国際的統一に向けて欧米諸国を中心にいくつかの取組みが行われている。
セキュリティ評価基準は、認証機関が満たすべき要件と密接に関連すると考えられるものであることから、我が国においても、さらに横断的な議論を展開していくことが望まれるところである。