FIT2019 第18回情報科学技術フォーラム 開催日:2019年9月3日(火)~5日(木) 会場:岡山大学津島キャンパス
イベント企画
OSSハッキングのための法律相談
9月4日(水) 13:10-15:10
第3イベント会場(一般教育棟 A棟 A41)
【セッション概要】 サイバーセキュリティ能力向上のためには、ペネトレーションテスト等の攻撃技術に関する研究開発は欠かせない。しかしながら、いわゆる「攻めた」研究では、法的問題が発生する可能性があり、研究者や開発者が萎縮してしまうことが危惧される。そこで、本企画セッションでは、代表的なOSSセキュリティツールの開発者および法律の専門家を交え、ハッキングに係るツールの開発における法的問題について議論する。
13:10-13:15 概要説明
湯淺 墾道(情報セキュリティ大学院大学 情報セキュリティ研究科 教授)
【概要】 このイベントの企画の趣旨、内容等と、サイバーセキュリティ研究に関連する法制度が逆に研究の支障となりかねない状況を招いている一面について概説する。
【略歴】 1970年生まれ。青山学院大学法学部卒業。同大学院法学研究科博士前期課程修了。慶應義塾大学大学院法学研究科博士課程退学。2008年九州国際大学法学部教授。同年9月副学長。2011年情報セキュリティ大学院大学情報セキュリティ研究科教授。2012年学長補佐。総務省AIネットワーク化推進会議開発原則分科会構成員、総務省情報通信政策研究所特別研究員、内閣官房日本経済再生会議裁判手続等のIT化検討会委員、独立行政法人情報処理推進機構情報処理安全確保支援士倫理綱領制定委員会委員、内閣サイバーセキュリティセンター普及啓発・人材育成専門調査会セキュリティマインドを持った企業経営ワーキンググループサイバーセキュリティ関係法令の調査検討等を目的としたサブワーキンググループ委員ほか。
13:15-13:30 講演(1) OSSによる機械学習を用いたセキュリティツールの紹介
高江洲 勲(三井物産セキュアディレクション株式会社 先端技術セキュリティセンター セキュリティエンジニア)
【概要】 セキュリティエンジニアがセキュリティテスト(システムに潜在するセキュリティバグを検出するテスト)を行う際、テストの効率化と品質を保つためにセキュリティテストツール(以下、テストツール)を使用する事がある。テストツールは商用・非商用など様々な形態があるが、より多くのセキュリティエンジニアの意見を取り入れながらテストツールを改善していく観点から、OSS(Open Source Software)として公開しているテストツールも多い。筆者も複数のテストツールをOSSとして公開している。一方で、このようなテストツールは、(悪意を持った人間が使用することで)サイバー攻撃に悪用される可能性もある。そこで本講演では、筆者が開発したテストツールを例に取り、悪用されないように工夫した点や、払拭できずにいる懸念点などを解説する。
【略歴】 セキュリティエンジニア。CISSP。「サイバーセキュリティと機械学習」に着目し、機械学習の脆弱性やセキュリティタスク自動化の研究開発を行っている。研究成果は世界最高峰のサイバーセキュリティカンファレンスであるBlack Hat(ASIA, USA, EURO)やDEFCON、CODE BLUE等で発表しており、好評を得ている。
https://github.com/13o-bbr-bbq
13:30-13:45 講演(2) マルウェアシミュレータを開発する際に法的に注意したこと
凌 翔太(マクニカネットワークス株式会社 主幹技師)
【概要】 今日ではマルウェアに対する対策を施していない組織は皆無で、多くの組織では高度なマルウェアをなんらかの手法で対策しています。その一方でそれらの対策の強み、弱みを把握しているセキュリティ担当者は多くありません。このギャップを埋めるために、安全に利用できるテスト用のマルウェア(疑似マルウェア)を開発し、公開しています。発表することによる懸念は、そのツールが悪用され、実際の攻撃で利用されてしまうことおよび法的な観点でした。本発表では、攻撃用のツールを公開する上での注意したことを発表致します。
【略歴】 2004年マクニカネットワークス株式会社に入社。HDD暗号化、検疫ネットワーク、IPS、WAFなどのセキュリティ製品のエンジニアを担当。2013年にセキュリティ研究センターを発足、インシデント解析やサイバー攻撃の研究を開始。同年、Black Hat USA Arsenalにて自作ツール「ShinoBOT」の発表。以後同イベントならびにDEF CON、BSidesなどの海外カンファレンスで発表。2015年よりIPA主催のセキュリティ・キャンプの講師を担当。
13:45-14:00 講演(3) 国内での法的規制の状況
北條 孝佳(西村あさひ法律事務所 弁護士)
【略歴】 西村あさひ法律事務所カウンセル弁護士。10年以上警察庁技官として、各種サイバー攻撃に対する解析業務や新たな捜査手法の研究などに従事した後、2015年弁護士資格取得。現在は、企業のサイバーセキュリティ対策や不祥事等の危機管理対応を専門にし、NCA専門員、NICT招へい専門員、IDF分科会幹事等を務めるとともに、都道府県警察のサイバー犯罪捜査に従事する捜査官に対する講義を始め、全国各地で講演活動も行っている。
14:00-14:15 講演(4) 海外での法的規制の状況
高橋 郁夫(駒澤綜合法律事務所 弁護士)
【概要】 ハッキングツールに関する海外の法的状況について説明をなす。
【略歴】 1985年早稲田大学政治経済学部卒業、最高裁判所司法研修所終了(39期)。駒沢綜合法律事務所所長・弁護士、株式会社ITリサーチ・アート代表取締役、第一東京弁護士会所属 情報セキュリティ/電子商取引の法律問題を専門として研究する。法律と情報セキュリティに関する種々の報告書に関与する。著書に「デジタル法務の実務Q&A」「デジタル証拠の法律実務Q&A」「仮想通貨」(ともに共著)。2012年3月情報セキュリティ文化賞を受賞。
14:15-15:10 パネル討論 法律相談
パネリスト:湯淺 墾道(情報セキュリティ大学院大学 情報セキュリティ研究科 教授)
【略歴】 1970年生まれ。青山学院大学法学部卒業。同大学院法学研究科博士前期課程修了。慶應義塾大学大学院法学研究科博士課程退学。2008年九州国際大学法学部教授。同年9月副学長。2011年情報セキュリティ大学院大学情報セキュリティ研究科教授。2012年学長補佐。総務省AIネットワーク化推進会議開発原則分科会構成員、総務省情報通信政策研究所特別研究員、内閣官房日本経済再生会議裁判手続等のIT化検討会委員、独立行政法人情報処理推進機構情報処理安全確保支援士倫理綱領制定委員会委員、内閣サイバーセキュリティセンター普及啓発・人材育成専門調査会セキュリティマインドを持った企業経営ワーキンググループサイバーセキュリティ関係法令の調査検討等を目的としたサブワーキンググループ委員ほか。
パネリスト:高江洲 勲(三井物産セキュアディレクション株式会社 先端技術セキュリティセンター セキュリティエンジニア)
【略歴】 セキュリティエンジニア。CISSP。「サイバーセキュリティと機械学習」に着目し、機械学習の脆弱性やセキュリティタスク自動化の研究開発を行っている。研究成果は世界最高峰のサイバーセキュリティカンファレンスであるBlack Hat(ASIA, USA, EURO)やDEFCON、CODE BLUE等で発表しており、好評を得ている。
https://github.com/13o-bbr-bbq
パネリスト:凌 翔太(マクニカネットワークス株式会社 主幹技師)
【略歴】 2004年マクニカネットワークス株式会社に入社。HDD暗号化、検疫ネットワーク、IPS、WAFなどのセキュリティ製品のエンジニアを担当。2013年にセキュリティ研究センターを発足、インシデント解析やサイバー攻撃の研究を開始。同年、Black Hat USA Arsenalにて自作ツール「ShinoBOT」の発表。以後同イベントならびにDEF CON、BSidesなどの海外カンファレンスで発表。2015年よりIPA主催のセキュリティ・キャンプの講師を担当。
パネリスト:北條 孝佳(西村あさひ法律事務所 弁護士)
【略歴】 西村あさひ法律事務所カウンセル弁護士。10年以上警察庁技官として、各種サイバー攻撃に対する解析業務や新たな捜査手法の研究などに従事した後、2015年弁護士資格取得。現在は、企業のサイバーセキュリティ対策や不祥事等の危機管理対応を専門にし、NCA専門員、NICT招へい専門員、IDF分科会幹事等を務めるとともに、都道府県警察のサイバー犯罪捜査に従事する捜査官に対する講義を始め、全国各地で講演活動も行っている。
パネリスト:高橋 郁夫(駒澤綜合法律事務所 弁護士)
【略歴】 1985年早稲田大学政治経済学部卒業、最高裁判所司法研修所終了(39期)。駒沢綜合法律事務所所長・弁護士、株式会社ITリサーチ・アート代表取締役、第一東京弁護士会所属 情報セキュリティ/電子商取引の法律問題を専門として研究する。法律と情報セキュリティに関する種々の報告書に関与する。著書に「デジタル法務の実務Q&A」「デジタル証拠の法律実務Q&A」「仮想通貨」(ともに共著)。2012年3月情報セキュリティ文化賞を受賞。