オバマ政権はインターネット停止権を獲得するのか?

   このエントリをはてなブックマークに登録    2009/4/5-1

アメリカ大統領の権限でインターネットを停止できることが盛り込まれた法案が「 Mother Jones:Should Obama Control the Internet?」で紹介されていました。

法案原文はCDT(Center of Democracy & Technology)で公開されているものです「 The Cybersecurity Act of 2009(PDF)」。

前半はセキュリティ的な危機やインターネットの重要性などが説かれていて、政府インターネットセキュリティに関する専門組織設立や、定期的に大統領に状況報告等をすることが書かれています。 そこを見ると、まあ、普通の提案に見えます。

しかし、途中で凄い表現が入っています。 元記事で注目されているのは43ページから44ページに記述されている部分です。 以下、法案原文より。

SEC. 18. CYBERSECURITY RESPONSIBILITIES AND AUTHORITY.

The President―

(中略)

(2) may declare a cybersecurity emergency and order the limitation or shutdown of Internet traffic to and from any compromised Federal government or United States critical infrastructure information system or network;

「サイバーセキュリティにおける緊急状態を定義し、政府もしくはアメリカ国内の重要インフラへのインターネットトラフィックを制限または停止することができる」 というような感じでしょうか? (訳は正確ではないので、ご注意下さい)

「critical infrastructure」が何を示しているか、とか、「limitation or shutdown of」がどこまでの範囲になるかによってイメージが随分変わってしまいますが、拡大解釈をしていけば「サイバー攻撃をされた」という理由でインターネットトラフィックを大幅に切断することも可能なのではないかと思ってしまいました。 一方で、政府情報システムへのトラフィックだけを緊急停止できるというだけの内容であれば「まあ、そんなものかも」とも思えます。

ただ、法案に「大統領権限でインターネットトラフィックを止める」という話が入ることを考えると、結構凄い内容だなぁと思いました。

40ページに記述されている内容もかなり強烈ですね。 何でもアリでデータ収集していいって。。。

(1) shall have access to all relevant data concerning such networks without regard to any provision of law, regulation, rule, or policy restricting such access;

Mother Jonesでは、「一カ所に情報を収集した方が、そこを突かれた時により危険度が高まる」という反論や、「一度情報が入手されたら当初の目的とは違った使われかたもするだろう」というような懸念も紹介されていました。 また、議論の過程で法案が骨抜きになる可能性も最後に指摘されつつ記事が締められていました。

何かCDTのサイトではリリース文に4月1日という日付が書いてあるので、本当かどうか疑いました。 PDFには3月31日と書いてありますね。

これって実現したら日本にも影響があるかも

この法案が実現したら、日本にも影響がある場合もあり得るかも知れないと思いました。 アメリカへのトラフィックが全て切断されるような状況が発生した場合、日本は恐らく無関係ではありません。 まず、日本で利用されている様々なWebサービスやブログや掲示板などがアメリカ国内にあります。 これらへの経路がいきなり遮断されることになりそうです。

特に、最近では各種デスクトップアプリケーションのWeb化やアウトソーシングが盛んです。 数年後にさらに今の状況が発展して、主記憶や判断を司る情報をアメリカに全て置いてしまった個人は困りそうです。 アメリカ大統領の判断で脳みそへのアクセスが遮断されるのに等しいのかも知れません。

さらに困りそうなのが「アメリカだってやってるんだ」という理論で日本でも同様の法案が提出されることです。 その時に、インターネットコンテンツ規制的な要素などを潜り込ませたりという人も出てな気がします。 そして「日本風にローカライズされた何か」が法案として出来上がりそうだと妄想しました。

広くセキュリティを見るのって誰の役割なんだろう?

インターネットが社会的に重要な意味を持って行って、社会全体への影響力が巨大化していけば行くほど、このような思想が発生しやすくなるのだろうと思います。 そこで、ふと不思議に思ったのですが「国へのサイバー攻撃」とは何で、「国へのサイバー攻撃を防ぐ」とはどういう事だろうかと疑問に思い始めました。 そもそもインターネットでどうやって攻撃されると、日本の社会資本にダメージを与えられるのだろうというのがあまり想像出来ていません。 ただ、実際の事例をブレストしていくと「あああ、それは痛いかも」というのがゴロゴロ出てくるのではないかと予想しています。

防ぐ方法を考える場合も、例えば、電気通信事業法での通信の秘密を考えるとISPが広く国内セキュリティを見たり、サイバー攻撃を検知する機能を持つのはあまり現実的じゃない気がします。 ISPは、急激な集中的トラフィックが発生するようなDDoSは検知出来ても、パケット流量が少ない侵入などをISPが広く監視するのは現実的じゃない気がします。 何といっても中身を見てはいけないわけですから。

では、個別に全ての組織がサイバー攻撃に備えるか、と言われてもサイバー攻撃の専門家を国内の様々な場所に配置したり、地方を含めて全てのインフラ系企業にサイバー攻撃耐性を持って頂くのも難しい気がします。

そして、何か巨大なサイバー攻撃が発生した後に「政府は何故準備をしていなかった!」と言われるだろうとも思います。 でも、だからといって国家による統一的なフィルタリングや、大規模アクセス制限が良いとも思えません。 中国のグレートファイアウォールのような話が日本に出来上がるのは嫌ですし。

そう思うと、「脅威がある!」と主張されたときに「もう民間で十分できてますよ」と反論できるのが重要かなぁと勝手に妄想してみました。 例えば、以下のような話があらけじめ練られていく事は重要なのかも知れないと思いました。

  • どのような脅威があり得るか
  • どの組織が攻撃されると弱いのか
  • ネットを攻撃することによって社会に影響を与えてしまう箇所はどこか
  • 攻撃を検知する方法にはどのような物があるか
  • 技術的可能だけと法的に難しいのは何か
  • 民間の力だけでどうやったら準備できるか
  • 発生しまった攻撃を迅速に収束させるにはどうすれば良いか

何か、上記のような話は探せば総務省で既にまとまった資料がありそうな気もしていますが、、、、 あとは、実はいかにもありそうな研究な気もします。 どなたか、関連論文や資料等をご存知でしたら教えて下さい。。。

やはりインターネットの強さは自律分散運用されている点だと思うので、下手な所で中央集権的な何かが出来上がっていくのが怖いなぁと思う今日この頃です。

   このエントリをはてなブックマークに登録