From: kjm@rins.ryukoku.ac.jp (KOJIMA Hajime /
    =?ISO-2022-JP?B?GyRCPi5FZ0glGyhC?=)
To: kjm@rins.ryukoku.ac.jp (KOJIMA Hajime /
  =?ISO-2022-JP?B?GyRCPi5FZ0glGyhC?=)
Cc: access@mpt.go.jp
Subject: Re: =?ISO-2022-JP?B?GyRCIVZFRTUkREw/LiU3JTklRiVgJEtCUCQ5JGsbKEI=?=
       =?ISO-2022-JP?B?GyRCSVRANSUiJS8lOyU5QlA6dkshQCkkTjpfJGpKfSRLGyhC?=
       =?ISO-2022-JP?B?GyRCJEQkJCRGIVckWCROMFU4KxsoQg==?= 
In-reply-to: Your message of "Wed, 09 Dec 1998 19:03:35 JST."
	<2718.913197815@hyperion.st.ryukoku.ac.jp> 
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-2022-jp
Date: Wed, 16 Dec 1998 23:41:53 +0900
Message-ID: <6867.913819313@hyperion.st.ryukoku.ac.jp>
Sender: kjm@hyperion.st.ryukoku.ac.jp

  龍谷大学理工学部の小島と申します。私は以前

<2718.913197815@hyperion.st.ryukoku.ac.jp>において
KOJIMA Hajime / 小島肇 さんがおっしゃるには:
|   龍谷大学理工学部の小島と申します。
|   
|   「電気通信システムに対する不正アクセス対策法制の在り方について」を読
|   ませて頂きました。Internet の現状をきちんと踏まえた、たいへんよい案
|   だと考えます。 
| 
|   一方で、警察庁も同様題目の法案を公開していますが、不正アクセスの定義
|   範囲や義務など、その内容には非常に問題があると考えます[*]。郵政省殿
|   にはぜひともがんばっていただき、警察庁の野望をくじく形での立法を実現
|   して頂きたいと思います。
| 
|     [*] 私の考えについては
|         <http://www.st.ryukoku.ac.jp/%7Ekjm/security/fusei-myop.html>
| 	に掲載してありますが、ほとんど郵政省案と同じです (^^;)

  と書きました。郵政省案が大変優れていると言う基本的考えは現在でも変わっ
  ていませんが、再読した結果、次の部分については問題であると考えるよう
  になりましたので以下に記述します。

  「２　不正アクセス対策法制の概要」において、次のように記述されていま
  す。 

> (2) ＩＤ・パスワード等の保護　　　　　　　　　　　　　　　　　　　　　　
>      電気通信事業の用に供する電気通信設備（以下「事業用電気通信設備」
>      という。）のアクセス制御に用いられる他人のＩＤ・パスワード等をみ
>      だりに漏らす行為を禁止する。　　　　　　　　　　　　　　　　　　

  ここにおける対象は「電気通信事業の用に供する」ものだけに限定されてい
  ます。この理由として次のように解説されています。

> ２「事業用電気通信設備のアクセス制御に用いられる」
> 　　対象とするＩＤ・パスワード等は、事業用電気通信設備のアクセス制御に用い
> 　られるものに限定するものとする。したがって、企業・大学等が、自ら設置した
> 　ＬＡＮ等のアクセス制御に用いるため、当該設備の利用者（従業員・学生等）に
> 　付与するＩＤ・パスワード等は対象とならない。
> 　　これは、個々の企業・大学等の場合においては、ＩＤ・パスワード等が付与さ
> 　れる利用者は一定の範囲に限定されており、これらの利用者に対する適正管理の
> 　指導を徹底することによって防止できること、また、企業ＬＡＮ等の同一構内に
> 　おける不正アクセス行為を処罰の対象としないこととの均衡を図るためである。
> 　　一方、事業用電気通信設備のアクセス制御に用いられるＩＤ・パスワード等は、
> 　インターネット・プロバイダー等がそれを付与する者が不特定多数であるため、
> 　適正管理の指導が十分に行き届かない面がある。また、他人のＩＤ・パスワード
> 　等を用いて、単にインターネットのホームーページをブラウジング（閲覧）する
> 　等の行為が横行すると、当該インターネット・プロバイダーの業務に大きな支障
> 　を来たすこととなる。さらに、実態は必ずしも明らかでないが、アンダーグラウ
> 　ンドにおけるホームページ等において、現に売買されているＩＤ・パスワード等
> 　の多くは、事業用電気通信設備のアクセス制御に用いられるものであると見られ
> 　ることから、これらについて規制の対象とするものとする。

  この考えにはいくつかの事実誤認があると考えます。

1.  「個々の企業・大学等の場合においては、ＩＤ・パスワード等が付与され
    る利用者は一定の範囲に限定されており」とありますが、多くの企業・大
    学ではもはや組織構成員全員に何らかのアカウントが配布されているのが
    通常だと考えます。本学においても、原則として、学生・教職員全員に対
    して何らかのアカウントを発行しています。

2.  不特定多数だから管理が困難、という論理は理解できますが、一定の範囲
    だから指導が徹底できる、という論理は理解しかねます。また上記のよう
    に、一定の範囲という前提自体が成り立っていないと考えます。

    本学の場合、学生・教職員合わせて 20,000 名です。全員に最低 1 つの
    アカウントがあります。これだけのアカウントがあると、たとえ 99.9 %
    の人間に対して指導を徹底できたとしても、残り 0.1% = 20 人の不心得
    者の発生が予想されます。

3.  現実の世界では、しばしば「踏台攻撃」が行われます。自分のコンピュー
    タから直接攻撃対象のコンピュータに接続するのではなく、いくつかの中
    継コンピュータ (踏台) を経由して攻撃するのです。この中継コンピュー
    タは、たいていは不正アクセスの餌食となったものです。

    企業、大学などに対する「他人の ID・パスワードなどをみだりに漏らす
    行為」を禁止しない場合、上記踏台攻撃を予防するどころか奨励すること
    になりはしないでしょうか。そのような状態で「電気通信の安全・信頼性」
    を守る事ができるのでしょうか。非常に疑問です。

  以上の観点から、(2) は次のようにすべきであると考えます。

  ----
  (2) ＩＤ・パスワード等の保護　　　　　　　　　　　　　　　　　　　　　　
      特定電気通信設備のアクセス制御に用いられる他人のＩＤ・パスワード
      等をみだりに漏らす行為を禁止する。
  ----

  このようにした場合であっても、「企業ＬＡＮ等の同一構内における不正ア
  クセス行為を処罰の対象としないこととの均衡」が破られるとは、私には考
  えられません。

  以上です。

----
// 木下是雄「理科系の作文技術」中公新書 624 を読もう!!

小島 肇 - KOJIMA Hajime - 龍谷大学 理工学部 電子情報学科 (RINS)
[Office] kjm@rins.ryukoku.ac.jp, http://www.st.ryukoku.ac.jp/%7Ekjm/
         Phone: 077-543-7414  Fax: 077-543-0706