“ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声

トラストサービスの報告の途中で、ちょっとコメントを挟んでしまいます。

“ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声というNHKのニュースがあります。

司法が判断するのは、当然だとしても、その段階で技術的な正確な評価がシステム的にはいってこないというのは、問題かもしれません。検察庁も、やっと人をITまわりのところに出向させるようになってきているのですが、それをうまくシステム的にいくところまでもっていってほしいです。

ということで、米国の2001年段階(17年前)の状況をみてみましょう。

司法省の捜索・差押マニュアルからです)

(1)連邦の区の段階では、どの連邦検察官事務所にも、コンピュータ電気通信コーディネーター(以下「CTC」)として任命された連邦検察官補が、少なくとも一人は、配置されていた。

CTC は、コンピュータ関連の犯罪の広範囲にわたるトレーニングを受けて、自己の地区の内で捜索・差押マニュアルでカバーされる話題に関連する専門的技術を提供することを主たる責務としています。

(2)ワシントンDC の米国司法省の刑事課の中のいくつかのセクションがコンピュータ関連の分野に専門的技術を持っている。
ここらへんは、我が国も結構、専門的な技術のレベルでは、準備が整っているようにみえるのですが、どうでしょうか。

(3)コンピュータ犯罪と知的財産セクション(以下「CCIPS」)が常設されている。
一般の執務時間中は、少なくとも2 人のCCIPS 法務官が、捜査官と検察官に対してコンピュータ犯罪の事案で起こる他の事柄と同様に捜索・差押等の話題について質問に答え、支援を提供すべく勤務している。
捜索・差押マニュアルには、「CCIPS の代表番号は(202)514-1026 である。執務時間後は、ジャスティス・コマンドセンター(202)514-5000を通じてCCIPS に連絡をとることができる。」という記載があります。

ということなので、必要なのは、システム的に完備することのような気がします。
個人的には、技術者と司法が協力すべきだ、といってみても仕方がないような気がします。

トラストサービスフォーラムinベルリン Day1 その2

トラストサービスフォーラムinベルリン Day1 の2は、11時45分から13時までの「「認証のための提案された規制枠組におけるトラストサービス」というパネルです。

最初は、簡単な自己紹介がなされました。

そのあと、最初は、モデレーターのSlowmir GorniakさんによるCyber Security Package 2018 の解説です。サイバーセキュリティ戦略、サイバーセキュリティインシデント報告、NISガイドライン、サイバーセキュリティ法提案を考えることができます。
サイバーセキュリティ法提案のなかで、ENISAは、欧州のサイバーセキュリティを担当する永続の機関になるとともに、第2のパートにおいては、認証過程に貢献することになります。このプロセスは、任意的に、ICTデバイスやサービスなどについての認定を統一しようというもので、考え方としてはアンブレラであって、セクター間のものです。
この点については、Day2で詳しくみていくことにします。(名称は、「ENISA(サイバーセキュリティ庁)と情報/通信技術のサイバーセキュリティ認証に関する規則」案

参加者から、認証やデバイスについて、考えを述べることになりました。

Herbertさんからは、リモート署名が、普及しつつある場になっているということにふれました。署名指令がマキシマムの標準であったものにくらべると、eIDASは、最低限の標準になっているという点が注目すべきであるといえます。

Stefanoさんからは、電子署名指令からの流れやたくさんの議論があったことが議論されました。オランダの市場が立ち上がりました。トラストサービスプロバイダもある。現在では、統一指令があり、認証商品がある、それに、eIDAS規則がある、欧州の統一されたものがある、チャレンジである。サイバーセキュリティ法については、重要なものであると考えています、ということでした。

Boryannさんからは、ドイツの電子署名法にもとづいての認証のリリースがあって、それに従事していたことが話されました。

Delosさんからは、ISO17065の仕組みに則ったeIDASの仕組みの説明がなされました。スライドは、こちらです。

eIDASの認証認定スキームは、欧州認定協力(EA)が、765/2008にもとづいて、ISO/IEC 17065、EN319 403、とeIDAS要件にもとづいてなされます。具体的には、eIDASの適合性認定機関が(Conformity Accreditation Body)、適合性評価機関によるeIDAS認証スキームによって、適格サービスプロバイダやそのサービスが提供されることになります。それが、監督機関に通知されて、トラストリストに掲載されることになるのです。
ここで、一つの問題は、適格署名生成機器(QSCD,Qualified Signature Creation Devices)です。適格トラストサービス提供者が、そのなかで、適格署名を生成するということは、一つの論点になっています。現在の者は、スマートカードのようなデバイスに適合したものになっています。新しいものは、適格トラストサービス提供者が、その手元で作成する場合を考えなければなりません。
次は、Boryannさんは、QSCDの認証について、リスト化されているようになっているという話がなされました。

そのあとは、Q&Aのセッションになりました。QSCDのスキームは、十分であるのか、とか、の質問がなされました。具体的なやりとりは、省略します。

トラストサービスフォーラムinベルリン Day1 その1

ベルリンでのトラストサービスフォーラムの出張メモです。

トラストサービスフォーラムは、ENISAが、D-TRUSTと共同で開催している会議になり、今年が、4回目になります。10月23、24日とベルリンで開催されました。具体的な紹介は、こちらになります。

出席者は、120-30名という感じでしょうか。

スケジュールとプレゼンテーションの各ファイルは、こちらからダウンロードできます。

では、早速、午前中の前半のセッション(1000-1115)をみていきましょう。

1 歓迎の言葉(Anders Gjøen)

最初の導入は、Anders Gjøenさんです。スライドは、こちらです。
私たちは、デジタル社会におけるトラストがいたるところで、役に立っているのをみることができます。

EIDAS規則を簡単に見るとすると、二つの章が異なった規則と要件を述べているということになります。2章は、eID手段の相互認証であり、3章は、電子トラストサービスです。さらに9章では、電子ドキュメントについて述べられています。(スライド3頁目)
2018年には、電子署名も進歩しています。トラストリストを一覧でみることができ、サクセスストーリーにもなりました。接続ツールの準備や認証のテストケースが準備されています。また、協力ネットワークにおける意見が準備されています。協力がなされているエリアとしては、専門家グループ、ETSI、ENISA、産業界、国連、第三国などがあります。

eIDASの果たしている役割は、マネーロンダリング指令(AML5)、PSD2指令、越境における一回限り原則、デジタルにける顧客知しゅうの原則、会社法、虚偽情報対応、GDPR対応などがあります。(16頁目)

加盟国における大規模なパイロットプロジクト(PEPPOLやSTORK)があって、それらが、ボトムアップで、個々のサービスに提供されるのに対して、eIDAS規則は、上から法として枠組を与えています。

CEF(Connecting Europe Facility)は、eIDと電子署名において、種々の提案をなそうとしています。
次は、何になるのでしょうか。グローバリゼーション、スムーズな経験への需要が増加しており、その一方で、個人情報の利用についての懸念があります。 デジタルアイデンティティの市場は、混雑し、大変化しています。公的部門と民間の依存は、相互に高くなっており、サイバーセキュリティのリスクが増加するとともに、新規技術は、勃興しています。これらが、eIDやトラストサービスの進化をもたらす要因といえるでしょう。
EUは、未来への投資をなしています。

2 eIDAS規則-曲がり角を曲がって(Andreas Mitrakas)

このスライドは、こちらです。

EU戦略の全体像があります(同スライド2頁目から)。

中心にデジタル単一市場、サイバーセキュリティ戦略を起き、それをNIS指令、GDPR、eプライバシー規則提案、サイバーレジリアンス・競争的・イノベーテヤブなサイバーセキュリティ育成、eIDAS規則が取り囲んでいるわけです。
ENISAは、この戦略のなかで、重大な役割を示しています。その図解をみてみましょう(スライド3頁目)

この図でわかるように研究、トラスト提供事業者のためのガイドライン、事件報告、トラストサービスフィ―ラムの柱をそれぞれささえているのです。
研究には、適格ウエブサイト認証証明書、標準のためのマッピングがあります。上記トラスト提供事業者のためのガイドラインのガイドラインには、セキュリティ枠組、トラストサービスプロバイダのためのガイドライン、監査枠組、開始・監督・終了のガイド、頼れるバートナーのガイドなどがあります。また、インシデント報告については、19条専門家委員会、CIRAS-T報告ツールがあります。
eIDASの成功ストリーとしては、モバイルコネクス、ドイツの保険ドットコムなどがあります。
EUのサイバーセキュリティ認証枠組の基本的な要素をみることができます。

スキームの範囲

プロセス、製品・サービスのタイプ・カテゴリを含む

評価の過程において標準への参照を行う CAB(認証認定団体)のサイバーセキュリティ要件の特定

特定の評価クライテリア及び方法の利用

申請者のCABへの情報提供
マークやラベルの利用条件

認証証の維持および延長の条件

認定証明書/EU適合宣言のモニタリング・適合の規則 脆弱性報告のルール

CABにおける記録維持

同種のエリアにおける国家・国際スキームの特定

EU適合宣言の内容

有効期間

開示原則

相互認証

また、以下のような実施のスキームを考えることができます。

3  2017年トラストサービスセキュリティインシデント分析(Evgenia Nikolouzou)

このスライドは、こちらになります。

最初に、リスクアセスメント、セキュリティ手法、インシデンドレスポンスのトライアングルを考えることができます。


これは、各国において監督機関から監督されており、テレコム枠組指令13条、eIDAS規則19条、NIS指令14条および16条でふれられています。
時系列的にも、2011年5月テレコム・セキュリティ侵犯報告、2016年7月eIDASトラストサービスセキュリティ侵害報告、2018年5月NIS指令侵犯報告開始となっています。また、規則40条に基づく電気通信規範が準備されています。

セキュリティインシデント報告は、サービス提供事業者や監督機関にとっての学習のツールであるといえます。eIDASは、セキュリティ侵害について強制的に監督機関に通知する仕組みをとっています。監督機関は、越境のインパクトがある場合には、これをENISAに伝えることになっており、19条にもとづく報告書を作成しています。
各国の監督機関と加盟国の監督機関、委員会、ENISAの関係の図は、以下のようになります。

 

ENISAは、eIDAS規則19条の枠組のガイドラインを公表しています(Article 19 Incident reporting) 。報告の閾値を定めるのは、困難なチャレンジであり、二つのアプローチ(シナリオによる場合/インパクトのある資産による場合)が利用されています。

2017年版においては、13の事件が紹介されています。
43パーセントが、電子署名・電子シールの作成に影響をあたえたものになります。根本原因としては、システムミス、第三者のミスが多いです。およそ半分の事案が国境を越えるインパクトがあるものである。

結論としては、インシデント報告のメカニズムは、実働しており、その要件は、成熟しつつあります。脅威と事件の十分な情報の交換に貢献しており、国境を越えた協力と事件情報の共有がきわめて重要である。ということがいえます。

4 Enisaの活動のアップデート(Goriak)

このスライドは、こちらです。

ENISAは、種々のガイドラインを公表しています。

2017年12月には、適格サービス事業者の標準に基づいた推奨事項、トラストサーヒズ事業者の統合評価、トラスストサービス事業者のセキュリティ枠組、トラストサービス規定の開始/監督/終了のガイドラインを発表しています(https://www.enisa.europa.eu/topics/trust-services/technical-guidance-on-qualified-trust-services)。

また、2018年 には、eIDAS/トラストサービスの実装と理解の概観 がそれぞれ、公表されています(https://www.enisa.europa.eu/publications/eidas-overview-on-the-implementation-and-uptake-of-trust-services)。

2018年の活動プログラムとしては、トラストサービスの実装と理解の概観、新たな標準の評価、ROCA脆弱性 、eIDASの監査の研究、eIDAS/NIST/Mobile Connect/その他との保証レベルのマッピングなどがあります。

また、新しい標準の評価として、CID(EU)2016/650があり、新しい標準自体としては、EN419 221-5(TSPの暗号モジュールの保護プロファイル)、CEN EN 419 241-2(サーバ署名における信頼しうるシステム)があります(スライド4頁)。
eIDAS監査を世界的に、受容させるという目標がある。このために、eIDAS 一致評価報告とよびそれに関連する要件をうかがう推奨事項を提案するのが目的である。特に、QWAC (適格ウエブサイト認証証明書)の監査の受容を促進することである(スライド5頁)。

ちなみに上でふれたROCA脆弱性(Return of the Coppersmith Attackの脆弱性)ですが、infineonのチップにおいて、秘密鍵を公開鍵から生成できるというものです。エストニアのeIDカードにも存在したものであって、実害は、報告されなかったのですが、攻撃の可能性があったためにカード取り替えということになりました。私のeResidencyカードは、新しいやつなので、交換されたあとのものだ、ということを受領するときに説明をうけました。

トラストサービスフォーラムinベルリン 観光編

10月23日、24日にベルリンを訪問して、トラストサービスフォーラムに出席してきました。

なので、続けて、その会議で議論された状況を報告していきたいと思います。

まずは、ベルリンの写真から。ベルリンは、会議の翌日(25日)に、町中を歩いてみました。ただ、あいにく小雨模様だったので、町の中心街を訪問するくらいでした。

訪問場所は、

ブランデンブルグ門に

フンボルト大学

チェックポイントチャーリー

と、あと、いくつかの博物館を見て回りました。

でもって、実質3日いただけで、日本に戻る旅となりました。が、トラストサービスフォーラムでは、きちんと分析すると、EUのサイバーセキュリティに関する非常に重要な情報をうることができたような気がします。

くわしくは、次から。