質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

解決済

4回答

1838閲覧

セキュリティ対策不備の場合に受ける制裁について

question-server

総合スコア30

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

0グッド

1クリップ

投稿2017/05/15 05:34

編集2017/05/15 10:09

質問

例えばの話です。

↓例としてマストドンと書いていますが、インスタンスを立ち上げてもいませんしまだ何もしていません。その他にも何も実際にサーバを立ち上げてもいません。

  • 個人の家のサーバでサイト運営(たとえばマストドン)
  • ユーザーは不特定多数
  • ソフトウェアはオープンソース(CentOSなど)
  • 特にセキュリティ攻撃を受けた場合の規定などない
  • 一般ユーザのメールアドレス、パスワードを保存。
  • 全てのソフトウェアを最新版にすることなどや一般的に必要とされているセキュリティ対策は実施している

例えば、上記のようなサーバーがあり管理者は自分のやれる範囲でセキュリティ対策をしていたとします。そんなある日、しかし、まさかまさかゼロディ攻撃やセキュリティの不備が見つかり(例えば脆弱性があるパッケージを古いままで放置)顧客情報(ユーザのメールアドレスやパスワード)を流出してしまったとします。この場合、このサーバーの管理者には何か社会的な制裁が下るんでしょうか?

例えば

  • ユーザーから法的に申し立てられる。何かしらの法律に触れ、管理者が法の裁きを受ける
  • 殆どのユーザーは法的に申し立てをしないので特に何も起きない。流出されたユーザは泣き寝入り。
  • が、万が一法的に申し立てがあったら管理者は法の裁きを受ける
  • そもそも、法的に申し立てできない。謝罪してそっとサイト閉鎖。流出されたユーザは泣き寝入り。ユーザーは信頼できるようなサーバーにしか個人情報を登録しない努力をする必要がある。

などなど。

マストドンなどを自分の家で運用しようとかを考えた時に、できうる限りの対策をしていても、例えばパッケージに脆弱性パッチが適用される前に攻撃を受けて流出などなどあった場合に法の裁きを受けてしまうようなことがあったらとても手軽に手出しできないなと思いました、が、その一方で自分で自宅ラックのように運営することにも興味があり悩んでいるところでした。

質問2

--追記1

*1

基本的に、セキュリティーホールがないシステムというものは存在しません。

正にそのとおりだと思います。この状況の中で企業であれ、個人であれ例えば上記のような個人情報を保管してサービスを提供しているものもあると思いますが、これはルータやサーバーでセキュリティを一定以上備えておけば情報が漏れる確率は限りなく低いので個人、会社で運営しているということでいいんでしょうか??例えばゼロディ攻撃を受ける確率はかなり低いということでいいのでしょうか?
個人にしろ会社にしろ*1で漏洩する可能性が絶対あるのに個人の重要な情報を保管してサービスを提供していることに違和感を感じました。ただセキュリティをある程度万全にすれば攻撃を受け情報を流出してしまう可能性がかなり低いのであれば、より便利なサービスを享受したいので納得できますし、自分でもマストドンなどを自宅で運用してみようかなぁと考える次第です。

宜しくお願いたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

iwamoto_takaaki

2017/05/15 07:45

前科者という言い方のは法的に罰を完了した人に対し、差別的で不快な印象をうけます。冗談にせよ別の言い回しがよいと思います。
question-server

2017/05/15 10:48

失礼しました。修正しております。
guest

回答4

0

ベストアンサー

刑事と民事をごっちゃにしている気がします。

法律の専門家ではありませんが、基本的な部分を説明したいとおもいます。
専門家でないので間違いも含んでいますがイメージは伝わるとおもいます。

刑事事件は、ざっくりいうと犯罪にかかわるところです。
Webサービスで言えば、個人情報の持ち出しなどがそれにあたります。

悪気はなくても、間抜けが過ぎると「わざとだろ、無謀だよ」と刑事告訴される場合があるかもしれません。
例えば、外部からユーザ/パスワードがadmin/passwordで接続できる(加えて、それによってユーザーに何らかの被害があった)場合はそれに該当するかもしれません。

どれだけの罪になるかというのは、法に定められていた内容により決まり、法に定めていないことは裁かれません。

民事は、被害にあった人が「そりゃないよ、保証してよ」という場合です。実害があった場合に補償や謝罪などを求めておこされます。(民事は収監されたり刑罰を受けることはありません。)

こちらは、悪意がなくても責任をとわれます。やるべきことをやらなかった場合は責任を取られると考えるとゼロデイ攻撃であれば、サーバを迅速に停止しなかった場合やわかってながら監視をおこたった、正当な理由なくパッチ適用が遅れた場合が当たると思われます。

ということで、例にだしたようなサービスでは、通常の使用承諾をとれば刑事訴追をされることは(保証は出来かねますが)ほぼ無いでしょう。

投稿2017/05/15 11:59

編集2017/05/15 18:20
iwamoto_takaaki

総合スコア2883

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

question-server

2017/05/16 00:08

詳細にありがとうございます! こういう場合の民事についてとても参考になりました。自分でもこのあたりとIT被害についていろいろ調べてみます。ありがとうございます!
iwamoto_takaaki

2017/05/16 01:09

そうですね。ケースバイケースなので、調べてみるとよいと思います。 妥当な判決ばかりだとおもいますし、訴訟はそんなにあるものでもないと思いますので、管理をしっかりやっていれば気にならないとおもいます。
question-server

2017/05/16 04:43

メールアドレスやパスワードが流出している事件はたくさんあるみたいでした。さらにパスワードの変更通知だけで終わったり、はたまた賠償が起きたり、管理側の落ち度、社会的な影響や個人情報のレベルによって様々のようで、仰るとおりケースバイケースでした。 >訴訟はそんなにあるものでもないと思いますので 確かにそのような印象を受けました。もちろんだからといってセキュリティ管理を怠っていいという話ではないのは大前提としてありますのでご安心ください。 >管理をしっかりやっていれば気にならないとおもいます。 調べていく中で、セキュリティが万全なことと、脆弱性情報を常に収集するよう努力しておけば、ゼロディ攻撃にも対応(提供される回避策を実施)できるように感じることができました。 今回の質問に対しての具体的な説明ありがとうございました。感謝です。
guest

0

パーツでの回答となりますが、

個人の重要な情報を保管してサービスを提供していることに違和感

できるだけ情報を持たない、持っても簡単に個人情報化させない(情報を結び付けさせない)、持った情報を暗号化する、といった処置を行い、当然のように漏洩に備えています。

よく見る例としては、パスワードのハッシュ化ですね。

余談

個人を特定され社会的に死んでしまう

自身の個人情報をそのように考えるのであれば、他者の個人情報も同じように扱うべきだです。よくわからないのに、Mastodon のインスタンス立てるとか、なめ過ぎだと思います。

投稿2017/05/15 08:25

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

question-server

2017/05/15 09:13 編集

>個人を特定され社会的に死んでしまう 書き方がまずかったですね・・!
退会済みユーザー

退会済みユーザー

2017/05/15 09:20

いえ、書き方の問題ではなく、情報取扱の覚悟の問題です。 あなたが個人情報を漏洩させてしまったとして、もしかすると、その影響で社会的に死ぬような影響がが出る方がいるかもしれないと理解して下さい。 その上で、そのような情報を取り扱う覚悟を持ち、対策を行うのであれば、インスタンスを立ち上げることは問題ないと思いますが、文面からそのような意識が見られなかったので余談として追記しました。
question-server

2017/05/15 10:11 編集

なのでインスタンスを立ち上げる前にteratailでいろいろ聞いています・・。
Zuishin

2017/05/15 09:59

どこが間違っているのかよくわからないので上げておきます。
退会済みユーザー

退会済みユーザー

2017/05/15 10:22

どの辺が「なので」なのか分かりませんが、以下の文章からはユーザへ責任を持ってサービスを運営するという覚悟は見えず、個人情報を取り扱うべき人には思えません。 > 法の裁きを受けてしまうようなことがあったらとても手軽に手出しできないなと思いました、が、その一方で自分で自宅ラックのように運営することにも興味があり悩んでいるところでした。 法がどうのというより、ユーザへの責任が発生することをまず理解して下さい。
question-server

2017/05/15 10:36

もちろん、ユーザへの責任発生することも想定できるからこそいろいろとteratailで聞いています・・。
Zuishin

2017/05/15 10:41

調べるべきことは、情報が漏れた時の責任の所在ではなく、どうしたら漏洩からユーザーを守れるかということだと思います。 責任は管理者にも間違いなくあります。
question-server

2017/05/15 10:45

>どうしたら漏洩からユーザーを守れるかということだと思います。 おっしゃる通りこれも当然知る必要があります。 ただ今回関しては上記質問内容だけの観点で質問しております。
guest

0

法律の専門家ではありませんが、最悪のパターンで懸念されているようなことは起こり得ます。
基本的に、セキュリティーホールがないシステムというものは存在しません。各国の諜報機関レベルであれば、ネットに繋がったPCであれば外部からなんでもできてしまうのでないかと思います。

軽減する方法としては
・個人情報はできるだけ保管しない。ネットに掲載しても良い情報のみ入力してもらう。
(パスワードについては、基本的にDBに保存してはいけません。ハッシュを利用します。まともなアプリならそうなっているはずです。)
・利用規約に管理者の責任を限定するような文言を盛り込む。
ただし、あまりにも管理者に有利な規約は裁判になった時に無効にされる恐れがあります。内容については法律家と相談する必要があります。
・個人情報漏洩保険を検討する。

といったものが考えられます、

投稿2017/05/15 06:25

CodeLab

総合スコア1939

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

question-server

2017/05/15 10:20

ご回答ありがとうございます!! >基本的に、セキュリティーホールがないシステムというものは存在しません。各国の諜報機関レベルであれば、ネットに繋がったPCであれば外部からなんでもできてしまうのでないかと思います。 おっしゃる通りと思います。セキュリティって難しいですね。。
guest

0

※法律の専門家ではないので以下は全て個人的な解釈です。

個人情報を扱う者は規模(扱う情報件数)を問わず漏洩等が無いよう保護する責任があります。
オープンソースでは「どこにあるDBにどのような手順でアクセスすればどんなデータが参照できるのか」がダダモレになるという事だと思いますので必要な保護対策を施しているとは言えないと思います。
これはもうウィルスやスパイウェアに感染するとか感染防止対策をしているとかいう以前の問題です。
なお違反時の罰則については
・6ヶ月以下の懲役又は30万円以下の罰金
・一人あたり数千~数万円の賠償
となるようです。

>・ユーザーから法的に申し立てられる。何かしらの法律に触れ、管理者が前科者になってしまう

なると思います

>・殆どのユーザーは法的に申し立てをしないので特に何も起きない。流出されたユーザは泣き寝入り。

可能性は否定できませんがそんな事を期待するのは無謀な気がします…

>・そもそも、法的に申し立てできない。謝罪してそっとサイト閉鎖。流出されたユーザは泣き寝入り。ユーザーは信頼できるようなサーバーにしか個人情報を登録しない努力をする必要がある。

ユーザーに努力義務なんてありません。
自衛策としてそうしましょう、という話しならわかりますが保護義務はユーザー側ではなく事業者側にあります。

投稿2017/05/15 06:09

HiroshiWatanabe

総合スコア2160

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

question-server

2017/05/15 06:17 編集

ご回答ありがとうございます! >・ユーザーから法的に申し立てられる。何かしらの法律に触れ、管理者が前科者になってしまう なると思います こちらって具体的な事例ってありますでしょうか??個人が運営しているようなサーバーです。
HiroshiWatanabe

2017/05/15 06:31

判例としてはここでまとめて紹介されてました http://www.aeru.co.jp/pmark/column_6.html また、個人運営だから(会社じゃないから)対象外ではないかという意見をお持ちのような印象がありますが個人情報保護法では対象を事業者と記載していました。 事業者とは(ウィキペディアによると)「個人事業者(個人事業主、事業を行う個人)と法人や団体を指し…」という事らしいので個人運営だから対象外と考えるのは無理な気がします。 (取り扱う個人情報の件数が例え1件しかなくても企業なら罰せられ個人運営なら10万件漏洩させても罰則なしというのは理に適わないですし)
question-server

2017/05/15 06:43 編集

いえ個人でも罰せられるのが正しいのかなと思っています。単純にその事例が知りたいところでした。 ご回答ありがとうございました!
kunai

2017/05/15 07:45

> オープンソースでは「どこにあるDBにどのような手順でアクセスすればどんなデータが参照できるのか」> がダダモレになるという事だと思いますので必要な保護対策を施しているとは言えないと思います。 これはすごい考え方ですね。 Androidはオープンソースなので、Android向けアプリなんか作ってたら文句は言えないって事ですかね。 更にサーバがCentOSだったりしたらもう言いなりで賠償金支払うしかないと言うつもりなのでしょうか。
HiroshiWatanabe

2017/05/15 07:55

まさかそんなひねくれた解釈をされるとは思っていなかったので言葉を省略しすぎていたかもしれません。誤解によって不愉快な思いをされたのならば申し訳ありません。問題となるアプリが扱っている個人情報にアクセスするのに必要な情報(プログラム)が公開されているような環境なら保護するのが困難だという点を指摘したかっただけでオープンソース自体を指して文句をつけるような意図は全くありませんでした。
kunai

2017/05/15 08:14

> ソフトウェアはオープンソース(CentOSなど) という質問文に対して > オープンソースでは・・・中略・・ダダモレになる という回答に対し、 > サーバがCentOSだったら・・・ というコメントが > まさかそんなひねくれた解釈 となる流れが理解できかねますね
HiroshiWatanabe

2017/05/15 08:23

あーなるほど。私が質問自体を読み違えていたようです。失礼しました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問