質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.93%

セキュリティ対策不備の場合に受ける制裁について

解決済

回答 4

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 1,224

 質問

例えばの話です。

↓例としてマストドンと書いていますが、インスタンスを立ち上げてもいませんしまだ何もしていません。その他にも何も実際にサーバを立ち上げてもいません。

  • 個人の家のサーバでサイト運営(たとえばマストドン)
  • ユーザーは不特定多数
  • ソフトウェアはオープンソース(CentOSなど)
  • 特にセキュリティ攻撃を受けた場合の規定などない
  • 一般ユーザのメールアドレス、パスワードを保存。
  • 全てのソフトウェアを最新版にすることなどや一般的に必要とされているセキュリティ対策は実施している

例えば、上記のようなサーバーがあり管理者は自分のやれる範囲でセキュリティ対策をしていたとします。そんなある日、しかし、まさかまさかゼロディ攻撃やセキュリティの不備が見つかり(例えば脆弱性があるパッケージを古いままで放置)顧客情報(ユーザのメールアドレスやパスワード)を流出してしまったとします。この場合、このサーバーの管理者には何か社会的な制裁が下るんでしょうか?

例えば

  • ユーザーから法的に申し立てられる。何かしらの法律に触れ、管理者が法の裁きを受ける
  • 殆どのユーザーは法的に申し立てをしないので特に何も起きない。流出されたユーザは泣き寝入り。
  • が、万が一法的に申し立てがあったら管理者は法の裁きを受ける
  • そもそも、法的に申し立てできない。謝罪してそっとサイト閉鎖。流出されたユーザは泣き寝入り。ユーザーは信頼できるようなサーバーにしか個人情報を登録しない努力をする必要がある。

などなど。

マストドンなどを自分の家で運用しようとかを考えた時に、できうる限りの対策をしていても、例えばパッケージに脆弱性パッチが適用される前に攻撃を受けて流出などなどあった場合に法の裁きを受けてしまうようなことがあったらとても手軽に手出しできないなと思いました、が、その一方で自分で自宅ラックのように運営することにも興味があり悩んでいるところでした。

 質問2

--追記1

*1
>基本的に、セキュリティーホールがないシステムというものは存在しません。

正にそのとおりだと思います。この状況の中で企業であれ、個人であれ例えば上記のような個人情報を保管してサービスを提供しているものもあると思いますが、これはルータやサーバーでセキュリティを一定以上備えておけば情報が漏れる確率は限りなく低いので個人、会社で運営しているということでいいんでしょうか??例えばゼロディ攻撃を受ける確率はかなり低いということでいいのでしょうか?
個人にしろ会社にしろ*1で漏洩する可能性が絶対あるのに個人の重要な情報を保管してサービスを提供していることに違和感を感じました。ただセキュリティをある程度万全にすれば攻撃を受け情報を流出してしまう可能性がかなり低いのであれば、より便利なサービスを享受したいので納得できますし、自分でもマストドンなどを自宅で運用してみようかなぁと考える次第です。

宜しくお願いたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • iwamoto_takaaki

    2017/05/15 16:45

    前科者という言い方のは法的に罰を完了した人に対し、差別的で不快な印象をうけます。冗談にせよ別の言い回しがよいと思います。

    キャンセル

  • question-server

    2017/05/15 19:48

    失礼しました。修正しております。

    キャンセル

回答 4

checkベストアンサー

+2

刑事と民事をごっちゃにしている気がします。

法律の専門家ではありませんが、基本的な部分を説明したいとおもいます。
専門家でないので間違いも含んでいますがイメージは伝わるとおもいます。

刑事事件は、ざっくりいうと犯罪にかかわるところです。
Webサービスで言えば、個人情報の持ち出しなどがそれにあたります。

悪気はなくても、間抜けが過ぎると「わざとだろ、無謀だよ」と刑事告訴される場合があるかもしれません。
例えば、外部からユーザ/パスワードがadmin/passwordで接続できる(加えて、それによってユーザーに何らかの被害があった)場合はそれに該当するかもしれません。

どれだけの罪になるかというのは、法に定められていた内容により決まり、法に定めていないことは裁かれません。

民事は、被害にあった人が「そりゃないよ、保証してよ」という場合です。実害があった場合に補償や謝罪などを求めておこされます。(民事は収監されたり刑罰を受けることはありません。)

こちらは、悪意がなくても責任をとわれます。やるべきことをやらなかった場合は責任を取られると考えるとゼロデイ攻撃であれば、サーバを迅速に停止しなかった場合やわかってながら監視をおこたった、正当な理由なくパッチ適用が遅れた場合が当たると思われます。

ということで、例にだしたようなサービスでは、通常の使用承諾をとれば刑事訴追をされることは(保証は出来かねますが)ほぼ無いでしょう。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/05/16 09:08

    詳細にありがとうございます!

    こういう場合の民事についてとても参考になりました。自分でもこのあたりとIT被害についていろいろ調べてみます。ありがとうございます!

    キャンセル

  • 2017/05/16 10:09

    そうですね。ケースバイケースなので、調べてみるとよいと思います。
    妥当な判決ばかりだとおもいますし、訴訟はそんなにあるものでもないと思いますので、管理をしっかりやっていれば気にならないとおもいます。

    キャンセル

  • 2017/05/16 13:43

    メールアドレスやパスワードが流出している事件はたくさんあるみたいでした。さらにパスワードの変更通知だけで終わったり、はたまた賠償が起きたり、管理側の落ち度、社会的な影響や個人情報のレベルによって様々のようで、仰るとおりケースバイケースでした。

    >訴訟はそんなにあるものでもないと思いますので
    確かにそのような印象を受けました。もちろんだからといってセキュリティ管理を怠っていいという話ではないのは大前提としてありますのでご安心ください。

    >管理をしっかりやっていれば気にならないとおもいます。
    調べていく中で、セキュリティが万全なことと、脆弱性情報を常に収集するよう努力しておけば、ゼロディ攻撃にも対応(提供される回避策を実施)できるように感じることができました。

    今回の質問に対しての具体的な説明ありがとうございました。感謝です。

    キャンセル

+1

法律の専門家ではありませんが、最悪のパターンで懸念されているようなことは起こり得ます。
基本的に、セキュリティーホールがないシステムというものは存在しません。各国の諜報機関レベルであれば、ネットに繋がったPCであれば外部からなんでもできてしまうのでないかと思います。

軽減する方法としては
・個人情報はできるだけ保管しない。ネットに掲載しても良い情報のみ入力してもらう。
(パスワードについては、基本的にDBに保存してはいけません。ハッシュを利用します。まともなアプリならそうなっているはずです。)
・利用規約に管理者の責任を限定するような文言を盛り込む。
ただし、あまりにも管理者に有利な規約は裁判になった時に無効にされる恐れがあります。内容については法律家と相談する必要があります。
・個人情報漏洩保険を検討する。

といったものが考えられます、

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/05/15 19:20

    ご回答ありがとうございます!!

    >基本的に、セキュリティーホールがないシステムというものは存在しません。各国の諜報機関レベルであれば、ネットに繋がったPCであれば外部からなんでもできてしまうのでないかと思います。

    おっしゃる通りと思います。セキュリティって難しいですね。。

    キャンセル

0

パーツでの回答となりますが、

個人の重要な情報を保管してサービスを提供していることに違和感

できるだけ情報を持たない、持っても簡単に個人情報化させない(情報を結び付けさせない)、持った情報を暗号化する、といった処置を行い、当然のように漏洩に備えています。

よく見る例としては、パスワードのハッシュ化ですね。

余談

個人を特定され社会的に死んでしまう

自身の個人情報をそのように考えるのであれば、他者の個人情報も同じように扱うべきだです。よくわからないのに、Mastodon のインスタンス立てるとか、なめ過ぎだと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/05/15 19:36

    もちろん、ユーザへの責任発生することも想定できるからこそいろいろとteratailで聞いています・・。

    キャンセル

  • 2017/05/15 19:41

    調べるべきことは、情報が漏れた時の責任の所在ではなく、どうしたら漏洩からユーザーを守れるかということだと思います。
    責任は管理者にも間違いなくあります。

    キャンセル

  • 2017/05/15 19:45

    >どうしたら漏洩からユーザーを守れるかということだと思います。

    おっしゃる通りこれも当然知る必要があります。
    ただ今回関しては上記質問内容だけの観点で質問しております。

    キャンセル

-5

※法律の専門家ではないので以下は全て個人的な解釈です。

個人情報を扱う者は規模(扱う情報件数)を問わず漏洩等が無いよう保護する責任があります。
オープンソースでは「どこにあるDBにどのような手順でアクセスすればどんなデータが参照できるのか」がダダモレになるという事だと思いますので必要な保護対策を施しているとは言えないと思います。
これはもうウィルスやスパイウェアに感染するとか感染防止対策をしているとかいう以前の問題です。
なお違反時の罰則については
・6ヶ月以下の懲役又は30万円以下の罰金
・一人あたり数千~数万円の賠償
となるようです。

>・ユーザーから法的に申し立てられる。何かしらの法律に触れ、管理者が前科者になってしまう

なると思います

>・殆どのユーザーは法的に申し立てをしないので特に何も起きない。流出されたユーザは泣き寝入り。

可能性は否定できませんがそんな事を期待するのは無謀な気がします…

>・そもそも、法的に申し立てできない。謝罪してそっとサイト閉鎖。流出されたユーザは泣き寝入り。ユーザーは信頼できるようなサーバーにしか個人情報を登録しない努力をする必要がある。

ユーザーに努力義務なんてありません。
自衛策としてそうしましょう、という話しならわかりますが保護義務はユーザー側ではなく事業者側にあります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/05/15 16:55

    まさかそんなひねくれた解釈をされるとは思っていなかったので言葉を省略しすぎていたかもしれません。誤解によって不愉快な思いをされたのならば申し訳ありません。問題となるアプリが扱っている個人情報にアクセスするのに必要な情報(プログラム)が公開されているような環境なら保護するのが困難だという点を指摘したかっただけでオープンソース自体を指して文句をつけるような意図は全くありませんでした。

    キャンセル

  • 2017/05/15 17:14

    > ソフトウェアはオープンソース(CentOSなど)
    という質問文に対して
    > オープンソースでは・・・中略・・ダダモレになる
    という回答に対し、
    > サーバがCentOSだったら・・・
    というコメントが
    > まさかそんなひねくれた解釈
    となる流れが理解できかねますね

    キャンセル

  • 2017/05/15 17:23

    あーなるほど。私が質問自体を読み違えていたようです。失礼しました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.93%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る