サイバーセキュリティを考える市民の会
拡大する国家による監視
だれかに通信を監視されているかもしれない。侵入されてしまったらどうしよう。いまは大丈夫でも、いつかそういうことが起こってしまうのでは…。PCや携帯を使う上で、このような「セキリュティ」に関する懸念や不安を抱いたことがある人は少なくないだろう。
「セキュリティ」という問題が存在することはたしかだ。さまざまな種類のマルウェア(悪意のある不正ソフトウェア)がはびこっているし、「不正アクセス」による情報漏えいやサイト改ざんなどの被害も頻繁に報道されている。
日本社会ではこうしたいわゆる「犯罪」の文脈のみが注目されることが多いが、国家によるネット監視の拡大はさらに深刻な問題だ。たとえば、日本の警察はメール監視をかなり容易に行うことができる。盗聴法に基づく電話の傍受については年間件数がいちおう公開されているが、メールの傍受に関しては「通信ではない」とされ、件数の公開すらされていないのである(メールにかぎらず、SNSやLINEなどによる通信も同様)。
さらに2011年に成立したコンピュータ監視法によって、一台のPCに対する差し押さえ令状さえあれば、関連するメールサーバ上のデータさえも取得することが可能となっている。警察による携帯GPSを用いた被疑者の位置情報取得も今後広がっていく見込みであり、2016年夏から発売される携帯電話の一部機種には本人通知なしで位置情報取得を行う機能があらかじめ組み込まれるとのことだ。
日本ではそれほど社会的関心が向けられていないが、米政府機関のNSAは、インターネット上を流れる通信を無差別に大量収集している。対象者を決めてから監視するのではなく、全データを保存しておき、ある人物を対象としたら過去にさかのぼって抜き出してくればよいという考え方であり、もはや万人が潜在的に「容疑者」とされているわけである。多くの資金・人員・計算機資源を背景に持ち、思いのままに大量のデータを取得・保存・分析できる国家権力は、民衆、とりわけ社会運動への抑圧とコントロールをより強めていくだろう。こうした動きにいかに抗していくかというすべを、私たちは広い範囲で共有していかなくてはならない。
「セキュリティ」をとらえなおす
いっぽうで考えてみたいのは、「セキュリティ」という概念が権力に都合よく利用されている側面である。最近の例では、2016年3月31日に「サイバーセキュリティ基本法」等改定案が衆院本会議で可決された。米の「サイバー戦争」戦略を背景に、国のネット監視や調査対象を中央省庁から独立行政法人などへと拡大するものであるが、ネットを通じた「不正な活動」からの保護が名目にされている。このように不安をあおりながら、「治安」や「防衛」の名のもとに民衆管理・戦争体制づくりを進めるのは、過去も現在も権力の常套手段である。
本連載では、このような状況下で「セキュリティ」を口実に言いくるめられてしまったり、漠然とした不安におびえたり、無力感のなかあきらめてしまうのではなく、ひとびとが自身となかまの身を守るための積極的手段として「セキュリティ」を再定義してみたいと思う。国家・支配層のためのセキュリティではなく、私たち民衆のためのセキュリティを。
監視への自己防衛のために
インターネット上での政府による監視や検閲に反対する活動を長年展開している電子フロンティア財団のプロジェクトであるSurveilance Self-Defense(監視への自己防衛、以下SSD)は、こうした民衆の自己防衛手段としてのセキュリティ対策サイトであり、身を守るための知識と方法をわかりやすく提供してくれている。その考え方でヒントとなるのが、「脅威のモデル化(Threat modeling)」である。だれから、なにを守りたいのか、ということを具体的に考えていくことを通じて、セキュリティは高められる、という考え方である。セキュリティとは過程であり、なにか特定の事柄を行ったり、製品を買ったり、特定の人の言うことを信じこむことで守られるものではない、という思考は、ネット以外のことがらにも共通することだろう。
脅威のモデル化の実例をあげてみよう。SSDからの引用になるが、まず5つの質問をしてみる。
1.なにを守りたいのか。2.だれから守りたいのか。3.守ることの必要性はどれくらいあるか。4.守れなかったとき、どれくらいひどい事態になるか。5.そうした事態を避けるためにどれくらいの手間を費やせるか。
守りたいものとは、たとえばメールであったり、連絡先であったり、特定のファイル(会議資料のテキストファイルだったり、財務の表計算データファイルだったり)などがあげられる。誰から守りたいのかという特定の相手を想定する必要もある。勤務先の上司、警察権力、ネット上の悪意を持った誰か、という具合である。
暗号化されていない電子メールを途中経路で盗み見するのは技術的には容易だし、前述したようにサーバ上に保管されたメール内容を警察は容易に読めるのが現状である。だからといってメールの使用をやめるとか、友人との雑談なども含めてすべての通信を暗号化して送るなどといったことは、現実的ではないだろう。守りたい情報の範囲を明確化しておくことが必要なのである。ぜひ、読者のみなさんもこの「5つの質問」を試してみてほしい。
次回では、通信およびデータを守る強力な手段である暗号化について解説したい。