前回の提言を少し練ってみました。大きな改良点は、運用者から罰金をむしりとる強制的な権利を持つ公的な機関を作るのではなく、サーバ運用者が自発的に契約してその範囲で運用することです。

それによって「想定被害金額の見積もり」という最も難しい問題をクリアするようにしました。

用語

通報審査機関

「脆弱性を通報した」という事例を事後的に審査して、回避された被害等を調査する機関

運用者

WEBサイトを運用する者(主として企業等の組織)

通報者

運用者と関係ない外部の人間で、WEBサイトの脆弱性を発見しそれを運用者に通報する人

概要

• 通報審査機関と運用者は「審査契約」を結ぶ(有料)
• 運用者は「このサイトは『審査契約』を行なって運用しています」とサイトに表示する
• 通報者は運用者に脆弱性を通報する
• 脆弱性が通報された場合、運用者は「審査契約」に基づいて、通報審査機関に想定被害金額と報償金の見積もりを依頼する。
• 審査内容に従って、運用者から通報者へ報償金が支払われる

メリット

• 悪意のクラッカーを善意のクラッカーに変える(報償金目当てではあっても結果として社会にとってプラス)
• 「審査契約」をしていることで、運用者のセキュリティ重視の姿勢を示すことができる
• 「審査契約」を複数種類用意することで、業務に適した運用ができる(報償金の上限等)
• 通報審査機関が民間でもよいので、競争原理による「審査契約」の整備が期待できる

審査契約の内容

審査契約は、対象となる業務によってコース分けを行います。一番簡便なものは「謝礼は一律図書券1000円」等として、一番ヘビーなものでは「専門家が事情聴取して、きめこまかく算定して、その1割を報償金とする」のようになります。

その中間に、以下の項目ごとに選択できるようなコースやオプションを設けます。

• 審査のきめ細かさ(書類判定かインタビューか現地調査か等)
• 報償金の割合(想定被害金額の何パーセントを報償金とするか)
• 報償金の上限

書類判定の場合は、「既知のセキュリティホールだったらいくら」「未知のセキュリティホールだったらいくら」「設定ミスによって発生したものだったらいくら」のようにパターン分けをして、それほど高度な専門家がタッチしなくても分類できるようにしておいて、その分類に従って「エイヤ」で被害金額を決め打ちしてしまいます。

この契約内容はオープンにして、ユーザが自由に閲覧できるようにします。ユーザは、この契約内容によってサーバ運用者の「覚悟のほど」を知ることができます。

• 「図書券1000円コースか。まあ、メールアドレスとハンドルネームだけ打つんだから、それでも充分だな」
• 「上限1000万円か。それくらい自信を持って運用してんだから、ここでクレジットカード使っても大丈夫だな」
• 「上限100万円個別審査無か。微妙だな。ちょっとやる気なさそうで要注意かも」

この審査契約の表示を「安心マーク」のように商標登録して、A-Eのランク別に表示するようにすれば、ユーザは内容が詳しくわからなくても「こういう業務ならCランク以上、そうでなければAランクのサイトを使う」のようにして、サイトの安全度がわかるようになります。

運用者は、その宣伝効果からなるべくランクの高い契約をしたくなるわけですが、運用上の備えをしてから契約しないと報償金支払いが続出して、損をしてしまいます。ですから、業務に必要なセキュリティレベルとそれに対応した審査契約を行なうようになります。

審査機関の性質

審査機関は、保険会社のように法律で縛られ行政で監視された中で、一定の裁量権を持って活動する民間企業となるのがベストだと思います。当初は、純粋な公的な機関でもかまいませんが、複数の機関を用意して、競争原理が働くようにすることが重要です。

なぜかと言うと、「審査契約」という商品の設定には非常に高度なノウハウが必要であるし、技術の進歩(クラッカー側の進化も含む)によって必要な項目が流動的に変わるからです。何が最適な審査方法かというのは、一律に決められません。特に、被害金額の想定はどのようにやっても異議が出るものです。

ですから、審査機関の方が「うちは、こういう基準でこういう所を調査してこういうふうに金額を決める」という情報を公開して、運用者は(ベストは望めないけど)なるべく納得できる基準の所を選ぶ、という手順が必要だと思います。そして、その契約内容を状況に応じてキメ細かく調整していかなくてはならないし、実際に発生した案件についても、その審査内容についてチェックを受けなくてはいけない。

運用者がそのように厳しく審査基準をチェックする姿勢を見せるには、これが複数あって、よい審査機関を選択できることが必要です。

また、あまりに運用者に有利な審査基準をつけると、ユーザからの不信を買って、そのトレードマークの「安全マーク」としての意味がなくなります。「○○マークしかついてないサイトは×」という形で、ユーザからチェックを受け、その結果、契約者を減らしてしまいます。

ですから、契約を買ってもらい利益を得るという民間企業とすることで、技術の進化についていかざるを得ない立場にすることが必要です。

退却戦を想定した発想

重要なのは、セキュリティは退却戦だという発想だと思います。つまり、セキュリティには金がかかる、全てのサイトを完璧に防ぐことは実際上不可能だということです。この仕組みのよい所は、重要なデータに資源を集中的に投入できることです。「何が重要か」という判断を市場原理にゆだねていることです。

ユーザは全てのサイトに「最高レベルのAランク」のマークがついていることを望むでしょうが、それは不可能です。クレジットカードで大量の売買を行うようなサイトや大量のユーザの個人情報を持っているサイトしか、そういう契約はできないでしょう。この仕組みによって、そういう守るべきサイトに優秀なセキュリティ技術者が振りわけられていきます。

そうでないサイトはBランク、Cランクのマークしかつけられない。それは仕方ないけど、放置状態ではなくて適度な守り、最低限の守りはしてほしい。そういう方向づけ、動機づけも同時に行なえるわけです。

また、状況が悪化するとAランクにふさわしい守りを維持するのに、さらにコストがかかります。それによってAランクから陥落していく企業も出るでしょう。あるいは、審査機関の方で基準を緩めて、Aランクの想定するレベルを下げるような操作をするかもしれない。しかし、それは必要なことです。防衛ラインを状況に応じて後退させていくしかないのです。

そのようなダイナミックな調整機能は、完全に公的な機関には難しく、どこかに市場原理、自由競争が必要になってくると思います。