■ - hoshikuzu | star_dust の書斎

■ダブルスタンダード

ダブルスタンダード

ダブルスタンダードという言葉が使われる時には大概、余り良くないものとして意図して使われるのではないでしょうか。不正アクセス禁止法についての受け止め方があると思いますがダブルスタンダードにならざるを得ないという立場の人も少なくないのではと思います。もっとも基準は各自微妙に異なっていたりするようです。元々の法自体が技術面から見て不明な点が多いからでしょうか。例えばクッキーは識別符号なのだろうかと具体的な質問を考えて見るとちょっと曖昧な部分も残ってくるのではと。こうなってくると立法者の思惑以外の部分では裁判所における判例が積み重なって行く際にかなりのバラツキが出てくる可能性もありますね。

国語の力だけで読んでみる暴論

無論、これから論を試みる内容は暴論そのものであるので信用なさらないように。国語の力だけで読んでみようと。こうなると立法者や警察・検察・裁判所、法学会、弁護士の皆様のそれぞれの立場でもなければセキュリティー界？の皆様の立場でもありません。寧ろ各立場を加味していません。でも、多少は（歪んで）入ってきているかもしれませんが笑ってください。

分解する暴論

この法律において『アクセス制御機能』とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号（識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。）であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。

難解に見えるのは恐らく冗長を恐れずに正確に書こうとしているからでしょう。乱暴に短縮するとこうですか。

『アクセス制御機能』とは利用をしようとする者により入力された符号が利用に係る識別符号であることを確認して利用の制限の全部又は一部を解除するものをいう。

乱暴に省略した部分では電子計算機の利用を自動的に制御するためにというところがここでは目に付きます。機械的自動的に制御するのですから、アクセス制御の為のなんらかのプログラムがストアされていることを前提としています。識別符号について聞き出すことなくオペレータに対して電話などで詐術を使い操作せしめて情報を電子計算機から引き出させ情報のみを取得した場合には不正アクセスに当たらないケースも出てくるでしょう。勿論詐術の行使をしていますので別の罪に問われる可能性もありますが本論からはずれます。

主張する暴論

次の部分を私はとても重要視しています。また、私なりの解釈もあります。利用の制限の全部又は一部を解除するものをいう。の部分ですね。

暴論の第一の骨子は以下のようになります。すなわち、そもそも電子計算機はアクセス管理者以外にはアクセスできないものなのだ、ということです。最初のスタートはここから始めたいと思います。逆な立場では、そもそも電子計算機はアクセス制御機構は最初からは存在せず、アクセス管理者が設置する機構なのだ、という見方もあるのでしょうか。しかしこの逆の見方は電子計算機の実際の現場とははなはだ乖離していると思います。それゆえ法では、アクセス制御のことを、利用の制限の全部又は一部を解除するものと云っています。

換言すれば、電子計算機は最初、アクセス管理者以外にはアクセスできない存在であり、他者が利用する為の準備として、アクセス管理者はアクセス制御機構に介入して利用者に利用の制限を一部なり全てなりを解除してやることが可能なようにするステップがあるのだ、ということです。

当たり前のことを言っているのでしょうか？ここで例えば静的コンテンツのみ搭載のWEBサーバを考えます。WEBサーバの利用を提供する為に、アクセス管理者はアクセス制御機構に介入して【あらかじめ】利用の制限の一部を解除しています。【あらかじめ】ですので、利用者はアクセス制御機構を意識せずに利用可能でしょう。識別符号が不要であるように【あらかじめ】手配済みなのです。いわゆるディレクトリ丸見えの場合には、まさしくこの状況が現出しています。【あらかじめ】利用の制限の一部を解除済みなのです。したがって識別符号の出る幕はありません。利用者は既に（場合によっては生まれた時から）アクセス管理者によって識別符号を代行入力してもらっているのです。時間軸が先行しているようですが、そもそも電子計算機はアクセス管理者以外の者はアクセスできませんでした。アクセス管理者は皆さんの代行者として識別符号を入力していたものと考えると自然です。

もう一度くどくなりますが申し上げます。利用の制限の全部又は一部を解除するものをいう。以外に利用の制限を解除する方法はありません。ここが大事です。私は重要だと思っています。

アクセス管理者は様々な方法で、さまざまな利用に対して、【あらかじめ】利用の制限の解除を完了した段階で皆さんに電子計算機の利用を提供しています。カーネルだけではなくさまざまなデーモン、サービス、WEBアプリ、その他をインストールし、都度、【あらかじめ】利用制限の一部を次々に解除していきます。こればかりではありません。アクセス制御機構が正しく作動しているかどうかを確認し、識別符号が必要な利用に備え、アクセス制御機構に介入し組み立てていきます。実質的にはこのように介入されたアクセス制御機構は最終的には極めて複雑なものになっていきます。一本道におけるたった一ヶ所の関所、どころではすまなくなっていきます。しかしながら、アクセス管理者が【あらかじめ】利用の制限を解除した部分もあるのです。

暴論の第ニの骨子を申し上げます。ここまでの論議では、論理的に設計されたソフトウェア群をアクセス管理者がきちんと理解して電子計算機のアクセス制御機構に介入していくことが必要となります。逆に言えばきちんと仕様を理解して、きちんとアクセス制御機構を組み立てたにも関わらず、誰も知らなかったバッファオーバフローによりアクセス制御機構の作動を捻じ曲げる行為がもしもあったならば、これはアクセス管理者の責任ではありません。発生したインシデンスは不正アクセスの典型でしょう。しかしながら、アクセス管理者が電子計算機に供される様々なソフトウェア群の仕様を理解せずに間違ったアクセス制御機構の構築を行った場合にはどうでしょう。私が特に注目したいのは【あらかじめ】間違って利用制限の解除を（意図したかったものとは別になっていますが機械は教えられた通りに動くのです）してしまったケースが充分にありうるということです。実例も沢山想像できるでしょう。

主張する暴論の核心に迫りました。【あらかじめ】利用制限の解除がなされている利用を行った時には法で言う不正アクセスではなかろう、というものです。

ダブルスタンダードがすっきりしない理由のひとつ

たくさんの、ダブルスタンダードがすっきりしない理由があることでしょう。上であえて暴論した主張も、この理由のひとつなのではなかろうかと、常々思ってるのです。システム屋なら常識としてわかっていそうなことを防衛していない場合に利用者が調べたらすぐに怪しいところがわかってしまう、そんな時にアクセス管理者がこれは不正アクセスだと言うのはちょっとおこがましいかもしれません。だからといって利用者が無闇に調べて行く事もこれまた考えなくてはいけない所作ですね。

極端なケースを挙げましたが実際には、不正アクセス禁止法には、コレ以外にもたくさん論点があるのです。もっともっと知恵をぶつけあうことが必要でしょう。