セキュリティにおける倫理って何だ？

セキュリティにおける 倫理って何だ？ 2024-05-18 セキュリティもみじ はせがわようすけ

長谷川陽介(はせがわようすけ)  (株)セキュアスカイ・テクノロジー 取締役CTO  セキュリティ・キャンプ協議会代表理事  千葉大学 非常勤講師  OWASP Kansai ボードメンバー  OWASP Japan ボードメンバー  CODE BLUEカンファレンス 実行委員 Internet Explorer、Mozilla FirefoxをはじめWebアプリケーション に関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ ※本内容は個人のものであり所属する組織の見解ではありません 2024-05-18 #secmomiji

• https://utf-8.jp/

「倫理」ってなに？  こういうこと見聞きしません？  「セキュリティには倫理観が大切だ」  「正義のハッカーを目指す」  「Ethical Hacker講座」 2024-05-18 #secmomiji

「倫理」ってなに？  こういうこと見聞きしません？  「セキュリティには倫理観が大切だ」  「正義のハッカーを目指す」  「Ethical Hacker講座」  たぶん「倫理的」「道徳的」みたいなところ  でも「倫理」って何だろう 2024-05-18 #secmomiji

「倫理」ってなに？  こういうこと見聞きしません？  「セキュリティには倫理観が大切だ」  「正義のハッカーを目指す」  「Ethical Hacker講座」  たぶん「倫理的」「道徳的」みたいなところ  でも「倫理」って何だろう 「倫理」って何なのかを考えずに(あるいは「法を守る」のような 極端な単純化だけで) 「倫理」と言うことは正しい姿勢なんだろうか 2024-05-18 #secmomiji

倫理学 - 倫理とは何かについて考える学問 【倫理学】 倫理学または道徳哲学、道徳学は、行動の規範とな る物事の道徳的な評価を検討する哲学の一分野。 Wikipedia「倫理学」より https://ja.wikipedia.org/wiki/%E5%80%AB%E7%90%86%E5%AD%A6  「こうすべきだ」「あれはしてはいけない」という個別具体的な倫理 の判断ではなく、倫理・道徳とは何かについて考えるもの ※ という、長谷川個人の理解・解釈。詳しい人いたらもっときちんと教えて欲しい。以降のページも同じ。 2024-05-18 #secmomiji

• https://ja.wikipedia.org/wiki/倫理学

お断り  倫理学についてちょっとだけ勉強し始めただけで全然理解が浅い ので間違ったことを言ってる可能性が高いです  言ってることを鵜吞みにせずご自身でも問い直してください  現在のセキュリティにおける倫理的な(と言われている)考えや取 り組みを否定するものではありません  なので、「法を守れ」「モラルを持て」という従来言われていたことを軽ん じているわけではありません 2024-05-18 #secmomiji

倫理学の考え方の一例

功利主義 - ベンサム、ミル  社会全体の幸福(快楽)を最大化し、不幸(苦痛)を最小化すること を社会的な規範とする倫理学の考え方  トロッコ問題では、ためらいなく1人の 側にレバーを倒す  等しく全員を取り扱う＝親が犠牲になる側 に並んでいてもそちらを選ぶ  「多数の幸福のためには少数の犠牲も 致し方ない」という受け取られ方をされ ることがある 2024-05-18 #secmomiji

セキュリティの実務局面における功利主義的の適用  とあるWebサイトでたまたま 検索 ' OR 1=1 LIMIT 3;-SQLインジェクションを見つけた [email protected] 田中一郎 090-xxxx-xxxx [email protected] 鈴木花子 090-xxxx-xxxx  サイト運営者に連絡しても全く [email protected] 中村太郎 090-xxxx-xxxx 修正される兆しがない  利用者に対する注意喚起のため、一部ユーザーの情報漏えいを実 演し広く公表した  功利主義の考えでは、こういう行為も道徳的と言えるのかも知れ ない 2024-05-18 #secmomiji

義務論 - カント  行動の目的やもたらされた結果ではなく、それ自体で善いものが 善意思である  何らかの目的のためではなく、そうすることが正しいからという理由で行 うことに道徳的な価値がある  定言名法 －無条件にどんな状況でも適用される－ だけが道徳的な価値 を持つ  「AのためにXをする」… 仮言名法  「Xをする」 … 定言名法  「嘘をついてはいけない」という道徳的価値があるなら、人を助けるため であっても嘘をついてはいけない 2024-05-18 #secmomiji

セキュリティの実務局面における義務論の適用  「' OR …」などを入力として与え ると、サーバーのプログラムの誤 動作を引き起こすかもしれない  だからそういう入力はやめておこ う ' OR 1=1 LIMIT 3;-- 検索 [email protected] 田中一郎 090-xxxx-xxxx [email protected] 鈴木花子 090-xxxx-xxxx [email protected] 中村太郎 090-xxxx-xxxx  カントの義務論に沿った考え方では、このような考え方（Aである からXをする/しない)は定言命法ではなく、道徳的ではないかも 知れない 2024-05-18 #secmomiji

医療の倫理との比較

医療の倫理とセキュリティの倫理の対比 ▎臨床医療の倫理 (という言い方が正しいのか自信ない) 実際の患者と向き合っての臨床医療にお ける倫理では、法律に従うことや患者との 合意、医者個人としての良心が問われる 2024-05-18 #secmomiji

医療の倫理とセキュリティの倫理の対比 ▎臨床医療の倫理 (という言い方が正しいのか自信ない) 実際の患者と向き合っての臨床医療にお ける倫理では、法律に従うことや患者との 合意、医者個人としての良心が問われる セキュリティの実務で直面する倫理。 法律や規則に従う、対面する相手への配慮など、 エンジニア一人ひとりの良識ある行動。 頻繁に話題にされるが倫理学的な議論はされて いないように思う 2024-05-18 #secmomiji

医療の倫理とセキュリティの倫理の対比 ▎臨床医療の倫理 (という言い方が正しいのか自信ない) 実際の患者と向き合っての臨床医療にお ける倫理では、法律に従うことや患者との 合意、医者個人としての良心が問われる セキュリティの実務で直面する倫理。 法律や規則に従う、対面する相手への配慮など、 エンジニア一人ひとりの良識ある行動。 頻繁に話題にされるが倫理学的な議論はされて いないように思う ▎公衆衛生の倫理 市民の健康増進を目的とする政治による 取り組みでは、どこまで個人への介入が許 されるのかが問われる 強制的な食事制限、運動の強制、体重の管 理などは自由の侵害となる 2024-05-18 #secmomiji

医療の倫理とセキュリティの倫理の対比 ▎臨床医療の倫理 (という言い方が正しいのか自信ない) 実際の患者と向き合っての臨床医療にお ける倫理では、法律に従うことや患者との 合意、医者個人としての良心が問われる ▎公衆衛生の倫理 市民の健康増進を目的とする政治による 取り組みでは、どこまで個人への介入が許 されるのかが問われる 強制的な食事制限、運動の強制、体重の管 理などは自由の侵害となる セキュリティの実務で直面する倫理。 法律や規則に従う、対面する相手への配慮など、 エンジニア一人ひとりの良識ある行動。 頻繁に話題にされるが倫理学的な議論はされて いないように思う 行政やセキュリティ業界から広く市民に対して のセキュリティ向上の取り組み。 ここについては倫理的な側面はほとんど考慮さ れていないように思う （そもそも、市民に向けてのセキュリティ向上の ための積極的な介入はあまり行われていない） 2024-05-18 #secmomiji

公衆セキュリティの倫理 ※広く市民に対して情報セキュリティを向上させる、行政や業界からの 働きかけをここでは便宜上「公衆セキュリティ」と呼ぶことにします

公衆セキュリティの例  IPA/JVN等の広報活動  サイバーセキュリティ月間  総務省：NOTiCE  市民への呼びかけを中心に、一部 (NOTiCEなど)はより積極的な介入 2024-05-18 #secmomiji

公衆セキュリティの倫理的な問題の整理  公衆衛生の倫理で問われている点がそのまま当てはまる 1. 行き過ぎた保護（パターナリズム）は個人の自律や自由を侵害する  例： マルウェアに感染していないか市民のPCとスマホを行政が監視する  選択の機会と十分な情報の提供が与えられているか 2. 単一の価値観で全体が方向づけられる  古いOSを動かすことが許容されない世の中は健全か  市民に対してセキュリティの向上を求めるそもそもの理由  公衆衛生における「市民の健康増進」に対し、情報セキュリティの向上を市民に 求める目的はどこにあるのか  脆弱な環境によって引き起こされる経済的損失の回避が目的か？  経済的合理性のために（一部の）市民の自由が侵害されることがあるとしたら、 それは許されることなのか？ 2024-05-18 #secmomiji

公衆セキュリティにおいて 自発的な行動変容を求める上での倫理的な問題  ここも公衆衛生の倫理で問われている課題がそのまま当てはまる 1. 行動変容を自発的に行える人にしか効果がなく、そうではない 人（たいてい経済的な問題も併せ持っている）とのセキュリティ 水準の格差が拡大する可能性がある 2. 効果が限定的な施策への資源の投入は分配的正義の観点から 公正とは言えない可能性がある 3. セキュリティ対策が行えない組織や人への差別や偏見へとつな がる可能性がある ※ 現状のセキュリティ向上の呼びかけにおいて上記のような問題があるという話をしている わけではなく、これらが議論されていないことが問題という認識 2024-05-18 #secmomiji

自発的な行動変容と自己責任論(1)  呼びかけに応じた自発的な行動変容が必要とされる  自己の責任が必要以上に強調される可能性がある  自身の責任においてセキュリティ向上を行う必要性がある →転じて「呼びかけに応じず脆弱なままデバイスを使うのは本人 の責任だ」と道徳的意識の欠如と捉えられる可能性もある  果たしてどこまでが本人の責任なのか  メーカーサポートを受けられる新しいデバイスを購入する経済的余裕が ないことは本人の責任か  周囲に対応方法を訊ねられる人がいないことは本人の責任か 2024-05-18 #secmomiji

自発的な行動変容と自己責任論(2)  脆弱なデバイスの侵害に対して公的な支援が受けられない点は公 衆衛生の倫理と差がある  公的支援である医療は限られたリソースと見なされ、リソース配分の問題 から自己責任がより強く追及される可能性がある  セキュリティに対しては公的リソースの配分がないため、自己責任の追及 が公衆衛生より弱くなる可能性はある  前向きな責任と後ろ向きな責任  前向きな責任 - 将来に渡り推奨される行動を自発的に選ぶ規範的態度  後ろ向きな責任 - 過去に自身の行動が引き起こしたことへの自己の負担  行き過ぎた自己責任論を防ぐため、前向きな責任に目を向けることが必 要 2024-05-18 #secmomiji

まとめ

セキュリティにおける倫理を取り巻く状況  個人として実務上直面する問題について、良識のある行動の必要 性は頻繁に話題に挙がるが、倫理学的な側面からの議論は不十分  行政や業界からの市民に対するセキュリティ啓発も倫理的な側面 は議論されていない  ここは、公衆衛生の倫理の構図の多くが当てはまる  少なくとも、倫理とは何かを熟考せず倫理を語ることは正しい行 動ではない 2024-05-18 #secmomiji

参考  玉手慎太郎(2022) . 『公衆衛生の倫理学 ─国家は健康にどこまで介入す べきか』 . 筑摩書房 .  児玉 聡(2012) . 『功利主義入門 ─ はじめての倫理学』 . 筑摩書房  加藤尚武(1997) . 『現代倫理学入門』 . 講談社  品川哲彦(2020) . 『倫理学入門 アリストテレスから生殖技術、AIまで』 . 中 央公論新社  児玉聡(2020) . 「実践・倫理学 ─ 現代の問題を考えるために」 .勁草書房  マイケル・サンデル(2010) . 『これからの「正義」の話をしよう ── いまを 生き延びるための哲学』 . 早川書房 2024-05-18 #secmomiji