いちおう大学で犯罪学を勉強していたので、犯罪学の観点でサイバーセキュリティを考えてみようシリーズをやってみようと思います。参考文献は日本語で出ているこちらの本。真面目ないい本です。

サイエンス超簡潔講座 犯罪学 | ティム・ニューバーン, 岡邊 健 |本 | 通販 | Amazon

日本では「犯罪学部」というものがそもそも無い（あったとしても授業の一つとかのレベル）ので、仕事をしていても結構珍しがられます。学生のときの専攻分野を活かせるのは幸せです。少しでも皆さんの役に立てば嬉しいです。

もくじ

• 犯罪学は意外と地味
• 犯罪とは「違法行為」のことか？
• 犯罪の「相対性」
• 「犯罪」の定義を考えることの意味
• 「サイバー犯罪」とは

犯罪学は意外と地味

本題に入る前に、ちょっと小話。

仕事でも盛り上がるので、初対面の方に自己紹介するときは「犯罪学を勉強してました」と言うようにしています。すると、ありがたいことにだいたい興味を持っていろいろと質問してくれます。ありがたや。そして、だいたい40％くらいの確率で「犯罪心理学やられてたんですね～」と言われます。後日再開したときのこともカウントすると50％くらいに上がります。

その時に訂正するのもなんかイヤらしいし、細かい話をするとお互いに面倒なのでさらっと流すようにしているんですが、犯罪心理学と犯罪学って違うんです。犯罪心理学はそれこそ心理学ですが、犯罪学はどちらかというと社会学に近いかなという感じです。「感じです」というのも曖昧な表現ですが、犯罪学という学問のストライクゾーンが結構広いためにこのような表現になっています。Garland D. (2011) は「犯罪学には明確な理論的対象もなければ、独自の調査方法もない」と言っています。つまり犯罪学は、ざっくりと「犯罪/犯罪者/犯罪被害者」を対象にしつつ、社会学・心理学・統計学・法学などの手法がダイナミックに入り乱れる学問であると言えます。

そして、犯罪学は意外と地味です。「クリミナルマインド」や「羊たちの沈黙」の効果もあり、犯罪心理学はダークな雰囲気を醸し出す知的なイメージや、相手が右手で顎を触ったのを見て「彼は嘘をついている（ドヤ）」的なことができるメンタリスト的なイメージがついているのかもしれません。これも実際の心理学的アプローチとは乖離がありますが、犯罪学はうんざりするほど地味です。コントロール群と比較して統計調査したり、大量の論文をメタ分析したり、事例分析をコツコツしたり。もはや、すさまじいほど地味です。そんな学問に魅力を感じた私です。サイバー犯罪心理学ってあるのかな。

犯罪とは「違法行為」のことか？

さて、本題です。犯罪とは何か。これがまた哲学的な問いでして、一筋縄では答えが得られない問いです。「おいおい、犯罪を定義できなくて何が犯罪学だよ」と言いたくなる気持ちもわかりますが、犯罪および犯罪者の定義に慎重になるべき理由が存在します。見てみましょう。

犯罪を定義する際に真っ先に思い浮かぶのは「違法な行為＝犯罪」という考え方です。シンプルでいいですよね。確かに、刑法には犯罪の定義が詳細に記されています。しかし、この定義で犯罪学の対象を定めてしまうと、どうしても漏れが出てきます。違法のものしか犯罪として扱わないのであれば、グラフィティ（落書き）なんかは対象外でしょうか？ネット内の誹謗中傷はどうでしょうか？よくよく考えてみると、法律で規定されていない行為でも「それって犯罪だよね？」的なものはけっこうあります。

また、犯罪学という学問の可能性を考えるうえで考慮すべきは「法と道徳は交差する」という点です。伝統的に刑事法では、「その行為自体が間違っているとする犯罪（Mala in se）」と「禁止されているがゆえに間違っているとする犯罪（Mala prohibita）」が区別されてきました。殺人、強盗、強姦、窃盗などは、どの文化でもどの時代でも犯罪とされてきたものの、その刑罰の重さは地域や時期による差がかなりあったりします。

視野を広げると、犯罪は単に法的規範の違反行為ではなく、道徳的・社会的な逸脱行為なのではないか、という考え方が出てきます。この考え方は現代でも大きな影響力を持った考え方です。じゃあ何をもってして逸脱と判断するのかというのも難しいところですが、明確な境目がないからこそ犯罪学の存在価値があるのだと思います。社会的な課題は常に、曖昧な境界から生まれます。それを研究対象から取りこぼしたくはありませんよね。

犯罪の「相対性」

犯罪の定義を考えるうえで、もう一つ非常に重要な観点があります。それは相対性です。つまりどういうことかというと、ある行為が犯罪と言えるかどうかは場所と時代と文化によって異なるということです。

わかりやすい例だと「昔は犯罪だったけど今は犯罪じゃない」パターンの行為です。歴史をさかのぼると結構あります。

• 中絶…イギリスでは1967年まで非合法。
• 同性愛…アメリカでは2003年の最高裁判決以前は非合法。
• 混血結婚（異なる人種同士の結婚）…アパルトヘイト政権下で非合法。

結構最近まで犯罪とされてきたことがわかります。あまり実感がありませんよね。あと逆のパターンで「昔は犯罪じゃなかったけど今は犯罪」もあります。アヘン系麻薬の歴史を遡るとエグいです。昔ってバンバン使ってたんじゃん的な。ちなみに、アヘン・モルヒネ・ヘロインは親戚同士です。

そしてもうひとつ。相対性の中に「発達の相対性」という大事な概念があります。いわゆる「刑事責任能力」が問われる年齢の違いのことですね。刑事事件の裁判になると、犯人の年齢によって扱い方が変わります。年齢によって知性や体力の違いは出ますし、社会性や道徳観の差も出ます。大人になると忘れてしまいますが、子供のころの自分はそれなりに残虐だったはずです。学生のころの自分を説教したい人も多いはずです。

ここまで見てきたとおり、犯罪という概念はそう簡単なものではありません。なので、現在の一般的な考えとして、犯罪学の研究対象を「犯罪」から「ハーム（害、危害）」に移すというものがあります。ハームの考え方はこちらにも書いたので読んでみてください。

https://seiuchisecurity.hatenablog.com/entry/2023/04/24/090000

「犯罪」の定義を考えることの意味

結局のところ「犯罪とは何か」という問いへのわかりやすい答えはありません。なぜ無いのか？それは、私たちが「犯罪」と呼んでいる行為があまりにも多岐にわかっており、それらには「犯罪」と呼ばれていること以外に共通点がないからです。飲酒運転、薬物使用、売春、なりすまし、詐欺、不正アクセスといったものを、刑事法以外で結びつけるものは見当たりません。これは驚くべきことです。

では、なぜ私たちはそれでも「犯罪」という言葉を日常で使えているのか。それは私たちがある一定のバイアスをもって「犯罪」を認知しているからです。犯罪と聞いたときにまず頭に思い浮かぶ行為はなんでしょうか。おそらく、殺人や強盗などの「非常に凶悪だが発生頻度は低い」ものだと思います。ニュースとかで流れる系のやつですね。しかし現実には、犯罪のほとんどは些細なもの（＝ハームがほとんどない）です。万引きや誹謗中傷、違法ダウンロードや交通法違反など…これらも犯罪ですが、刑事法で裁かれない割合のほうが圧倒的に多いです。私たちは犯罪という行為に対して、客観的ではないのです。それを自覚することが、犯罪学の第一歩だと思います。

「サイバー犯罪」とは

サイバー犯罪という言葉も同じように解釈がやっかいです。詐欺や窃盗をサイバー的な手法でやりました系の犯罪（= Cyber-Enabled Crime）もあれば、サイバー的な手法でなかればできない系の犯罪（= Cyber-Dependent Crime）もありますし、その複合もあります。特にフィッシングなどの詐欺系のサイバー犯罪の場合は、サイバーの観点からこねくり回すよりも、従来の犯罪のやり方が時代に合わせて変わっただけと捉えて対策を打つほうが効果的かもしれません。残念ながら、詐欺は人間が言語的な動物である以上なくなりません。

また、そもそもサイバー犯罪を規定する刑法が圧倒的に少ないです。サイバー空間自体が1960年から徐々に作られてきた新しい世界なので、そりゃそうですよね。もっとも古いものでも1986年に施行されたCFAA（コンピュータ詐欺および乱用法）とECPA（電子通信プライバシー法）です。前者が不正アクセス、後者がプライバシー保護の原型ですね。そして2002年にFISMAが制定されてからは、国同士の作戦領域としてのサイバー攻撃やAPTがハームとして認識されるようになりました。サイバーハームの認知が上がったとはいえ、法律の角度からサイバー犯罪を捉えようとすると局所的になってしまいます。立件が超難しいという点も従来の犯罪とは一線を画すところでしょう。

最後にもう一つ。サイバー犯罪の異質性を一つあげるとすれば「犯罪者の論理が先立つ」ところです。現実世界の犯罪との比較で考えてみましょう。100戸あるマンションがあったとします。その一戸の玄関の鍵が開けっ放しだったとします。現実世界なら、たとえ鍵が開いていてもそこに他人が勝手に立ち入ることは犯罪になります。しかし、サイバー空間であれば、100戸あるマンションの玄関ノブを片っ端から回していって、開いているところがあれば勝手に入ってOKというルールで物事が進みます。たとえ機密データが保管されていても、オープンディレクトリだったら「誰でも見ていい」という意味になります。つまり「守っていないということは、何をしてもいい」という世界です。ウォーキングデッドみたいな世界観ですね。つまり何が言いたいかというと、現実世界とサイバー空間とでは道徳感が全くことなる世界だということです。サイバー空間は「感覚」よりも「論理」の世界だからかもしれません。その話はまた今度。

以上、犯罪学シリーズ第一弾でした。最後まで読んでいただきありがとうございました。

ではまた次回。

ランキング参加中

セキュリティ

今回のテーマは「セキュリティツールはベスト・オブ・ブリードで選ぶべきか否か」です。紹介するのは「CISO Mindmap 2023」です。サイバーセキュリティ界隈では有名なものなので知っている人も多いかも。

rafeeqrehman.com

• どんな人におすすめ？
• どんな内容？
• 注目ポイント
• 感想

どんな人におすすめ？

セキュリティアーキテクトなどのアーキテクチャやデザインを担う人向けの情報です。CISOや情報セキュリティ責任者も知っておくべき内容ですが、どっちかというとSIerなんかの立場の人が知っておくと日本市場的には一番いいかもしれません。

ベスト・オブ・ブリードという考え方はIT業界だと結構当たり前に使われている概念で、いわばシステムを作るときは「オールスターチーム作ろうぜ」的な発想でセキュリティツールを選定するやり方です。エンドポイント保護ならどれがいいか、IPSならどれがいいか、といったかたちで各ポジションで一番優れたヤツを選ぼうという考え方ですね。それと対になるものが「ベスト・オブ・スイート」という考え方で、システムをマルっと一つのベンダーのパッケージでまとめちゃおうというやり方です。セキュリティ責任者の立場だと、どっちの方針に重きを置くかは結構大事な選択になりますし、まあぶっちゃけ「時と場合による」が答えだとは思うんですが、私としては「少なくともベスト・オブ・ブリードの限界を深く考えるべき時期が来たのではないか」と思います。その理由を見ていきましょう。

どんな内容？

CISO Mindmapはセキュリティ研究者のRafeeq Rehmanさんが2012年から毎年出している有名コンテンツで、その名の通りCISOが仕事として知っておくべきものをマインドマップ形式で表現しているものです。めっちゃ細かいですがよくまあここまでMECEに作っているなあと感心してしまいます。LinkedInでも今年分だけで1700いいね！＆120を超えるコメントがついているので、多くの人が注目しているブログです。

CISO Mindmap 2023には「CISOへの推奨事項」として以下の6つが言及されています。カッコ内は筆者訳。

1. Increase Attention on Resilience（レジリエンスへの感度を高めよ）
2. Reduce and Consolidate Security Tools（セキュリティツールを削減・統合せよ）
3. Build a Brand for Security Team（セキュリティチームをブランド化せよ）
4. Untangle Application Web of Components（アプリケーションの中身をちゃんと知っておくべし）
5. Build Expertise in Emerging Technologies（新技術の専門知識も持っておけ）
6. Create a Security Automation Role（セキュリティ自動化の役割を作れ）

どれも正しすぎる。そしてどれもやろうとすると難しい。難しいってだけで実現不可能ではないのが素敵です。

注目ポイント

その中でも特に目を引いたのが 2. Reduce and Consolidate Security Tools（セキュリティツールを削減・統合せよ）です。以下に引用します：

Reduce and Consolidate Security Tools –

More security tools don’t necessarily reduce risk but do add the need for maintaining expertise on security teams. While deciding which tools to keep or retire, think about functionality overlap, future direction, innovation on the part of vendors.

ベスト・オブ・ブリードというのはもともと「点の防御力を挙げれば全体の防御力もあがる」という発想に基づいています。境界防御のアーキテクチャで、ゲートウェイをセキュアにしておけば９割がたの脅威は怖くなくて、セキュリティコントロールの種類も数も限られていた時代では正しい戦略だと思います。

しかし、DXが進んでアタックサーフェスが広がっている昨今では、「点の防御力」よりも「面の統合力」のほうが全体の防御力を左右する重要な変数なのではないか。昨今の脅威傾向（というより攻撃者側の考え方として）は、穴を開けるよりも穴が開いているところから入るほうが断然楽だしチャンスも多いので、点の防御力を高めても以前より効果が薄くなっています。そしてデジタル資産が増えるにつれてその点に対応するセキュリティツールも入れているので、あっちゃこっちゃにセキュリティセンサーがあるわけです。そしてコンソールも違えばプロトコルも微妙に違う。そして当然ベンダーも違ってくるわけなので窓口も違う。間にインテグレーターが入っていたとしても、インテグレーターも同じ悩みを持つので、だいたいどこも考えることは「パッケージ化してそれには正規のサポートを付ける」とかそういう系のサービスを建付けです。

そうなるといよいよ、会社全体で考えたときに"Best-of-Breed"ってコストかさむんじゃないか…という疑問が出てくるわけです。2019年のRSACでも「大企業では130以上のセキュリティツールを入れてる」という話がありましたし、IBMのレポートにも「インシデント対応時には数十のツールを使っている企業が多い」という言及がありました。お客様と話していても、現場担当者や技術好きの責任者だと"Best-of-Breed"にこだわる傾向が強い気がします。それぞれの担当分野（エンドポイントとかネットワークとか）があるので、点を強めたいという考えは当然です。でも局地的な正解が全体として間違っているときも往々にしてありますし、昨今のセキュリティ事情を鑑みると「点より面」の効果＆効率がセキュリティの成否を左右するのではないでしょうか。なので、今年から来年にかけては、"Best-of-Breed"から"Best-of-Platform"に転換する企業が増えることを願います。

感想

オープンであるとは自由であり、自由であるにはコストがかかる。ここ2年くらい強く感じることです。商用でオープンソースが流行りみたいになったときもそうですが、だいたいは初期費用が抑えられるので多くの人が食いつき、運用してみると自分たちでしなきゃならんことが増えて結局運用されずに終わるというケースが一番避けたいパターン。

特にセキュリティは日々の習慣で成り立っているものなので、CAPEXよりもOPEXがものを言います。「自由は与えられるものではなく勝ち取るものだ」という認識が、日本ではひどく希薄だと思います。オープンでありたいなら、相応のコストは覚悟しましょう。

最後までお読みいただきありがとうございました。ではまた次回。

おわり

今回の論文はコチラ。2023年3月発行のInternational Journal of Cybersecurity Intelligence and Cybercrime からの論文です。サイバーテロへの恐怖と報道の関連性を調べています。

Bastug, M. F., Onat, I., Guler, A. (2023).
International Journal of Cybersecurity Intelligence and Cybercrime, 6(1), 29-44.

• どんな人におすすめ？
• どんな内容？
• 注目ポイント
• 感想

どんな人におすすめ？

新聞やニュースといったメディアからサイバー防衛関連の情報を得ることが多い人向けです。どっちかというと、セキュリティ業界の外側にいる人に知ってもらいたい内容なんですが、そもそも「International Journal of Cybersecurity Intelligence and Cybercrime 」という論文誌に載っている時点で残念ながら一般向けじゃないですね。なので、これを読んだ方は是非ご家族に教えてあげてください。

最近はYouTubeなどでもいろんな番組があって、研究者やらアイドルやらタレントビジネスマンやら入り乱れて政治とか軍事について議論していたりします。かくいう私も結構好きで見ています。無差別級の論舌バトルがエンタメとして作られているので観ていて面白いです。

ですが、問題は人間はとても影響を受けやすい生き物だという点です。面白いだけなら何の問題もないんですが、自覚なしに受けた情報に影響を及ぼされるもんなので、「ああ自分いま何かしらの影響受けてるかもな」的なメタ認知が身を助けます。そんなメタ認知のきっかけを提供してくれるのがこの論文です。人間のメタ認知能力万歳！

どんな内容？

1. サイバーテロへの恐怖に対するニュースメディアの影響：アメリカの成人を対象とした全国調査を用いて、地方紙や全国紙の閲覧がサイバーテロへの恐怖にどのような影響を与えるかを探る。
2. サイバーテロがメディアにおいてどのようにフレーミングされているか：米国の活字メディアがサイバーテロをどのように捉え説明しているかを探る。

サイバーテロに関する研究は90年代後半にまで遡り、2000年代初頭に学術的に注目されるようになって、その後さらに増加しました。同時多発テロの影響もあってか「テロリズム」という言葉の重みが500倍くらいになったのは間違いありません。初期の文献を見直すと、サイバースペースをテロ活動の戦力増強装置とみなしてデジタル脅威の可能性を予測する学者がいる一方で（Benson, 2014; Denning, 2013; Rudner, 2016）、サイバーテロに対して懐疑的なアプローチをとって特にメディアによって脅威が誇張されていると主張する学者もいました（Debrix, 2001; Weimann, 2004, 2005）。それから2010年代にかけて議論が進み、ついには「マスメディアってサイバーテロとハッキングの区別すらあんましてなくね？」という話が上がってきました。その歴史的な流れもあり、この研究の論点が定まったようです。

注目ポイント

注目はもう一つの分析です。メディアがサイバーテロをいかにフレーミングしているかについて。この研究では、2016年6月1日から2021年6月1日までに発行された米国の新聞の社説およびニュース欄で、「サイバーテロリズム」、「サイバーテロ」、「サイバーテロリスト」、「サイバーテロリスト」という単語が使われた記事を定性的に分析しています。面白い点がいくつかあって、最初に抽出された212個の記事のほとんどが映画や本のレビュー記事の類だったらしく、最終的な分析に残ったのが75個だったということ。サイバーテロは人間の想像力を掻き立てるワードのようです。フィクションが先立っている分野だけに、サイバーテロに対する認知はそのバイアスがかかっていそうですね。

そして、定性分析の結果が以下です：

1. サンプルの3分の1以上の記事が、サイバーテロを深刻に受け止めるべき新たな脅威としている。
2. もう一つの顕著なテーマは「行政的な枠組み」で、政策提言、予算問題、サイバーセキュリティ戦略について論じている。中でも重要インフラに対するサイバー脅威に重点を置いている。
3. メディアが言及するサイバーテロリズムは一般的に、テロ集団によってのみ実行されるサイバー攻撃を指すような枠組みにはなっていない。サイバーテロリズムを定義する際、加害者ではなく、攻撃の種類が主な決定要因となっている。

感想

今回のテーマは「サイバーテロリズム」でしたが、サイバーの前にそもそも「テロリズム」って日本人の感覚からするとどういうものなのだろうかという点に立ち返りました。地下鉄サリン事件は世界的にも悲劇として知られているテロです。アメリカに留学していたときの犯罪学の授業でも、サリン事件が学ぶべき事例として出てきていたほどです。テロリズムは強いイデオロギーや正義が実行動機になっているので、アメリカなどに比べると宗教的、政治的な多様性が低い日本ではそもそもの感度が違うのかもしれません。

間違いなく何も起きないことが一番です。でも、何かそれっぽいことが起きた時に「YesかNoか」「右か左か」「正義か悪か」のような単純な二項対立や極論に振り回されないように、思考のグラデーションを作れる知識は、事前に取り入れておきたいものですね。

最後までお読みいただきありがとうございました。ではまた次回。

おわり

ランキング参加中

セキュリティ