インターネットのログ保存義務化について考えてみた

2013年5月23日

Pocket

こんにちは。山本です。

先日インターネットの通信記録(ログ)の保存について法整備を行うという提起がなされ、色々と議論を呼んでいました。波に乗り切れていない感がアリアリですが、ログの管理はシステムの運用とも不可分なのですこ~し触れてみたいと思います。一応セキュリティ系のアドバイスもたまにしてる立場なので。
結論から言うと、論理的に考える限り要求される水準のログを保存することは難しい。って言うことになるんですが。

まず元記事だと、「誰が」「何の」ログを保存するのかということについて触れていないので、この辺りについて考えてみたいと思います。

誰がログを保存するのか

Young Man with His Hand on His Forehead
ありえるのは「インターネット通信事業者(プロバイダ)」、「インターネットサービス提供者(各サーバ管理者)」、「各ユーザ個人」です。
それぞれの現状について触れたいと思います。

インターネット通信事業者(プロバイダ)

現状だと、一般ユーザにはDHCPでIPを発行しているところが圧倒的なはずなので、IPアドレスの割り当てログ(何時から何時までどのIPアドレスをだれに交付していたか)を保存しているはずです。プロパイダ内部で働いたことはないので、それ以上は不明ですが、某事件などでIPアドレスを基に捜査可能ということは、このログがあることになります。保存期間はわかりませんが、ダイアルアップの昔と違ってブロードバンドが普及した今、IPアドレスの更新間隔は数ヶ月というレベルになっているので、まぁそれなりにログ更新頻度を下げられているのではないでしょうか。

インターネットサービス提供者

仮にウェブサービスと仮定すると、様々なウェブサイトの運営者、もしくはそれらに対してサーバを提供しているレンタルサーバ事業者がアクセスログを保存することになります。まぁ大半の提供者がログ自体は保存してはいますが、その保存期間はまちまちです。特に個人によって運用されているサーバもたくさんあるわけで、そうなるとサーバ容量を圧迫するログなんて一週間分だけ残してればいいや、なんてこともあっても不思議ではありません。
ただ、普通は接続元のIPアドレスがログに含まれているので、警察がログを押収した場合は、そのIPアドレスを上記のインターネット通信事業者のログと付きあわせて個人を特定することになります。なので、サービス提供者側にアクセスログがあれば、普通は(捜査権があれば)この特定作業ができます。

各ユーザ個人

ログは通常あまり保存されていません。せいぜいブラウザの閲覧履歴と、場合によってはルータに保存されているログでしょうか。ただし一般家庭用のルータの場合、保存容量が小さいこともあってか、インバウンド(外部からのアクセス)ログは攻撃ログも兼ねて多少保存していることが多いものの、アウトバウンド(内部から外部へのアクセス)ログは保存していない機種が圧倒的なように見受けられます。現状ではログが保存されていない、ということでいいでしょう。

じゃあどうなるのか

ただの予測ですが、来る法案としては、インターネット通信事業者により詳細なログを保存するように要請するのか、もしくは特定の種類、もしくは規模以上のインターネットサービス事業者に対して、規定の情報を含んだログを一定期間保存することを義務付け、というあたりに落ち着くのではないかと思います。
これが意味があるかどうかを考える必要がありますが、それには何のログを保存するのかを考える必要があります。

何のログを保存するのか

Pebbles
これも元記事には記載がありません。ちょっと幾つか想像してみましょう。

インターネットで通信された内容全部まるごと保存

インターネット通信事業者に対して詳細なログ保存を要求する場合、論理的に考えて最も詳細な内容のログです。というか、通信ダンプですね。ただこれは実際的には憲法上の通信の秘密云々以前に難しいです。

ちょっと古い調査ですが、2012年の11月で日本国内の総トラフィックは約2Tbpsに達しています。と言うことは一日あたり、約22PB(=21600000GB)のログが日本の何処かに保存されることになります。1年で8EB。法上で保存を義務付けとなると、冗長化もいる(上に、書き込み速度を考えるとストライピングも必要)でしょうから、そうなるとHDD業界はウハウハかもしれませんが、それだけの負担を事業者に求めるのは無理筋でしょう。

インターネットで通信した事実

これもインターネット通信事業者に対して詳細なログ保存を要求する場合の一つのレベルと思います。具体的にはIPネットワーク上で(現実的にはTCP/IPとUDP/IPで)セッションが張られたら、接続元と接続先のIPとポートを保存しておく、ぐらいでしょうか。まぁ、これでも凄まじい量のログが発生しそうではありますが・・。

閲覧者のログを義務化

これはインターネットサービス提供者に対してログの保存を義務化するアプローチです。こちらへの義務化であれば、保存すべきポートなどは各々で特定できるので、保存内容が一般的なログフォーマットにそって規定されれば、各事業者はログの保存期間を見直すぐらいで対応できるでしょう。現実的ではありますが、野良サーバ(個人運営のサーバ)などが問題になるので、特商法のようなサービス内容による規定や、サービス規模による規定が妥当で、全サーバ管理者に一律義務化とはできないのではないでしょうか。

特に昨今はVPSなどが隆盛なのでこれを一律義務化すると、趣味でウェブサイトの運営を行なっている人たちにとっては厄介な話になってしまいます。

各ユーザの閲覧履歴を保存

一番無理だと思います。ブラウザベンダや、OSベンダに要請する形になるのかもしれませんが、その場合でも最新ソフトへのアップデートが必要になる問題や、根本的に端末は各家庭で管理されているので、行政がおいそれと介入できない(法制度を作っても形骸化する可能性が高い)という根本的な問題があるからです。

ログ保存で何が変わるのか

MP900398831
論理的には(主張されている捜査上での優位性の確保の面において)何も変わらないように思います。
この提言の背景に例のパソコン遠隔操作事件があることは明白ですが、上の3つを行った所で、通信暗号化や日本警察の捜査権の及ばない海外サーバの経由などといった、すでに取られている手法に対して有効性を示すことができないからです。

仮に通信事業者が通信内容を全部保存した所で、現在主流となっている暗号化を適切に施せば、公知になっていない暗号脆弱性を警察が知ってでもない限り(アメリカ国家安全保障局において過去にそういう裏技があった事実はありますが)、通常捜査が行われる期間内に解読できる可能性は暗号の安全性能上、ありえないと言っていいレベルです。

一方でそういった事情を知らない層が犯行を行った場合おいては、普通にアクセスログがあれば個人特定はすぐに可能ですが、それは現行法下でも可能なので、さほどインパクトがあるものにはならないでしょう。そもそも提言の背景になった問題に対応できていないのでいかんとも言いづらいところです。

これからどうなる

business vision
現状、問題提起されただけなので、これから産業界などの意見も含めながら法案をまとめるとのことなので、今後の産業界の反応が楽しみではあります。

結果によっては私達のようなインターネットサービス事業者も他人ごとではなくなるのです。ただむしろ、通信事業者などは場合によってはものすごいコスト増につながるので、うまく法案の内容をコントロールしにかかるとは思いますが、その辺りもどうなるか楽しみですね。

今回は時事ニュースに乗ってみた山本でした。でわでわ。

Leave a Comment

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)