2014.4.7 追記
基本的な発想は、こうである。従来から犯罪対策が発展してきている中で、サイバー空間はやや特殊な位置づけで検討されてきたのではないか。リアル空間とサイバー空間の共通性よりも違いに重きを置いた検討がなされてきたのではないか。リアル空間の一つの拡張としてサイバー空間を捉えなおせば、犯罪対策の各種の手法が更に活用できるのではないか、というものである。
犯罪環境論として犯罪対策を見るということを、サイバー空間での犯罪環境はどう位置づけられ、そこで不足していた対策は何なのかを浮かび上がらせる、などはできないものだろうか。また、サイバー空間での対策で、従来から分かっていた手法が犯罪環境論での意味づけを加えることによって、対策をより進めることができるかもしれない。
犯罪対策の流れとして、犯人に着目することから出発し、被害者、環境を視野に入れる方法へと発展してきた。サイバー犯罪対策は、環境から出発し、被害者、犯人を視野にいれるようになるのであろうか。
2014.4.4 追記
サイバー犯罪対策を振り返るとして、1990年代後半からのインターネット普及、2000年代からのウィルス対策普及などを経て、一応これだけやっておけば大丈夫、と言われていた時期があった。サイバー犯罪に対抗するためにユーザとして心がけることは、基本ソフトなどを最新のものとすること、ウィルス対策ソフトを入れておくこと、見知らぬ人からのメールは開かないこと、などである。
しかし、それでは通用しないとされるようになり始めたのは2010年頃と思われるが、最初は一部の専門家の間での指摘であった。従来から行ってきた対策では手の打ちようが無いとされたのは、攻撃側が狙う脆弱なポイントとして、ユーザが標的にされたためである。2010年後半に、サイバー犯罪対策に大きな転機をもたらしたのが標的型メール攻撃の出現である。標的型メール攻撃とは、ユーザを心理的にだます等を手がかりとして攻撃することはソーシャルエンジニアリングと言われるものの一種である。従来からの攻撃手法の中にも、フィッシングなどのソーシャルエンジニアリングを用いるものはあったが、それらはユーザを直接狙うのではなく、踏み台などにするウェブサーバー等を攻撃、改ざんしておき、それを見に来るユーザがだまされるのを待つのであるから、ウェブサーバーの強化などの従来からの対策が有効であった。
従来はユーザが視野に入っていなかったのが、APTの出現により、ユーザーが攻撃者の踏み台として利用される被害者となるため、防護側の視野に入り始めた。(2010年12月のIPAからの発表
IPA 独立行政法人 情報処理推進機構:IPAテクニカルウォッチ 『新しいタイプの攻撃』に関するレポートでは、「 昨今、海外でAPT(Advanced Persistent Threats)と呼ばれる、ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組合せ、ソーシャルエンジニアリングにより特定企業や個人をねらい、対応が難しく執拗なサイバー攻撃が発生しています。」と注意喚起している。
@police-インターネット治安情勢警察庁の情報技術解析平成22年報でも「標的型メール攻撃は、特定の組織や個人に標的を絞り、不正なプログラムを添付するなどした電子メールを送信する手法です。標的型メール攻撃では、受信者にメールや添付ファイルを開かせるために、職場の関係者等になりすますなど巧妙な手口が使われます。メールに添付される不正なプログラムは、ウイルス対策ソフトで検知できない最新のものである事例もみられ、メールの受信者が不正なプログラムに気付かなかった場合、その後の対応が遅れるなどして被害が一層大きくなる可能性があります。 」
と触れている。
この頃から、従来からのウィルス対策ソフトを最新にしよう、などの簡便な手法を推奨して、こと足れりとした姿勢に冷水が浴びせられたのであった。従来型の手法では、ソーシャルエンジニアリング手法での攻撃は防げない、と専門家達が口を揃えた。
)
防御は、今まではホストの防御までであり、ユーザの防御が視野に入っていなかった。
これからは、被害者を視野にいれる。
犯罪環境学は、従来の犯罪学の対象が犯人から出発し、被害者、そして環境へと対象を広げてきた。サーバー空間での犯罪対策は、従来は環境(ネットワークとホスト)だけを見てきたのが、被害者も含めることになる。この両者を組み合わせることで、それぞれの足らない部分を補えるのではないか。
攻撃側が被害者に目を向けることで大きく飛躍を果たしたのだから、防御側も被害者に目を向けて対策を進めるべき。被害者の対策として、犯罪環境学などで培ってきた手法が応用できると思う。
従来の犯罪学では、サイバー空間での犯罪と実空間での犯罪の違いに注目し過ぎており、共通する事柄を取り上げることは少なかったのではないか。共通点に目を向ければ、同じ手法の適用などが可能となる。啓発手法には犯罪学で取られる手法が適用可能であろう。例えば、防犯マップ作りとか、ボランティアなどである。
サイバー空間での犯罪対策で、大きな流れの変化を私が感じたのはAPTの出現である。多くの専門家が、従来の手法が通用せず、お手上げになっていたからである。ユーザーの心理的脆弱性を狙うという、人への攻撃を突破口にするAPTを防ぐには、ユーザーの心理的脆弱性を防御する必要があるのだが、ユーザーの心理を取り扱うことは従来の手法ではほぼ抜け落ちていたからである。このため、突破されることを前提とした防御手法を組み合わせる方向へと流れは向き始めた。
(別の話になるが、ユーザーの心理を無視するという傾向は、例えば、ユーザーにIDとパスワードの組み合わせを秘密に管理することを要求し、システム側では責任を取らないのが当然であるような姿勢にも現れている。)
APTで象徴されることは、攻撃側がユーザーに目を向け始めたことである。防御側もユーザーがシステムの重要な要素であることに、いやでも気がつかないといけなくなった。従来のシステム作りは、ネットワークとホストという二者で構成されるシステムを考慮するものであった。従来の防御も、ネットワークとホストで終始するものと考えられてきた。しかし、ネットワークとホストとユーザという三者でシステムが構成されるというのは、しごく当然のことであったのだが、たかだか、ユーザーインターフェースなどで使い勝手の向上などでユーザが考慮されるだけだった。
ユーザをシステムと重要な要素として考慮すること。
2014.4.1
サイバー空間ではどうなるでしょう。
ウィルス対策ソフト 抵抗性の向上を図る対策
OSのバージョンアップ 〃
サーバーへのSSLの導入 領域性(区画性)向上策
ユーザーのSSLの選択 領域性(縄張り意識)向上策
メールでのS/MIMEの導入 〃
プロバイダでのログ保存 監視性(視認性)向上策
サーバーでのログ保存 監視性(視認性)向上策
ユーザーでのログ保存?
いや、どうもじっくり考えないと整理できない模様である。
Amazon.co.jp: 犯罪は予測できる (新潮新書): 小宮 信夫: 本P170~p174
以下は引用です。
**********************************************
犯罪抑止の三要素
これまで述べてきたように、場所・状況・環境を重視する犯罪科学は、犯罪を発生させる要素のうち、取り除ける可能性が最も高いのは犯罪機会であると主張する。
もっとも、抽象的な理論を知っているだけでは犯罪機会を減らすことは難しい。実際に犯罪機会を減らすには、だれでも、いつでも、どこででも理論を実践んできるようにする必要がある。
そこで私が考案したのが「犯罪抑止の三要素」(図表2)だ。戸別の犯罪機会論を統合するとともに、その内容を単純化し、日常生活で手軽に活用できるようにした。
犯行場面 | 犯罪抑止要素 | 物理的な要素(ハード面) | 心理的な要素(ソフト面) |
標的 | 抵抗性 犯罪者から加わる力を押し返す性質 |
恒常性 一定していて変化しない状態 e.g.ロック、マーキング、強化ガラス、防犯ブザー、非常ベル |
管理意識 望ましい状態を維持しようという意思 e.g.リスクマインド、指差確認、整理整頓、健康管理、情報収集 |
標的の周辺 | 領域性 犯罪者の力が及ばない範囲をはっきりさせる性質 |
区画性 境界を設けて他から区別されている状態 e.g.ガードレール、フェンス、ゲート、ハンプ、ゾーニング |
縄張り意識 犯罪者の侵入を許さないという意思 e.g.パトロール、民間交番、防犯看板、受付記帳、パスポート |
監視性 犯罪者の行動を見張り、犯行対象を見守る性質 |
視認性 周囲からの視線が犯罪者に届く状態 e.g.ガラス張り、植栽管理、カメラ、ライト、ミラー |
当事者意識 主体的にかかわろうという意思 e.g.清掃活動、あいさつ運動、一戸一灯運動、花壇づくり運動、ボランティア活動 |
一つ目の「抵抗性」とは、犯罪者の標的、つまり潜在的な被害者または被害物に関する要素であり、犯罪者から加わる力を押し返す性質のこと―言い換えれば、犯罪行為に対抗する強度である。抵抗性は、物理的な「恒常性」と心理的な「管理意識」から構成される。
このうち、恒常性とは、一定していて変化しない状態のことだ。それを高める手法としては、ロック(錠)、マーキング(印付け)、強化ガラス、防犯ブザー、非常ベル、防弾チョッキ、イモビライザー、消火器などがある。
一方、管理意識とは、望ましい状態を維持しようという意思のことだ。それを高める手法としては、リスクマインド(危険予測思考)指差確認、整理整頓、健康管理、情報収集、プライバシー保護、避難訓練、護身術などがある。
このように、抵抗性は一人ひとりが高める性能であり、したがって「個別的防犯」の手法と言える。これに対して、領域性と監視性は人々が協力して高める性能であり、したがって「集団的防犯」の手法である。
二つ目の「領域性」とは、犯罪者の標的の周辺環境に対する要素であり、犯罪者の力が及ばない範囲をはっきりさせる性質のこと―言い換えれば、犯行対象へのアプローチの難易度である。領域性は、物理的な「区画性」と心理的な「縄張り意識」から構成される。
このうち、区画性とは、境界を設けて他から区別されている状態のことだ。それを高める手法としては、ガードレール、フェンス、ゲート(門)、ハンプ(凸部)、ゾーニング(区割り)、チェーンスタンド、フィルタリング(閲覧制限)、パーティション(仕切り板)、ビームセンサー(光線式感知器)などがある。
一方、縄張り意識とは、犯罪者の侵入を許さないという意思のことだ。それを他かえる手法としては、パトロール、民間交番、防犯看板、受付記帳、パスポート、手荷物検査、警備員配置などがある。区画性が標的への接近を妨げる客観的なバリアなのに対して、縄張り意識は標的への接近を妨げる主観的なバリアなのである。
三つ目の「監視性」とは、犯罪者の標的の周辺環境に関する要素であり、犯罪者の行動を見張り、犯行対象を見守る性質のこと―言い換えれば、犯罪行為が目撃される可能性である。監視性は、物理的な「視認性」と心理的な「当事者意識」から構成される。
このうち、視認性とは、周囲からの視線が犯罪者に届く状態のことだ。それを高める手法としては、ガラス張り、植栽管理、カメラ、ライト、ミラー(鏡)、モニター付きインターホン、トレーサビリティ(履歴管理)、ナンバーディスプレイ(発信者番号表示)などがある。
一方、当事者意識とは、主体的にかかわろうという意思のことだ。それを高めるしゅほうとしては、清掃活動、あいさう運動、一戸一灯運動、花壇づくり運動、ボランティア活動、ルールづくり、市民性教育、投書箱設置、ソーシャル・ネットワーキング・サービス(交流型ウェブサイト)などがある。視認性が犯行をためらわせる客観的な視線なのに対して、当事者意識は犯行をためらわせる主観的な視線なのである。
さて、読者はすでの気づいていると思うが、日本で「防犯」と言えば、抵抗性(=個別的防犯)を高める取り組みを思い浮かべるのが普通だ。しかし、抵抗性に過度に依存することは得策ではない。
防犯ブザーや護身術といった抵抗性の手法に頼るとき、その人はすでに窮地に追い込まれている。そうなると、想定したとおりの行動がとれないかもしれない。やはり、絶体絶命のピンチに陥る前に、抵抗性の出番がなくなるようにしたいものだ。
それを果たしてくれるのが、領域性と監視生徒高める取り組み、つまり、集団的防犯である。では、どうすれば人々に領域性と監視性への関心を持たせ、防犯メニューを豊富にすることができるのか。
その打ってつけの手法が、前半で紹介した地域安全マップである。マップづくりによって、領域性と監視性を高めるデザイン活動やそれを意識したコミュニティ活動がスムーズに起動するに違いない。
************************************************
以上 引用でした。