情報セキュリティの社会技術--コンセプトとフレームワーク 土屋俊(千葉大学) 2000年7月 0. はじめに 社会の情報化、電子化は、20世紀という科学技術優位の時代を最終的に特徴付 ける動向となっている。科学技術の進歩は、とくに20世紀において人々の生活 と考え方に大きな影響を与えてきたが、生命技術とならんで情報科学技術がも たらす影響は生活と考え方の細部にまで及ぶ重大なものであることが共通に認 識されている。しかし残念ながら、このような影響は、生活の利便性を向上さ せるだけではなく、生活における不安定性をももたらしているように思われ、 社会の情報化、電子化がもたらす利点を相殺する可能性をも含んでいる。この ような状況は、たんに情報科学技術の個別課題を推進するだけでなく、社会全 体における安定性、安全、セキュリティという観点からこの技術に関する社会 的な対応を考えるべきであることを示唆している。 以下では、そのような対応のために、あらゆる種類の学問的英知を糾合して、 情報科学技術におけるセキュリティにかかわる側面を調査、研究、開発するこ とが必要であることを明らかにして、そのために必要な基本コンセプトを提示 し、それに基づいて研究開発のフレームワークを提案する。 1.「社会設計」としての情報セキュリティ社会技術 情報セキュリティとは、個人的・社会的な安定性を維持しつつ情報科学技術を 有効に活用することである。そのための社会技術とは、そのような情報科学技 術の有効な活用が個人的・社会的安定性を損なわないようにするために、各個 人とそれら個人が構成する社会が自覚的に構築し利用する「精神態度」「共通 理解」「倫理規範」「法律的制度」「経済的制度」「慣行・慣習」などを包括 的に総称するものである。このように包括される人間的・社会的事象は、従来、 個人と社会が「無意識的」に形成してきたものであるが、情報科学技術が社会 にもたらす可能性がある不安定性がさまざまな形で予測される現代においては、 むしろ、さまざまな技術開発の展開と同時的かつ「意識的」「意図的」に議論 し、構築する必要があるものとなっている。 このように、情報セキュリティを実現するための社会的諸要素を自覚的に設計 し構築するという観点は、これからの社会をより住みやすい安全なものとする ために不可欠であることが共通に認識されるようになっている。これらの人間 的・社会的事象について、自覚的な調整を構想するという意味で、社会を設計 し、運営するための「技術」を確立することが必要である。 しかし、このような目的に直接に貢献するべく展開した学問体系はいまだ存在 していない。したがって、われわれに求められていることは、たんに個別の問 題に対応して既存の学問成果を活用だけではなく、情報セキュリティの社会技 術という観点からみて有用な基礎的科学研究の成果を同時に蓄積し、体系化す るということでもある。このような課題を遂行することは、よる優れた情報セ キュリティを確立するだけでなく、わが国の学術的基盤を充実させ、その国際 的評価を向上させることにも貢献することが期待される。 これまでは、技術の進歩がもたらす社会的影響への社会的対応は後手にまわる ものであると考えられてきた。たとえば、19世紀における交通手段の飛躍的な 進歩ですら、その社会的影響にあわせた社会的制度(交通道徳、交通法規など) の整備は、その社会的影響が明瞭になってから行なわれてきた。たとえば、よ り早く移動するという課題に応える技術がまず開発され、そのあとで安全のた めに道路上の速度制限が慣習や法律によって実施された。通信、放送などにつ いても同様に技術が開発され、その社会的影響が認識されたあとで対応策がと らてきたという事情は同様である。 それに対して、情報科学技術の場合は、その技術が本質的に社会的影響をもた らすためには、それが社会全体の基盤となることが必要であり、しかも、いっ たんそうなったならば、その社会的影響はきわめて急速かつ全域的である。こ のことは、電子計算機出現以来の約半世紀におよぶ技術の普及と社会の変化と を観察するならば、当然のこととして理解されるであろう。とくに、1990年代 になってからの進展は著しく、まさに計算機技術、ネットワーク技術が社会運 営のインフラストラクチャとなったと言い得る段階に達っしつつある現代のこ の時点において将来を展望して、そのような役割をもつ社会技術、すなわち、 情報セキュリティについての社会技術を検討する必要が生じている。 このような社会技術は、社会を「技術的」「工学的」に操作することを目指す ものではない。むしろ、来たるべき社会についてその構築方法、運営方法につ いての提案を行なうという性質をもつものである。この意味で情報セキュリティ の社会技術は、「社会設計」(social design)という性質をもつことになる。 すなわち、社会を構築するプロセスをモデル化して考察を加えるという形にな るそのようなプロセスについては、個人のレベル、団体のレベル、全体社会 (国など)のレベル、国際社会のレベルを考えることが可能であり、この4つの レベルに則して情報セキュリティの実現方法、実現技術について研究すること が必要となるであろう。 2. 情報セキュリティを社会的観点から考察するための4つのレベル 意図のあるなしは別として、情報科学技術の活用によって安定や安全が脅かさ れるのは個人や社会である。社会としては、国あるいは世界のようななんらか の意味で全体性という特徴を付与された社会と、さまざまな意味でより大きな 社会の部分である社会とが考えらえる。したがって、社会技術として守るべき ものは、 個人の安全 部分社会(団体、すなわち企業、学校など)の安全 社会全体(国や自治体など)の安全 ひとつの社会を越えた国際社会、人類社会レベルでの安全 という4つのレベルの異なるレベルの安全であるということになる。 個人の安全とは、各個人に帰属する価値がその個人の意図するところでない形 で損なわれないことである。たとえば、そのような侵害は 個人の生命に対する危険 個人の所有物に対する危険 個人が排他的に制御する情報に対する危険 個人の人間的尊厳に対する危険 である。これらの危険は、一括するならば、権利侵害してまとめることができ る。したがって、この考察のためにはこれらの個人の権利の性質とその保護の 社会的意義を理解しなければならない。 部分社会の安全とは、会社、学校などの団体がその存立にかかわる形で危害を うけないということである。たとえば、 その団体にのみ秘匿されるべき情報の漏曳 その団体の組織としての存立、運営を脅かす事態 直接にその団体の存否を決めるものではないが信用が失墜したりする事態 などから自由であるということである。これらの団体は、多くの場合、独自の 規範によって統御、運営されており、そのセキュリティが犯されることは、団 体の存立に関わるものである可能性があるとともに、今日、一般社会が、この ような団体相互が重層的かつ相互的に関係することによって構成されているこ とを考慮するならば、そのセキュリティを確保することは、社会全体における 安全を保障するための必要条件となるであろう。  社会全体の安全とは、国や一定の範囲で権力が確立した地域について 自然災害 犯罪 構成員の間で相互の不信が増すこと 経済システムや法システムの破綻 その他のカタストロフィ などが防止されているということである。まさに近代社会においては、これら の安全を得るために、各個人は、自己の自由を制限して国の権力を承認すると いう判断をしているとされている。しかし、このレベルでの情報セキュリティ の考察は、しばしば、あたかも自明であるかのように見なされているが、情報 化社会がもつさまざまな特性は、一旦基本的概念に立ち戻って社会デザインに 必要な概念枠組みを再構築することを要求しているのである。 国際社会においては、やはり同様に、自然災害、犯罪などが問題になるがそれ に加えて、 一般的な意味での安全保障 平和な状態が侵害されること 国相互の尊厳の侵害 などが防止されているということである。これに加えて、インターネットのボー ダーレス性、電子商取引市場の国際性などを根拠として情報化社会が本質的に 「国」のような既存の社会の枠組みを越える性質をもつという指摘がしばしば なされていることを考えるならば、 犯罪 経済システムや法システムの破綻 その他のカタストロフィ などの問題は、全体社会の問題としてだけでなく、地球社会の問題としてとり くまなければならないものである。このレベルでの研究は、直接の政策課題に 応えるという側面をもつこともあり得るが、むしろ、現在においては長期的な 視点を確立し、人類社会の将来を構想するという意味での社会デザインに重点 を置くべきであろう。 これらのさまざまな観点からの安全を保持するための技術として暗号技術、認 証技術、データ検証技術などの工学的といえる技術が開発されてきたが、これ らの技術はすべて、人と人の間で、なんらかの社会環境で利用されるものであ る。その技術の適用が意図通りの効果を生むためには、そのような人間間の関 係、あるいはさらに、技術が利用されるべき社会環境を適正なもとする必要が ある。したがって、「情報セキュリティの社会技術」とはこのための技術にほ かならないのである。 3. 情報システムセキュリティの要件からみた社会技術 OECDでは以前から、以下の(1)から(3)を定義してきた。さらに近年、 ISO/IECJTC 1/SC 27のTechnical Reportでは(4)から(6)の概念を情報システム のセキュリティの内容に追加している。以下では、これらの概念を参考にして、 情報セキュリティの社会技術の諸側面について概観する。とくに比較的早い時 期のOECDによる概念規定と比較的最近のISO/IECによる情報セキュリティの概 念と比較することによって、より具体的に考えることにする。 (1) Availability(利用可能性) (2) Confidentiality(秘匿性) (3) Integrity(一貫性) (4) Accountability(遡及説明可能性) (5) Authenticity(真正性) (6) Reliability(信頼性) このうち、(1)から(3)までの性質を保証するためにさまざまな要素技術が開発 されてきた。たとえば、(1)については、バックアップ、(2)については暗号、 鍵管理、認証、アクセス制御など技術が、(3)については改竄検出技術などが 存在している。 これに対して、(4)から(6)を実現する技術は、情報システムとその利用者との 関係について制御することを必要とする技術である。(4)の具体的内容は、な された行為からその行為の主体へ辿ることの可能性の保証であり、5の具体的 内容は、身元の本人性の保証であり、(6)の具体的内容は、意図と結果との整 合性(すなわち、利用者がそのようなシステムに頼って生活してかまわないと いうことを保証することである) の保証である。すなわち、これらの実現のた めに不可欠が技術は、さまざまな要素技術、システム技術に加えて、社会技術 であるということになる。 さらに、具体的に検討するならば、(4)遡及説明可能性を実現する社会技術と しては、諸システムにおけるユーザ登録、あるいは、ISPにおける利用契約な どによって本人を特定することを可能にするための社会システムの創造のため の技術が考えられる。そのための前提となる経験科学的研究として、現代社会 においてどのような原則、ポリシーに従って、われわれがネットワーク上の人 格と現実社会における人格とを対応づけようとしているかということを明らか にする必要がある。このような点を解明するためには、意識調査というような 作業が必要となるであろう。 また、概念的な検討の必要である。すなわち、インターネットにおけるいわゆ る匿名性という特徴は、しばしば社会を不安にする要因としてとらえられてい るが、自分の名前を明かすことを強要しないという社会的制度は、たとえば無 記名投票、(手形ではない)貨幣による商取引というような形で現代の民主主義 的社会制度の基礎となっているものである。したがって、匿名性ゆえに生じる 問題を検討するためには、そのような社会制度を変更し、新たに生ずる社会制 度における個人や人格という概念の位置付けを考察することが必要となるであ ろう。 (5)真正性については、それを保証する技術が必要となる。たとえば電子化さ れたデータベースに真正な情報が蓄積されていることを保証するためには、そ れを保持する計算機システムやそれを伝達するネットワークシステムを工学的 に保証するだけでは不十分であり、そこにデータを提供する人間の側に対する さまざまな要請が必要となる。虚偽のデータの贋造などを防ぐためには、人間 の側が適切な行動をとるようにさせる技術が必要となるである。これらは、個 人レベルのセキュリティから国際社会レベルのセキュリティまでについて考察 する必要がある。 (6)信頼性については、それを創造する技術が必要である。社会システムが電 子的ネットワークに依存するようになった結果、ネットワークへの依存は一般 的な信頼性を低下させていると考えられる。とくにインターネットは、全体を 単一のシステムとして制御するという設計思想を持っていない(すなわち、相 互接続の巨大な集合体である)ので、社会システムへの信頼は従来の信頼性創 造技術とは別の次元の社会技術として確立されなければならない。従来の技術 とは、たとえば、システムの二重化などを端緒とするフォールトトレラントシ ステム技術である。別の次元の社会技術とは、たとえば、ネットワーク運用技 術の標準化、ネットワーク利用者教育などである。これらに関する技術開発、 理論的考察も、個人レベルのセキュリティから国際社会レベルのセキュリティ まで及ぶであろう。 4. 情報セキュリティ社会技術の方法論的特徴 このような問題配置について、言語学に比喩を求めることができる。言語学で は、言語記号相互の関係に関する研究をシンタクス(syntax)、言語記号とその 意味との関係に関する研究をセマンティクス(semantics)、言語記号とそれを 使用する人間との関係に関する研究をプラグマティクス(pragmatics)と呼んで いるが、この用語に範をとるならば、まさに「情報セキュリティの社会技術」 とは、「情報システムのプラグマティクスに関する技術」と呼ぶべきものであ ろう。したがって、その研究は、「情報システムのプラグマティクス」に関す る基礎的、理論的研究、そしてその応用研究としての技術開発と考えることが できるであろう。 以上のような基本的理解に基づいて、「情報セキュリティの社会技術」の研究 は、次のような目的を持つと考えられる。すなわち、 a. 個人の情報セキュリティについては、一人ひとりの個人が自分の努力 によって、身体的、財産的、市民的価値に対する侵害を防ぐことを可 能にする技術の開発すること、その教育方法の開発すること(個人レベ ルのセキュリティ技術) b. 部分社会、すなわち、会社、学校などの団体については、その団体の セキュリティを維持するために必要な規範形成の自覚的方法を明らか にし、各レベルの社会とその構成員がそれ共通の認識とするための方 法論を開発すること(集団レベルのセキュリティ技術) c. 国などの全体性を有する社会については、その政治、経済、その他の すべてについてその運営が情報通信システムを基盤として展開すると いう際立った特徴に着目して、そのセキュリティを維持するために人 間社会がどのような運営形態を持つべきであるかという問題について 議論しなけらばならないが、社会技術の研究としては、そのような議 論の基礎となる情報化社会における人間関係の特徴、そして、紛争・ 係争の原因となる価値観の齟齬の実態を把握すること(社会レベルのセ キュリティ技術) d. 国際社会の問題は、情報化社会の普遍化によって人類の将来にとって 本質的問題となったが、既存の社会科学のほとんどは領土と国民によっ て定義された近代国家の存在を前提としているが、ネットワーク社会 が近代国家の枠組みを変貌させつつあることは明白であるので、情報 化を前提とする国際社会あるいは地球社会のセキュリティを考える視 点を構築すること(国際社会レベルのセキュリティ技術) e.しかし、情報化社会という社会形態が明らかに人類にとってはじめての 経験であることを考えると、そのような技術の開発の前提として、情報 システムと人間との相互関係に関する基礎的知見を急速に集積すること (情報化社会における人間性) もとより、これらの目的は相互に関連するものであって、一つひとつの研究課 題がどのレベルに属するかということについてがつねに明らかではない。しか し、「情報セキュリティの社会技術」の研究開発を整合的に行なうには、以上 の5つの目的を概念上は区別しておく必要があるであろう。 同時に、あるレベルで開発された技術を利用した結果が、別のレベルで開発さ れた技術がもたらす結果と相克するという可能性があることにも留意する必要 がある。匿名性について上述したように、個人の尊厳を守る社会技術の理想は、 匿名性を解消することによって社会の安定を図る技術の理想と異なるものであ るかもしれない。さまざまな要素的技術を開発する際にはこのような相克の問 題は一応不問に付されることが通例であるが、社会技術については、このよう な相克に対処する方式までもが、合意と開発の視野に含まれなければならない。 このような研究において重要なことは、すでに述べたように長期的な視点を確 保することである。このためには、一方では現代の情報化を人類社会の歴史的 変遷のなかに位置付けるとともに、他方では将来に向けて、情報化社会を同時 代的にデザインするという視点が必要となる。前者の位置付けのためには、人 間についての研究を蓄積してきた人文・社会科学の知見を十分に活用するとと もに、現代の情報技術の本質を理解することが必要であり、後者のデザインの ためには、技術に関する将来予測だけでなく人類社会がどのような価値を選択 していくべきかに関する規範的な考察も必要となる。これゆえに情報セキュリ ティの社会技術の研究開発のためには、人文科学、社会科学、情報科学をバッ クグラウンドとして有する研究者が、それぞれのバックグラウンドから1歩、 いや2歩踏み出し、誰にとっても新しい課題に共同で挑戦することが必要であ り、それを可能にする環境を確立しなければならない。 5. 開発研究課題のフレームワーク 以下では、以上のレベルと観点から社会技術として研究開発するべき事項、お よび、それらの研究開発い必要な前提となる経験や知識でありながら、まだ学 術的には蓄積は不十分であり早急にそのような学術的基盤を整備するべきもの を概観する。これら基礎的と考えられる研究について方法論的に分類するなら ば、 (A) 現代の社会における問題認識の実態を明らかにするための調査を主体 とするもの (B) 現実社会では実施が不可能であるが、ある程度に条件を統制した形で 参加者を募り実施する実験研究 (C) 研究開発における整合性を維持し、その成果を社会に問うときの説得 力を確保するための概念的研究 (D) いくつかのモデルを提示し、その実現可能性、社会的説明可能性を検 証する政策的研究 (A)のタイプの研究の課題としては、電話コミュニケーション研究の知見を活 かして情報化社会における秩序形成の調査研究を、たとえば対人接触をともな うものとネットワーク上の通信のみによるものとの相違を中心に検討するとい うようなものが考えれられる。(B)のタイプの課題としては、国などの経済シ ステム、社会制度がカタストロフィックに変化する条件を複雑系理論などによ るシミュレーションなどで解明し、その条件の制御方法を明らかにすることな どが考えられる。(C)のタイプの研究課題としては、ホイッスルブローイング の信頼性とそれが社会の安定性に及ぼす影響に関するもの、(D)のタイプの課 題としては、の巨大データベースの運用、信頼性創造におけるヒューマンファ クターに関するものが考えらえる。これらの研究テーマは、すでに述べた4つ のレベルのセキュリティのすべてまた一部に関わるものであることをつねに念 頭においておかなければならない。 すなわち、実際の研究の遂行において最終的に目指すべき技術開発テーマは、 そのターゲットを明確するという意味で、上述の4つのレベルおよび人間の心 理と行動に関する基礎的研究について分類するべきであろう。しかし、実際の 研究課題の設定においては、「社会デザイン」という観点を自覚しつつ、以下 のような重点領域を想定することが適切であると考えられる。なぜならば、社 会をデザインするという観点をとるときには、つねに個人のレベルから国際社 会のレベルまでのすべてのレベルにおける影響を考慮する必要があるからであ る。この考察のターゲットとしては (1) 情報セキュリティに関する人々の意識 (2) 情報セキュリティに関するポリシーとそのバランス (3) セキュアな社会実現のための社会モデル (4) 情報セキュリティにおけるヒューマンインターフェイス (5) 情報セキュリティに関する国際政策 を考えることが適当である。(1)は、ネットワーク環境の中で生活する人々や 組織のリスク意識や倫理観、それに基づく行動のかかわるものであり、情報倫 理、善悪判断、情報リテラシー、教育技術、秩序形成、信頼関係、電子コミュ ニティ、ブランド効果、価値観、ハッカー/クラッカー、匿名性、なりすまし などをキーワードとする研究を展開することになるであろう。  (2)は、個人や集団、あるいは研究機関や行政、産業界などそれぞれのレベ ルにおいて、情報 の開示、公開性とプライバシーや守秘とのバランスのとれ たセキュリティポリシーを 検討し、その枠組みを定めることをターゲットと するものであり、セキュリティ方法選択/決定、DNA情報、ユーザ認証、イン ナーアタック、内部告発 、個人データ、リスク−ベネフィット分析、ディス クロージャー、法律とガイドライ ンなどをキーワードとすることになるであ ろう。  (3)は、組織や社会の様々なレベルにおいて、不正行為が経済メカニズムに 及ぼすカタストロ フィックな影響と、その不正行為のパターンを破綻させる 非経済的なパラメータをシ ミュレートし、これを基に新しい社会モデルを構 築しようとするものであり、経済コストと犯罪抑止効果、ルール、人材育成、 電子商取引、電子政府、電子マネー、Demand - Supply、シミュレーションを キーワードとして展開することになる。  (4)は、機械の判断と人間の判断の齟齬、システムの安全性と心理的安心な ど、個人とシステ ム、機械が向き合っている場面での諸問題を解決しようと するものであり、ヒューマン−ネットワークインターフェイス、ヒューマンファ クター、バイオメトリ クス、安全学、安全工学、認知科学、人間工学、CMC、 WAP(Wireless Application Protocol)などがキーワードとなる。  (5)は、国を越えたレベルで生じるセキュリティ問題を明確にするとともに、 これを解決する ための新たな社会科学の方法論や手法を開発し、日本から世 界に向けて提案しようとするものであるが、急を要する領域である一方で、具 体的方法論や手法がなく、その確立から取り組まねばならないなど、取り組み には相当の困難が予測される。また、予測さ れ る成果の政策決定への影響は 明確ではなく、学術研究の蓄積に終始する可能性も 否めないが、一方では研 究蓄積による学術的寄与が将来高く評価されるという可能性もあることは指摘 しておかなければならない 以上