米国政府、セキュリティツールの輸出規制強化を検討へ 19
ストーリー by hylom
サイバー冷戦状態? 部門より
サイバー冷戦状態? 部門より
taraiok 曰く、
米国商務省は、武器輸出関連の国際協定「ワッセナー・アレンジメント(新ココム)」を見直すことで、コンピュータ用のセキュリティツールの輸出に厳しい輸出規則を行うことを提案している。現在、ワッセナー・アレンジメントは41カ国が加盟しており、統制品目のリストは毎年改訂されている。商務省はこの統制品目目の中に、ネットワーク侵入やトラフィック検査に関連するネットワーク分析ツールなどを含めたい意向のようだ(ITWorld、Slashdot)。
また、広い意味でのハッキングツールについても規制することを考えているという。例えば、コンピュータやネットワーク、周辺機器の脆弱性を検出するようなツールも含まれる。ハイパーバイザ、デバッガ、リバースエンジニアリングソフトウェアなどは含まれないという。なおファイブアイズ関係国ではこうした規制は緩和されるとしている。統制品目のリストの改訂は12月に行われる年次総会で行われる予定。
過去の暗号輸出規制が.... (スコア:1)
そうだ、ソースコードをプリントして・・・ (スコア:0)
米国内の電子出版サービスを使って海外でオンデマンド印刷とかしたらどうなるんだろうか?
とか考えれる位に、昔と違い方法は幾らでも有るわ、情報的な距離は近くなっているわ。
企業相手の脅しには使えても、実際の効力なんか出るのかな。
Re:そうだ、ソースコードをプリントして・・・ (スコア:1)
PGPiスキャンプロジェクト [so-net.ne.jp]ですね.
Re: (スコア:0)
まさに仰っているとおり、「実行することを未然に防ぐための仕組み」ではなく
「やったことが後からバレると企業が大目玉を食らう仕組み」です。
だから個人レベルでデータのやりとりをされることをこの枠組みで防ぐことはできません。
(だからアレとかアレとかでなんとかしたいのが米政府)
でもそれはそれとして、企業をこういう枠組みでくくっておかないと、スキあらば何かしちゃうのが企業人。
5%の悪人の所業を防げなくとも、95%の一般企業人に腰を引かせることができればいいのです。
(5%はデカいとかその5%の悪人を縛れる他の方法はどうなってるんだとかは棚にあげといて)
つまり (スコア:0)
せっかく設けたNSA様専用バックドアを検出してしまったり、NSAに解けないような暗号化を施すセキュリティツールは
普及させねーぞ、と言うことですね。
Re: (スコア:0)
セキュリティツールというか、脆弱性検査ツールです。これらは実質、攻撃ツールパックです。
検査項目(実行する攻撃)によっては検査中の障害発生を織り込んで使用しないと普通に障害が起きます。
脆弱性検査のために隔離環境やバックアップ済みの休業中本番環境以外に使われたら普通に危ないんですよ。
皆が全ての既存脆弱性検査ツールを試して穴塞いでるわけがないのでそれなりの企業が被弾し得る状態です。
つか、NSA用のバックドアが存在してもそれを検出できるような脆弱性検査ツールなんて市場に出てねぇよ。
出てたらバックドアも発見されてることになるから大騒ぎだよ。
しかもそういうのを止めたいなら輸出停止くらいじゃどうにもなんねーよあほう
Re: (スコア:0)
そりゃバックドアにでかでかと「NSA専用」と書いてあるわけじゃないからね。
見かけはその他大勢のマルウェアや脆弱性と見分けがつかんでしょう。
たとえば: IDA Pro (スコア:0)
ベルギーは大丈夫?
てか、全世界的にはどうなっていくの?
Re: (スコア:0)
>ハイパーバイザ、デバッガ、リバースエンジニアリングソフトウェアなどは含まれないという。
ってあるんだから、今回は別件じゃないの。
Wiresharkあたりが対象になるのかね。OSS全盛の世の中じゃ、あんまり実効性なさそうな気もするけど。
Re: (スコア:0)
> Wiresharkあたりが対象になるのかね。
そういうのが入るとすると、Snortとかも対象かな。もっと上位にもあったと思うし。
Re: (スコア:0)
Wiresharkってデバッガ(モニタ)の一種だけど、脆弱性の検出とかもしてくれるんだっけ?
# 攻撃用パケットの生成とか、攻撃可能な脆弱性のリストアップが出来るとアウトなんだと思う。
Re: (スコア:0)
Wiresharkは、デバッガというよりは「トラフィック検査に関連するネットワーク分析ツール」に該当するのでは。
それよりlibpcapやwinpcapがあかんのかも。
Re: (スコア:0)
輸出規制回避という新たな理由が加わって、税金迂回のための本社移転が捗るだけな気がします。
Re: (スコア:0)
どこに付けようかと思いましたが、ここに。
例えば中国への暗号処理コプロセッサ一万個の輸出を止めさせる。そういう効果を狙っています。アメリカを含む西側主要国からの輸出に対する規制であり、迂回輸出も含めて規制していますから、一度何処かの小国を経由しても発覚すれば処罰されます。
それから、スパイ等の非合法活動による技術漏洩は、また別の対策や対応になります。
中国企業になって、中国で開発し中国で生産して中国に納めれば、この規制を回避できると思いますが、西側主要国を敵に回してそこまでする企業はたとえあっても少数でしょう。
Re: (スコア:0)
ハードウェアは普通に禁止品目に入れればいいんじゃないの?ここで言ってるのはソフトウェアでしょ?
Re: (スコア:0)
読み間違えていました。これは基本的にソフトの輸出ですね。
もっとも、ハードウェアでもソフトウェアでもサービスでも普通に年次総会で禁止品目に入れたり解除したりすればいいだけです。
ひょっとしたら中国やロシアや北朝鮮やアルカイダといった国や組織は工作員を使って反対運動をするかもしれませんが。
Re: (スコア:0)
いやいや、ソフトウェアは流通に税関を通すとは限らないので全然違うと思います。基本的に現地で海賊版を製作するのを止めるのが難しいので、真面目に規制を守っている優良な企業だけが損をする事態になりやすいので。
Re: (スコア:0)
ココムだった時代から規制には、貨物の形をとらない、アルゴリズムやプログラムやら役務やらが含まれています。例えば、兵器の調整とか修理とか、航行支援装置で使うアルゴリズムとか、半導体設計用のシミュレーションプログラムとか。
ソフトウェアとか機器内部に組み込まれた部品といったものは密輸が容易です、また正規の輸出でも一々規制への抵触の有無を確認して書類を準備する手間も馬鹿になりません。輸出に限らず規制が、規制を守る正直な企業の足を引っ張る働きをするのは確かです。
それでも下手なことをしたら小さな会社なら潰れてしまうでしょうから、国内だと安全補償貿易管理は、道路交通法や労働安全基準より守られていると思います。
Re: (スコア:0)
まーどこまで追えるんだとか実効性あるのかとかそういうのはさておき、
貿易の規制というのは回避のための住所変更とかやっても中継地も最終地点も込みで判断される規制ですので、単に本社移転をするだけでは回避できないことになっております。
例えば第三国を経由するだけで回避できるようじゃ規制を作ること自体が無駄すぎますもんね。