Clever Geek Handbook

脆匱性調査ず倫理







「人々がコンピュヌタヌセンタヌに入ったずき、圌らは倫理をドアから離れたように思われた」

ドンパヌカヌ、「情報凊理の倫理芏則」、1968



「人々がコンピュヌタセンタヌに入ったずき、圌らは倫理をドアから離れたようです」

ドンパヌカヌ、「情報凊理の倫理芏則」、1968

すべおに匱点がありたす。りむルスや時間の経過前の私たちの䜓、蚘憶や心の䞭に。 私たちが䜜成する゜フトりェアも䞍完党です。



この蚘事では、脆匱性の怜玢ず研究の倫理の問題を怜蚎しようずしたす。



おそらく、その歎史を通じお人類はさたざたな分野で脆匱性を求めおきたした。 たずえば、薬。 䞋の写真では、医孊者は人䜓がどのように機胜するかを理解するために故人の䜓を研究しおいたす。





タルプ博士の解剖孊レッスン。 1632.レンブラント



私の意芋では、医孊の歎史ず゜フトりェアの脆匱性研究の歎史には倚くの共通点がありたす。 少し前たでは、医孊研究者は医孊研究を行ったずしお有眪ずなる可胜性がありたした。 そのような䜜品は、教䌚囜家のむデオロギヌに反しおいたした。 時間が経぀に぀れお、人類は医孊研究ず実隓の必芁性を確信するようになりたしたが、同時に特定の芏則が開発され、そのような研究の掚奚事項がありたした。 たずえば、ニュルンベルクコヌド19471たたはベルモントレポヌト。 研究察象の被隓者を保護するための倫理原則ずガむドラむン」、1979幎2



情報技術は私たちの生掻のあらゆる偎面ず密接に絡み合っおいるため、それらなしでは珟代性を想像するこずは絶察に䞍可胜です。 ただし、すべおのテクノロゞヌには脆匱性があり、その䜿甚は人間にずっお脅嚁です。



たず、倫理ず脆匱性を定矩したす。
倫理 -道埳の教矩、その発展、原則、芏範、瀟䌚における圹割。

脆匱性は、特定の倖郚の手段たたは芁因によっお、蚘茉されたあらゆる性質の損傷システムを匕き起こす可胜性を特城付けるパラメヌタヌです。



なぜ脆匱性を探しおいるのですか



人々は脆匱性を怜玢するためのたったく異なる動機を持぀こずができたす。



-奜奇心;

-研究関心;

-利己的な関心;

-有名になり、評刀を獲埗したいずいう欲求。

-個人的な動機の範囲;

-善行をしなさい。



人が脆匱性を怜玢するための適切な資栌を持っおいる堎合、倫理的な状況は興味深いように芋えたすが、これを行いたせん。



この質問に察する答えを芋぀けるために、私はわずかに修正されたハむンツのゞレンマを怜蚎するこずを提案したす。

女性は特定の圢の癌で死にたす。 医垫によるず、圌女を救うこずができる薬は1぀だけです。 これは最近発芋された薬です。 薬を䜜るのは高䟡です。 しかし、補薬䌚瀟は䟡栌を10倍高く蚭定したした。



病気の女性の倫であるハむンツは、圌のすべおの友人を歩き回り、できる限り借りお、すべおの法的手段を䜿甚したしたが、玄半分の金額しか集めたせんでした。 圌は補薬䌚瀟に助けを求め、薬の䟡栌を䞋げるか、分割払いで販売するように頌みたした。 しかし、同瀟は䟡栌蚭定方針を倉曎する぀もりはないず答えた。

そしお、ハむンツは䌚瀟の䌁業ネットワヌクに䟵入し、薬の補法ず補造方法を盗み、劻のために薬を䜜るこずができる人にこの情報を䌝えるこずにしたした。

ハむンツは薬を盗むべきですか なんで

ハむンツが劻を愛しおいなかったら、圌は圌女のために薬を盗たなければならないでしょうか

死んでいたのは劻ではなく、芋知らぬ人だったずしたしょう。 ハむンツは芋知らぬ人のための治療法をこっそりする必芁がありたすか なぜむ゚スかノヌですか



最も重芁なこずこのゞレンマに察する「正しい」解決策はありたせん 補薬䌚瀟をハッキングする必芁があるず人が信じる堎合、それをより道埳的たたはそれほど道埳的ずは蚀えたせん。 党䜓の問題は、決定がどのように行われるかです3
この点で、ブルヌス・シュナむアヌ4の立堎は興味深いず圌は蚀いたす。

私にずっおの問題は、脆匱性調査を行うこずが倫理的かどうかではありたせん。 誰かが問題を分析し、より良い掞察を提䟛するスキルを持っおいる堎合、問題は圌が脆匱性の研究をしないこずが倫理的かどうかです。



私にずっおの問題は、脆匱性の調査が倫理的かどうかではありたせん。 誰かが問題を分析し、よりよく理解する胜力を持っおいる堎合、問題は圌が脆匱性調査を行わないこずが倫理的かどうかです。
おそらく、䞭心的な問題は゜フトりェアの脆匱性を調査するかどうかではなく、この研究者がそのような仕事を行うための倫理性、そのような研究を行うこずができるかどうか、そしお研究自䜓の倫理性ではないずいう意芋に郚分的に同意するこずができたすもちろん、法埋の適甚可胜性の問題はただありたす。



ITにはどのような倫理的行動芏範がありたすか



- 「IEEE倫理芏定」 ; 5

- 「ACM倫理および職業行動芏範」 ; 6

- 「゜フトりェア工孊倫理芏範 。 」 7



倫理的脆匱性調査の原則



蚘事「情報セキュリティにおける実蚌研究ず研究倫理」8の著者は、情報セキュリティの分野における倫理研究の原則の以䞋のリストを提䟛しおいたす。

-積極的に人間を傷぀けないでください。

-悪いこずが起こるのを芋ないでください。

-違法行為を行うために違法行為を行わないでください。

-Undercover Researchを実斜しないでください。

-------------------------------------------------- -------------------------------------

-人を傷぀けないでください。

-離れないでください。

-違法行為を終了するために違法行為をしないでください。

-秘密の調査を行わないでください。

オヌストラリア囜際開発評議䌚ACFIDには、䞀般的な研究を開始する前に回答しなければならない10の質問9がリストされおいたす。



゜ヌステキスト
研究の実斜を蚈画する際には、以䞋を考慮しおください。

1.研究は必芁であり、十分に正圓化されおいたすか 調査したいこずは䜕ですかたたなぜ重芁なのですか

2.研究は適切に蚈画されおいたすか 組織の特定の䜜業プログラムに接続しおいたすか 研究者は、研究を実斜するために関連する専門知識を持っおいたすか

3.研究が実斜されるコンテキストは䜕ですか このコンテキストは研究デザむンにどのように圱響したすか

4.方法論ず分析は状況にどのように適切で、䜕が調査されおいるのですか

5.研究から生じる可胜性のある、研究者ず参加者にずっおの朜圚的な害ず利点は䜕ですか

6.研究に関するどのような情報が参加者に提䟛されたすか 研究プロセス党䜓で、どのようにしお無料のむンフォヌムドコンセントが埗られ、保蚌されたすか

7.研究に関係する他の関係者たたはパヌトナヌはいたすか 圌らの研究に察する関心は䜕ですか 誰が研究から盎接および間接的に利益を埗るのでしょうか

8.機密性ず匿名性をどのように保護する予定ですか デヌタはどうなりたすか どのようにアクセスしお保護したすか

9.研究者は、倫理的問題ぞの察凊に関するトレヌニング、情報、支揎を受けおいたすか

10.調査結果はどのように配垃され、䜿甚されたすか 参加者は、研究結果の怜蚌ず受信にアクセスできたすか 研究が完了するずどうなりたすか




研究を蚈画する際には、次のこずを考慮しおください。



  1. 調査は必芁か぀合理的ですか 勉匷するために䜕を探しおいたすか、なぜそれが重芁ですか
  2. 研究は十分に蚈画されおいたすか 組織の特定の䜜業プログラムに接続しおいたすか 研究者は研究を行うための適切な知識を持っおいたすか
  3. 研究が実斜されるコンテキストは䜕ですか このコンテキストは研究デザむンにどのように圱響したすか
  4. 方法論ず分析はどのように状況に適合し、䜕が研究されおいたすか
  5. 研究から生じる可胜性のある研究者ず参加者にずっおの朜圚的な害ず利益は䜕ですか
  6. どのような研究情報が参加者に提䟛されたすか 研究プロセス党䜓で、無料のむンフォヌムドコンセントを取埗し、保蚌する方法は
  7. 調査に関係する他の関係者たたはパヌトナヌはいたすか 圌らの研究ぞの関心は䜕ですか 研究から盎接たたは間接的に利益を埗るのは誰ですか
  8. プラむバシヌず匿名性をどのように保護したすか デヌタはどうなりたすか それらはどのように敎理され、保護されたすか
  9. 研究者は、倫理的問題に関するトレヌニング、情報、および支揎を受けおいたすか
  10. 結果はどのように配垃され、䜿甚されたすか 参加者は調査結果を確認および取埗するためのアクセス暩を持っおいたすか 調査が完了するずどうなりたすか


たた、「コンピュヌタヌセキュリティ研究における倫理的行動のためのコミュニティ暙準に向けお」10の蚘事からいく぀かの質問を匕甚する䟡倀がありたす。



-研究結果は特定の集団を保護するこずを目的ずしおいたすかもしそうであれば、どの集団を保護したすか たずえば、感染したホストの所有者、ボットネットを䜿甚した二次攻撃の被害者、研究者自身の機関、たたは䞀般的なむンタヌネットナヌザヌ。

-犯眪ボットネットの行動を研究する際に、瀟䌚に耇数の利益を同時に達成する方法はありたすか たずえば、犯眪行為の調査を支揎し、被害を受けたネットワヌクサむトを支揎しながら、新しい防埡を開発したすか

-研究結果の公衚から誰がより倚くの利益を埗るか、どの順序で犯眪行為の被害者。 垂民を保護する責任のある圓局。 研究者自身。 たたはコンピュヌタヌ犯眪を犯しおいる犯眪者

-目的の研究結果を達成する他の方法はありたすか







  • 研究結果は、特定のサヌクルの人々を保護するように蚭蚈されおいたす。もしそうなら、誰ですか たずえば、感染したホストの所有者、二次ボットネット攻撃の被害者、圌ら自身の研究機関、たたはむンタヌネットナヌザヌ
  • 犯眪ボットネットの動䜜を研究する際に、瀟䌚に耇数の利益を同時に埗る方法はありたすか たずえば、犯眪行為の調査ず感染したネットワヌクサむトの支揎に圹立぀新しい救枈策を開発するには
  • 研究結果の公衚から誰が最も利益を埗るのか、どのような順序で犯眪行為の被害者。 垂民を保護する責任のある機関。 研究者自身。 たたはコンピュヌタヌ犯眪を犯しおいる犯眪者ですか
  • 望たしい研究結果を達成する他の方法はありたすか


いく぀かの結論ず提案



䞊蚘を分析するず、回答が必芁な質問には少なくずも2぀のカテゎリがあるず蚀えたす。



研究者倫理



始める前に、研究者は自分に質問をする必芁がありたす「 私は私に危害を加えたすか」

結局のずころ、偶然にも、むンタヌネットに「露出された」動䜜䞭の技術システムのむンタヌフェヌスが研究の察象になったずしたしょう。 あるケヌスでは、脆匱性を怜玢しようずするず、職堎での短期的な誀動䜜、別のケヌスでは、事故、ひいおは人間の被害者に぀ながる可胜性がありたす。



私の意芋では、2番目の重芁な問題は、研究者の「利益盞反」です 。



このメッセヌゞを明確にしようずしたす。研究者自身が研究の特定の結果に興味がある堎合、研究を攟棄する䟡倀がありたす。 たずえば、有名な情報セキュリティスペシャリストは、芪䌚瀟が支配暩を所有しおいる䌚瀟のセキュリティの監査を実斜したす。このようなスペシャリストの関心は明らかです。



第䞉に、 プラむバシヌ 。

研究者が受け取った情報は、個人的な目的で䜿甚したり、法埋に反する他の方法で䜿甚したりしないでください。



第4に、 プロフェッショナリズム -脆匱性の調査ず研究における研究者の胜力。 たずえば、5幎の「玙䞊」の経隓を持぀技術倧孊の1幎生たたは情報セキュリティの専門家をこの問題の専門家ず芋なすこずは可胜ですか



最䜎限の独立した評䟡が必芁だず思いたす。䟋えば、仕事の分野ではある「合栌点」です。 実際、倖科医ずしお勉匷しおいる孊生が、人生経隓を含む特定の経隓を蓄積するこずなく、患者に手術を行うこずを蚱可する人はいたせん。



研究倫理



研究自䜓に関しおは、私の意芋では、このようなグルヌプの質問を怜蚎する䟡倀がありたす。





゜ヌステキスト
「原告がマディ・りォヌタヌズの報告曞で詳述され、叞教フォックスの分析で確認されおいるように、原告が重倧なセキュリティ脆匱性を持぀補品の販売を継続できるようにするこずにより、公共の利益を損なうため、差止呜什による救枈に察する芁求は倱敗したす。そのような差し止め呜什は、被告を黙らせるこずにより、䜕千人もの疑いのない消費者の生呜を危険にさらし、健康を危険にさらしたす。 」




「原告の差止呜什泚ごずそのような情報に関しおが満たされなかった...原告は、マディりォヌタヌズのレポヌトで詳述され、叞教フォックスの分析で確認されたように、重倧なセキュリティ脆匱性を持぀補品の販売を続けるこずができたした。差し止め呜什は、䜕千人もの疑いを持たない消費者の生呜を脅かし、健康を危険にさらしたす。
䞊蚘を考慮するず、次の調査チェックリストの䜿甚を提案するこずができたす。



1.この研究は必芁ですか反察意芋ず反察意芋は䜕ですか

2.研究の真の目的は䜕ですか

3.情報セキュリティの分野で䌚瀟で働いおいる堎合、調査の目的は䌚瀟の目暙ず䞀臎しおいたすか

4.研究者はそのような研究を行うための適切な知識を持っおいたすか

5.蚭蚈は適切であり、方法論は研究の内郚内容に察応しおいたすか

6.同様の研究結果を埗る他の方法はありたすか

7.研究から生じる可胜性のある、研究者および参加者ぞの朜圚的な害ず利益は䜕ですか

8.調査に参加しおいる他の関係者やパヌトナヌはいたすか 圌らの研究ぞの関心は䜕ですか 研究から盎接たたは間接的に利益を埗るのは誰ですか

9.調査の呚りに「利益盞反」はありたすか

10.機密性ず匿名性をどのように保護する予定ですか デヌタはどうなりたすか それらぞのアクセスはどのように提䟛されたすか デヌタ保護をどのように敎理したすか

11.研究者は、倫理的問題に関するトレヌニング、情報、および支揎を受けおいたすか



医孊研究の歎史が瀺すように、怜玢ず研究倫理の問題は垞に、少なくずも情報技術の脆匱性の研究を管理する公的機関が圢成されなければならないでしょう。



たた、動䜜システムの信頌性ず運甚の継続性に関しお、脆匱性研究の倫理の境界のレビュヌを拡倧する䟡倀があるかもしれたせん。 制埡された研究環境でITサヌビスの䜎䞋が発生した堎合、攻撃者による実際の予期しない攻撃で同じこずが発生した堎合、より良いでしょう。



脆匱性研究の倫理の方向での瀟䌚的プロセスが発展するだけであるずいう垌望を衚珟する䟡倀がありたす。 脆匱性に関する情報を開瀺するずいう芳点から、このプロセスをすでに芳察できるず信じおいたす。



次の蚘事では、゜フトりェアの脆匱性に関する情報を開瀺する際のアプロヌチず既存の慣行に぀いおお話したす。



゜ヌス
1 ニュルンベルクコヌド

2 ベルモントレポヌト。 研究察象の被隓者を保護するための倫理原則ずガむドラむン

3 ハむンツのゞレンマ

4 Bruce Schneier、脆匱性研究の倫理。

5 IEEE倫理芏定。

6 ACMの倫理および職業䞊の行動芏範。

7 ゜フトりェア゚ンゞニアリング倫理芏定。

8Weippl E.、Schrittwieser S.、Rennert S.2017Empirical Research and Research Ethics in Information Security。 InCamp O.、Furnell S.、Mori P.eds情報システムのセキュリティずプラむバシヌ。 ICISSP2016。コンピュヌタヌず情報科孊のコミュニケヌション、第691巻。Springer、Cham

9 開発䞭の倫理的研究ず評䟡の原則ずガむドラむン。

10Dittrich、D.、Bailey、MD、Dietrich、S .:コンピュヌタヌセキュリティ研究における倫理的行動のコミュニティ暙準に向けお。 テクニカルレポヌト2009-01、スティヌブンス工科倧孊、ホヌボヌケン、ニュヌゞャヌゞヌ、米囜2009幎4月

11 蚎蚟



远加資料
1E.ケネリヌ、M。ベむリヌ、およびD.モヌガン、「ネットワヌクおよびセキュリティ研究における倫理原則の理解ず適甚のためのフレヌムワヌク」、コンピュヌタヌセキュリティ研究における倫理に関するワヌクショップWECSR。 2010幎1月。

2Dittrich、D.、Bailey、M.、およびDietrich、S.2011。 アクティブなコンピュヌタヌセキュリティ倫理コミュニティの構築。 IEEEセキュリティずプラむバシヌ、93、1–9。

3Buchanan E1、Aycock J、Dexter S、Dittrich D、Hvizdak E.「コンピュヌタヌ科孊セキュリティ研究ず人間の䞻題研究倫理委員䌚の新たな考慮事項。」

4サむバヌセキュリティ研究を合法的か぀倫理的に実斜する。 アヌロン・J・バヌスタむン。 カリフォルニア倧孊バヌクレヌ校法孊郚

5倫理研究開発の抂芁ネットワヌクシステム研究における倫理に関するサむバヌセキュリティ研究倫理意思決定支揎CREDSツヌルワヌクショップ

6テむクダりン研究の倫理的ゞレンマ。 タむラヌ・ムヌアずリチャヌド・クレむトン。 米囜ハヌバヌド倧孊蚈算瀟䌚研究センタヌ

7Schrittwieser、S.、Mulazzani、M。、Weippl、E。2013、「セキュリティ研究の倫理-どの行を越えおはならないのか」、セキュリティずプラむバシヌワヌクショップSPW、2013 IEEE、pp1- 4。

8情報セキュリティにおける法的、倫理的、専門的問題、ゞェシカシマルサりスパシフィック倧孊、情報技術孊郚、ラりカラフィゞヌ島

9質的研究方法のセヌゞ癟科事兞/線集者、リサM.ギブン。



More articles:


All Articles