デジタルリスク総研は、デジタルリスクに関する研究を行い、その成果を社会に還元することによって、デジタルリスクを低減させることを目的とした研究機関です。MORE

【デジタルリスクに備えよ Vol.5】
リバースエンジニアリング一部合法化に伴うリスク

2019年03月14日

2019年1月1日に改正された著作権法によって、サイバーセキュリティ確保などを目的としたリバースエンジニアリングが可能になりました。今回の法改正によってリバースエンジニアリング実施の自由を手に入れたのと同時に、責任やリスクも内包します。今回は、このリスクについて取り上げます。

リバースエンジニアリングとは

ソフトウェアやハードウェア製品の構造を分析し、動作やソースコード、製造方法や構成部品などを明らかにする行為がリバースエンジニアリングです。既に製品化(エンジニアリング)されたものから、仕様書やソースコードなどを起こし直す(リバース)と表現した方がわかりやすいかもしれません。

従来、リバースエンジニアリングは明示的には禁止されていなかったもの、著作権法の保護対象でもあったためグレーゾーンでした。そのため、ほとんどの場合、製品購入時に添付されている利用規約にはこのリバースエンジニアリングを禁止する規定が記載されていました。製品を分析することで特許技術や敢えて特許として公開していない独自技術を知られないためです。そのため製品を利用する際にリバースエンジニアリングの禁止事項に対して、同意して貰う必要があり、言い方を変えれば、リバースエンジニアリングしたい場合には開発元へ申し出た上で、合意を取り付ける必要がありました。


リバースエンジニアリングを実施する側のリスクと責任

著作権法改正に従い、著作権者である製品製造者は利用規約に記載したリバースエンジニアリングを禁止する規定に制限が加わりました。セキュリティエンジニアを中心にリバースエンジニアリングを実施して技術力を磨いたり、実施した内容を基に脆弱性を効果的に見つける手法などを研究したり、その成果を公開したいと考えていた方々にとっては、これまで合法か非合法か判断し難い状況であったものが、サイバーセキュリティ確保などを目的とした行為であれば合法と明確化されたことで、非常に実施しやすい状況になったといえます。

しかし、公開の仕方を間違えば、訴訟リスクを抱えることになりますし、大々的に訴訟を提起されるとエンジニアとしての活動に非常に大きな制約を受けることになりかねません。特に製造者側が脆弱性情報の届出対応に不慣れな場合、脅迫行為と受け取られて訴訟を起こされる可能性があるため慎重に手続きを進める必要があります。

それほど合法化によって手に入れたリバースエンジニアリング実施の自由に伴う責任は重いといえます。

では、責任を担保する方法は個々人が個別に考えないといけないのかというと、そうではありません。2004年の経済産業省の告示に基づいて「情報セキュリティ早期警戒パートナーシップガイドライン」が策定され、脆弱性情報の届出を受ける制度ができあがっています。リバースエンジニアリングによって脆弱性を発見した場合は、下記の独立行政法人情報処理推進機構のサイトから脆弱性情報を届け出ることで、発見者のプライバシーは保護された上で、製造元とのやり取りを仲介して貰えます。
(脆弱性関連情報の届出受付:IPA 独立行政法人情報処理推進機構  https://www.ipa.go.jp/security/vuln/report/)

リバースエンジニアリングの一部合法化が実施された背景としては、多種多様な脆弱性が日々発見され、修正前に攻撃者が先に発見して攻撃に利用している状況を緩和したいという想いがあり、それを受け入れる制度も整っていたという状況があります。


リバースエンジニアリングを実施される側のリスク

グレーゾーンがなくなったことで、リバースエンジニアリングを受ける側にはどんなリスクがあるのでしょうか。それは一言でいうと、法律を正しく理解しない人達によってバグや脆弱性を適切な手続きなしに公開されることで生じる、営業活動へ影響を及ぼすリスクです。

改正著作権法では、「権利者の利益を害しないと考えられる行為」の類型としてリバースエンジニアリングを特定目的下で許容=合法化する内容となっています。そのため、営業活動へ影響をきたすような妨害行為としてリバースエンジニアリングを行って得た結果を公開すると「権利者の利益を害した」と解釈可能になり、民事訴訟が提起可能になる可能性が高くなります。
ソフトウェアであれば無償版を公開しているとリバースエンジニアリングの対象となり得ますし、ハードウェアであってもファームウェアなどを公開している場合は、それらがリバースエンジニアリングの対象となることは全面的に禁止できなくなります。


関連サイトはこちら

・研修,ルール策定
従業員が業務内外でソーシャルメディアを扱う際のルール、ガイドラインの策定や研修等のリスク低減に向けた各種支援を行います。

・内部脅威検知サービス
ログデータから「ヒト」の行動を解析し、企業内部での「異常行動」や、 その「動機」「可能性」「兆候」を持つ人物を検知・可視化し、重大なインシデントの発生を未然に防ぐことのできるサービスです。 情報漏えいや不正行為などのセキュリティ対策から、従業員のメンタルヘルス改善や離職リスク軽減、ハラスメント防止といった労務管理でも活用できます。

・リスクモニタリング
特定事象に関する投稿を24時間365日モニタリング。
危険度の高い投稿の検知、緊急通知、その後の鎮静化に向けたコンサルティングまで実施します。

・検索エンジン評判対策
Web上の風評被害・誹謗中傷の解決はもちろん、イメージアップまで実現します。

03-6550-9281

お問い合わせ

  • 大阪06-6210-5017

関連コラム

デジタルリスク総研について

日本におけるSNSの利用率はここ数年増加の一途をたどり、2015年3月の調査では実に77%に至りました。企業もこれに比例してSNSをマーケティングに活用しようという動きが高まり、今日では既に一般的なこととなっています。ソーシャルメディアマーケティングは、話題の拡散、属性によるターゲティングや双方向のコミュニケーションといったマーケティングの多様性を生み出し、この成否が顧客エンゲージメントの獲得を左右するようになりました。

しかし、その一方で、ネット炎上件数もまた年々増加し、昨年は遂に1,000件を超え、企業としては、炎上させないSNSコミュニケーション術や、万が一炎上の火種が生じた際にどのように対応するかというリスク管理体制の整備が求められています。これは、ソーシャルメディアの活用を控えるという意味ではなく、ソーシャルメディアを有効に活用するための手段でもあります。

デジタルリスク総研は、2007年からソーシャルリスクマネジメントに着目し事業を行っている株式会社エルテスによって、ソーシャルリスク総研として、2016年2月に設立され、ソーシャルリスクを低減させることを目的とした研究機関として、ネット炎上等のソーシャルリスクに関する研究を行い、その成果を社会に還元してまいりました。そして、2016年11月にデジタルリスク総研と改称し、ソーシャルリスク分野に加えて、企業内部の不正や金融犯罪の検知をはじめとしたリスクインテリジェンス分野における研究を開始しました。このサイト上では、企業に役立つ実践的なデジタルリスクマネジメントについて、定期的に情報発信を行いますので、企業等のデジタルリスクマネジメントに是非ご活用ください。

※ 13歳以上の男女。(出典)総務省「社会課題解決のための新たなICTサービス・技術への人々の意識に関する調査研究」(平成27年)

運営者について

デジタルリスク総研は株式会社エルテス内にございます。
株式会社エルテスでは、次のような事業を行っております。お気軽にご相談ください。