非公開URL(「署名付きURL」とも呼ばれます)は、オンラインストレージなどで他の人とファイルを共有するために便利な仕組みです。しかし、非公開URLでは共有されたファイルの情報漏洩を防ぐことはできません。しかも、共有する相手ではない第三者が非公開URLにアクセスしたとしても、不正アクセス行為には該当しないという法律の専門家の方の見解も示されています。そこで今回は、なぜ非公開URLで情報を守ることが出来ないのか? その理由をまとてみました。
非公開URLとは?
「非公開URL」の明確な定義はありませんが、URLを秘密(非公開)にすることで、そのURLを知らない人がアクセスできないようにすることを言います。「隠しURL」や「隠しフォルダ」や「署名付きURL」と呼ばれることもあります。
しかし、オンラインストレージなどに「非公開URLを作成する」という機能はありません。
下のように作成した誰でもアクセスできるURL(要するに普通のURL)を、共有元の人とその相手の人が秘密にした場合は「非公開URL」、秘密にしない場合は「普通のURL」になります。
(補足)上に表示されている「リンク」は「URL」と同じ意味と考えて問題ありません。
また、オンラインストレージなどで、共有リンク作成すると、以下のような複雑な URL が生成されますが、「非公開URL」に複雑さは必要ありません。簡単なURLでも秘密にすれば、それは「非公開URL」になります。
非公開URLで情報を守ることが出来ない理由
非公開URLで情報を守ることが出来ない理由は次の通りです。
情報システムは URL を秘密のものとして処理しないから
そもそも URL は、インターネット上にある情報の場所を示すものですので、パスワードとは違い秘密として扱うものではありません。むしろ URL は、Webサイト、SNS、TV、書籍、広告など、あらゆる所に表示され、積極的に公開して人に伝えるものとして認識されています。
また、情報システムにおいても、パスワードは暗号化して保存するなど秘密として処理される一方、URL は、検索エンジンに登録されたり、Webサーバーに参照元のURLを伝えるなど、積極的に他の情報システムに伝えるものとして処理されます。
このような状況で、人と人との間で URL を秘密にしたとしても、その URL が、秘密にされ続けることは難しいでしょう。
Webセキュリティの原則
オンラインストレージなどのほぼすべてのクラウドサービスは、Webの技術を基本として作られています。はたして非公開URLは Webセキュリティの原則にあてはまるのか? 確認してみましょう。
安全なウェブサイトの作り方(改訂第7版)
Webのセキュリティのガイドラインとして、広く利用されている「安全なウェブサイトの作り方(改訂第7版)」には、次のように定められています。
アクセス制御機能による防御措置が必要とされるウェブサイトには、パスワード等の秘密情報の入力を必要とする認証機能を設ける
ウェブサイトで非公開とされるべき情報を取り扱う場合や、利用者本人にのみデータの変更や編集を許可することを想定する場合等には、アクセス制御機能の実装が必要です。
安全なウェブサイトの作り方(改訂第7版)| IPA P46から引用
情報を秘密にしたい場合は、「アクセス制御機能」の実装が必要とされています。URLを秘密にすることは「アクセス制御機能」には該当しません。具体的にはユーザー名とパスワードを入力して、はじめて秘密の情報が表示されるような仕組みが必要になります。
RFC 7231(HTTP/1.1)
Web通信で使われているプロトコル Hypertext Transfer Protocol(HTTP/1.1)の技術仕様 RFC 7231 には次のように定められています。
9.4. URIでの機密情報の開示
URIは、安全なリソースを特定する場合でも、安全ではなく、共有されることを意図しています。URIはしばしばディスプレイに表示され、ページを印刷するときにテンプレートに追加され、保護されていないさまざまなブックマークリストに保存されます。したがって、機密性、個人を特定できる情報、または開示するリスクのある情報をURIに含めることは賢明ではありません。
https://datatracker.ietf.org/doc/html/rfc7231#section-9.4 より機械翻訳して引用
抄訳すると URI(URLの総称です)は保護されるものではないため、機密情報を含めることは賢明ではないとされています。非公開URLは URL そのものが機密情報になりますので、この原則に違反していることになります。
法律の専門家の方の見解
法律の専門家の方からは、意図していない第三者が非公開URLにアクセスしたとしても、基本的には不正アクセス行為には該当しないという見解が示されています。
以下2つの論文を引用させて頂きましたが、場合によっては不正アクセス行為や他の罪に該当する可能性についても書かれています。著者の方の主張を正しく理解するためにも論文全体を読むことをオススメします。
不正アクセス禁止法における不正アクセス行為の概念
議論になるのは、所謂「隠しURL(Uniform Resource Locator)」や「隠しフォルダ」といわれるものである。先述の如く、パスワードだけでも識別符号たり得る以上、暗号化URL等、例え単なるURLであってもパスワードと同様の機能を果たす場合もあるからである。しかし、原則として、こうした場合にはアクセス制御がかかっているとはいえない。何故なら先述の如く、アクセス制御機能とは、特定利用を自動的に制御するために「付加されている機能」であって、URLを入力しさえすればHPが表示されると言った場合、そこには付加された機能は存在しないからである。
田中規久雄. 不正アクセス禁止法における不正アクセス行為の概念. 阪大法学, 2011-03-31, 60, 6, p.53-81. より引用
「隠しURL」(非公開URLと同じ意味です)を入力するだけで情報が表示される場合は、アクセス制御があるとは言えないとされています。アクセス制御機能がなければ、その情報にアクセスしても不正アクセス行為には該当せず不正アクセス禁止法で罰せられることもありません。
非公開URLと不正アクセス行為概念
②方式の場合には、問題となる URL はファイル等に付されたものであって利用権者等に付された符号ではないことが多いことに加え、問題となる URL において利用権者等の区別・識別を目的とする趣旨が表れているとはいえないことが多いことから、原則として、当該 URL は識別符号に該当せず、不正アクセス行為該当性は問題とならない。
岡部天俊. 非公開URLと不正アクセス行為概念 : いわゆるZoom-bombing問題を契機として. 北大法学論集, 2020年11月27日, 71, 4, p.109-125. より引用
この論文の中で「②方式」と呼んでいるのが、オンラインストレージなどで作成した共有リンク(URL)のことです。非公開URLは識別符号に該当しないため、不正アクセス行為該当性は問題とならないとされています。
非公開URLすなわち「不適切なアクセス権限の設定」を防ぐ方法
秘密にすべき情報(例えば個人情報)を、非公開URL のように誰でもアクセスできる URL で共有することを「不適切なアクセス権限の設定」と呼びます。
この「不適切なアクセス権限の設定」は、会社などの組織でオンラインストレージを導入する場合には、簡単な設定によって防ぐことができます。設定の詳細につきましては以下の記事をご参照ください。
Google Workspace の導入時にするべきたった1つのこと
Microsoft 365 の導入時にするべきたった1つのこと
Box の導入時にするべきたった1つのこと
Dropbox の導入時にするべきたった1つのこと
おわりに
クラウドサービスが主流になった現在では、利用者一人ひとりが「最小権限の原則(必要な人のみに必要なアクセス権限を設定すること)」に則り、クラウドサービス上の情報に適切なアクセス権限を設定することが求められています。
繰り返しになりますが、非公開URLで情報を守ることは出来ません。オンラインストレージなどで他の人とファイルやフォルダを共有する時は、必要な人だけがアクセスできるように設定しましょう。
コメント