資通安全法律案例宣導彙編 第5輯

　　日本IT總合戰略本部於2019年3月18日公告提出「數位程序法案（デジタル手続法案）」，本法案係集結多部法律修正案之包裹法案，包含行政程序網路化法（行政手続オンライン化）、居民基本簿冊法（住民基本台帳法）、官方個人認證法（公的個人認証法）、及個人編號法（マイナンバー法）。該法案的目的，在於應用資通訊技術簡化行政運作並提高使用便利性，藉此增進行政效率，因此在相關法令中明文擬定行政數位化的基本原則，增修推動行政程序線上辦理的共通規定與配套措施，賦予行政機關應履行的各項法定義務，同時為落實各領域推展行政數位化的規劃，制定個別具體規範。 　　於制定行政數位化基本原則、與增訂推動行政程序線上辦理的共通規定與配套措施之部分，主要為修正原「行政程序網路化法」，更名為「數位行政推進法（デジタル行政推進法）」，定位該法目標與功能為促進社會整體數位化，使國家、地方公共團體、民間業者、國民與其他人於從事各種社會活動時，均能享受到資通訊技術帶來的便利性。該法要求的基本原則，包含數位優先（digital first， 藉由數位手段一體化完成各項手續或服務）、免去重複提供資訊（once only，曾提供的資訊得被保留供再次使用）以及一步到位（connected one-step，謀求複數的程序或服務簡化為一步到位）。至於推動行政程序線上辦理的共通規定與配套措施，則包含要求地方公共團體須致力於達成行政程序線上辦理的目標，授權主管機關訂定得辦理網路身分認證與支付手續費等數位化法定程序、要求行政機關提出實現行政程序線上辦理與廢除紙本附件流程的資訊系統整備計畫等。 　　另一方面，針對各領域推展行政數位化的具體規範，該法案預備修正「居民基本簿冊法」、「官方個人認證法」以及「個人編號法」，主要內容包含：1. 保存個人電子認證資訊等相關官方服務的適用對象擴及旅外國民，同時得發行旅外國民之官方個人認證之電子證明書與個人編號卡，使其得透過網路使用相關的行政電子化服務；2. 長期且確實保存本人過去的居住遷徙紀錄，增設住民票註銷後原有相關記錄仍予以保留的「除票」制度，使國民過去的居住地紀錄，不會因為變更戶籍、依法註銷原戶籍地的住民票而消失；3. 過去使用官方個人認證之電子證明書與個人編號卡時須輸入密碼，官方個人認證法修正案則授權主管機關增設其他不需輸入密碼的使用方式，以呼應擴大電子證明書使用範圍的政策規劃；4. 賦予個人編號IC卡（マイナンバーカード）作為獨立有效之身分證明文件的地位，廢止原依法需和個人編號IC卡併用的紙本通知卡（通知カード）制度，免去個人住所等基本資料變更時，需同步更正通知卡紙本登載資訊的行政程序，減輕主管機關負擔。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　網路搜尋引擎龍頭Google質疑Microsoft研發的“Bing”搜尋引擎有剽竊Google搜尋結果的狀況，對此Google已提出訴訟。Google表示，為了要調查是否有搜尋結果被剽竊的情形，故意在搜尋引擎中創造近100個毫無意義的搜尋關鍵字，例如“Hiybbprqag”、“Mbzrxpgiys”和“Indoswiftjobinproduction”等，同時對應該關鍵字插入虛假的搜尋結果。在幾個禮拜之後，Google發現競爭對手Microsoft 的Bing搜尋引擎也出現相同的搜尋結果，因此認為Bing有剽竊之疑。Google表示：「Google的搜尋結果是經過多年辛苦努力的成果，這件事情對我們來說像是一場馬拉松賽跑中有人在背後偷襲你，然後突然跳到終點站前迎接勝利，是一種欺騙的行為。」 　　Microsoft否認剽竊搜尋結果，認為這是Microsoft用來提高搜尋品質結果的方法之一，Bing實際上使用不同的符號和方法來對於不同的搜尋結果加以分級，用來辨別不同的搜尋結果。同時針對搜尋結果提供多數關連的答案，藉此增加消費者對於Bing搜尋引擎的良好經驗，Google使用間諜手法（Spy-novelesque stunt）對競爭對手進行調查，此舉已抹黑Bing，蒙上不好的評價。 　　Google提出抗辯認為Bing的行為構成簡單而顯然的詐欺，造成不同的搜尋引擎產生同樣的搜尋結果。況且搜尋引擎的功能，若可以出現與Google搜尋下相同的結果，並無法保證能創造出更好的搜尋品質，Microsoft的說法無法獲得肯認，後續延燒的訴訟爭議，有待日後進一步觀察。

　　國際藥品採購機制（UNITAID）為協助開發中國家取得價格可負擔的人類免疫缺陷病毒（Human Immunodeficiency Virus，HIV）及愛滋病（Acquired Immuno-deficiency Syndrome，AIDS）用藥，2009年12月時即宣布成立「藥品專利聯盟基金會」（Medicines Patent Pool Foundation，MPPF），提供5年約442萬美元作為促進各大藥廠投入專利於所組之藥品專利聯盟（Medicines Patent Pool，MPP）之經費。去（2010）年7月，MPPF在瑞士登記成立後，立即展開與藥廠協議將其專利授權給MPP，以及同意MPP再授權給其他藥廠生產製造相關藥品之行動。 　　經過近1年努力，今（2011）年7月，MPPF終於與第一家美國藥廠Gilead Sciences達成授權協議，將旗下的Tenofovir（此為B型肝炎治療用藥）、Emtricitabine、Cobicistat、Elvitegravir及前述藥品固定劑量之單一藥丸產品Quad，授權給MPP再利用。接下來，MPP預計還要繼續向Abbott Laboratories、Boehringer-Ingelheim、Bristol-Myers Squibb、Merck & Co、Roche、Tibotec / Johnson & Johnson及Viiv Healthcare等藥廠爭取授權。 　　根據Gilead藥廠授權協議，MPP得以無償、非專屬、不可轉讓方式製造、使用、邀約販賣及販賣前述藥品，並將之再授權給印度學名藥廠；合法的被再授權人（Sublicensee）得出口及販賣其藥品，並支付3-5％權利金，但被再授權人若是為12歲以下兒童病患開發液體狀、可分散之兒科醫學劑型配方時，則可例外無須支付權利金。雖然Gilead藥廠之授權協議在內容上仍有諸多值得檢討之處，例如只限授權給印度學名藥廠、提供臨床試驗階段之Cobicistat、Elvitegravir及 the Quad藥品，雖確實可使開發中國家最快速度享受到最新的有效藥，但不免會引起是否涉及開發中國家新藥人體試驗之揣測。但無論如何，MPP成功獲得Gilead藥廠之授權，除打破外界先前對於MPP能否實際說服商業藥廠為公益目的加入之質疑，藉由雙方所訂之對象、範圍、權利金與例外等授權條件，更能明確看出MPP日後實際運作將採之方式。