« 3月14日東京地裁にて証人尋問: 原告Ejovi Nuwere (イジョビ・ヌーワー)氏が来日 | Main | Ejovi Nuwere (イジョビ・ヌーワー)氏の原告最終準備書面 »

Mar 14, 2006

Ejovi Nuwere (イジョヴィ・ヌーワー)氏の3月14日証人尋問 原告陳述書

平成16年(ワ)第24723号 損害賠償請求事件
原 告 イジョヴィ・ヌーワー
被 告 国

陳 述 書

2006年(平成18年)1月19日

東京地方裁判所民事第37部合A係 御中

原 告 イジョヴィ・ヌーワー

高潔なる裁判官殿


第1

私は今日ここにいるべきではないかもしれません。私は法廷にいるべきではないかもしれませんし、私はこの国にいるべきではないかもしれません。統計によるならば、アメリカでの貧困の中で生まれた黒人男性である私は、生きているべきではないとすら言われるかもしれません。私は、ニューヨーク市の中でも常に闘うことが必要とされる地域で育ちました。私は生存し続けるために闘い、収入を得るために闘いました。私はチャンスを得るためにも闘いました。私は26歳です。私は今年1月27日に26歳になりました。私は若いといえますが、これらの闘いについて嫌気がさすくらいは十分に年を取っています。私は日本とは地球の反対側にあるニューヨーク市に住んでいます。私はコンピュータセキュリティの会社を経営していますが、その仕事は、ほとんど毎晩午前2時までは私を寝かせてくれません。私のクライアントは、世界中で最も大きいクラスの企業や政府機関です。その中でおそらく今最も有名なものは、長野県でしょう。今日ここにいることを困難にするこれら様々な難関にもかかわらず、私はどの戦いが十分に闘うに値する価値を持っているか見いだすことを学びました。この戦いは民主主義国家としての日本にとって重要な意味を持ちます。これは、この地で人生のすべてを過ごすであろう、私の親しい日本の友人たちにとって重要な意味を持ちます。そしてさらに、私のような完全性を求められる研究者にとっていっそう重要な意味を持ちます。

私は日本に1年間住んでいましたが、その期間は青年としての私が最も夢中になって過ごした期間でした。その経験は私に、謙虚であることと年長者の知恵を尊敬することを教えてくれました。私はまたマサチューセッツ州のボストンに3年間住み、ハーバード大学で短い期間勉強する機会を得ました。マサチューセッツという近代民主主義の構築者たちの故郷で私が過ごした時間は、高い価値を持つ何かを教えてくれました。それは権力の乱用を問うということです。

話が脇道にそれたことをお許しください。しかし、ここにあるのはこの事件についての事実です。

私はセキュリティ業界の中で、今まで11年仕事をしています。私は、誠実さと深い専門的な知識と言行一致という、私にとって社会的な地位としての評判を得るために必要なものを構築しました。長野県の住基ネットの監査という今でもまだ物議をかもし続けている仕事の担当者の1人として、長野県は私ならば偏りを持たない監査者となれると、私の評判に基づいて感じたのです。

私は、3人で構成された監査チームのメンバーの1人でした。チームの他の2人のメンバーは、日本のコンピュータセキュリティの専門家たちでした。セキュリティ業界はとても狭いです。私は、それらの監査者2人をすでに知っていました。以前その監査者の1人とは共に仕事をしたことがあり、もう1人の評判も知っていましたから、彼ら2人の能力と知識について私は今でも多大な尊敬をいだいています。

このセキュリティ監査の目的は、地方での住基ネットの配備において、セキュリティの脆弱性がもし存在するならばそれらを特定することでした。このテスト以前には、私は長野県とはどのようなコミュニケーションもしたことはなく、また住基ネットについても如何なる関わりも持ったことはありませんでした。私がプロジェクトへの参加を承諾したときには、もちろん私はこのシステムを取り巻いている論争について気付かせられました。また私は、住基ネットについて、インターネットのサーチ・エンジンを使ってリサーチを行いました。それらの末に私は、偏りを持たないコンサルタントとしてプロジェクトに参加しました。理解はしているが偏りはないということです。


第2

セキュリティ監査者とは、偏りを持つことが難しい職業です。セキュリティ監査者がネットワーク監査において問題を探そうとすることは、会計監査者が経理帳簿を監査するのと似ています。優れた監査者は、程度の低い監査者が無視するかもしれない何かを常に見いだすことができます。

一般的に監査においては、調査、発見、証明が一連のステップになっています。それは、セキュリティ監査でも同じです。私たちは、脆弱性を捜します。脆弱性が見いだされたならば、私たちはそれが本当であることをすぐ証明しなくてはなりません。私たちは、ハッカーが用いるであろうものと同じテクニックを使います。私が「私たちは同じテクニックを使う」と言うときに私が意味するのは、悪人が用いるであろうツールと同じツール、彼らが用いるであろうものと同じ公開されたリソースを使うということです。

一般に監査が行われる時には、2つのシナリオが用いられます。最初のシナリオは、インターネットから来ている攻撃者が内部のシステムにアクセスを得ようとするものです。2つ目のシナリオは、攻撃者がローカルなネットワークにいて、限定されたアクセスだけを使って重要なコンピュータや情報のコントロールを得ようとするものです。2番目のシナリオで私たちは、ローカルなネットワークの一員である従業員や、インターネットから内部ネットワークの中に入る方法を見いだした攻撃者には、何をすることが可能かをテストします。他の例えを使うならば、もし銀行のためのシナリオが2つあるとすると、ひとつは銃を持った銀行強盗はどれくらいの盗みが可能かで、これは外部からの脅威についてです。もうひとつは、銀行員は何を盗む事ができるかで、これは内部からの脅威についてです。

この種のテストをする理由は単純です。企業や政府などの組織は、悪人が問題点を悪用する前にそれらを見いだして修正する必要があるからです。私がネットワークにアクセスを得る15の方法を見いだすなら、私のクライアントはそれらを修正します。それにより、クライアントのネットワークが侵入されうる方法は15少なくなるわけです。それは、銀行に強盗が入る方法が15少なくなるのと同様です。

ただし考慮すべき重要なことは、テクノロジーは常に変化しているということです。私たちが今日知っているテクノロジーは、今から6カ月あるいは1年経つと非常に異なっているでしょう。そのため、私たちのクライアントの大部分は、少なくとも年に1回、時々1年に2回をテストを実行します。それらの結果は常に異なっているのです。私が今まで行った監査では、脆弱性が発見されなかったようなものは一度もありません。定期的なテストは決定的に重要なものです。例えば、株式市場が3年前に発見された技術的問題1つだけを直す必要があるものだと考えている事態を想像してください。もしそうならば、その株式市場は確実に機能停止してしまったでしょう。

アメリカで私たちの政府は、政府機関のためのテストプロセスを持っています。そのテストには、政府のセキュリティ専門家だけでなく、私のような外部のコンサルタントも同様に関与します。どの政府機関かにもよりますが、そのテストは年4回か、少なくとも1年に1度行われます。その結果がまとめられるときには、それぞれの政府機関はA、B、C、またはFの成績を与えられます。これらの成績が一般に公表される時は、政府機関にとって本当に恥ずかしいものです。そして多くの政府機関が合格点に達しません。しかし大事なことは、それらの政府機関は向上しようとしていることです。

監査者として、私はしばしば機密情報にアクセスすることがあります。私たちの出した監査結果は、99.9%の場合、安全上の理由から一般には決して公表されません。クライアントからの許可がある場合でない限り、私たちは稀にしか誰がクライアントであるのか話すことを許されません。多くのセキュリティ会社にとって、テストの結果について話すことを禁止する機密保持契約書にサインすることは標準的な慣行です。
しかし法的契約以外にも、私たちの仕事の性質は非常に高い道徳的標準を要求します。それは、会計士や医者が守らなくてはならない道徳的標準と同様のものであると思います。アメリカではプロフェッショナルなセキュリティ会社はすべて、それがどのような種類の罪であったとしても、有罪を宜告された犯罪者は雇用しないというポリシーを持っています。私は一度も有罪を宜告されたことはなく、あるいは私の今までの生涯において逮捕されたこともまったくありません。もしも、あるセキュリティ会社が犯罪者を雇用したことが知られたなら、その会社は倒産するでしょう。もしその会社が許可なくテスト結果を発表したなら、その会社は倒産に追い込まれるでしょう。これらの標準と法的契約は、私たちのビジネスの中心にあります。


第3

ノーマルなセキュリティ監査は、とりたてて面白いものではありません。ほとんどの監査は、2人の監査者が2週間実施します。リモート監査の段階では私たちは自分のオフィスから作業し、テストはクライアントの業務時間中に行われます。非常に重要なマシンをテストするような場合では、私たちは営業時間外でテストをするように頼まれることがあります。それは夕方6時から深夜12時までといったものですが、どちらかというと稀なことです。それよりもっと一般的にクライアントから求められることは、非常に重要であると思われるマシンに対して、私たちが侵入するか制御奪取しようとする直前にクライアントに通知するというものです。それにより、クライアントは対象のマシンをモニターして、好ましくない事態が起きないように事前に手を打つことができます。

内部監査の段階では、私たちはクライアントのオフィスに始業時間から入ります。アメリカでは普通午前9時です。クライアントは、私たちにデスクを用意し、洗面所がどこにあるかや昼食はどこで摂れるかを示したら、その後は私たちが単独で作業するのに任せます。

私たちは、監査することを許されたマシン、テスト直前にクライアントに通知するべきマシン、私たちが実施することを許されたテストの種類について、若干の基本的なルールを持っています。例えば、機能停止を引き起こすかもしれないテクニックは、使うのを禁止されることが一般的です。ただし大部分については私たちは単独で作業し、クライアントは心配しつつ私たちの出す結果を待ちます。

私たちは、普通は1日1回私たちの進展状況をクライアントに伝えます。私たちは常に2つの主要連絡先として、実施担当者と技術担当者の連絡先を与えられます。実施担当者とは、クライアントのマネージメント構造の中で高い地位にいる、監査を承認した人間です。技術担当者の連絡先は、もし私たちが質問が必要になった場合すぐに連絡するために重要です。監査の全体を通して私たちは彼らの連絡先情報を持ち、私たちが質問したいときは彼らにいつでも連絡がつきます。私たちはまた、作業の進展状況をクライアントのチームと1時間程度の打合せ予定を取ります。これらの打合せは、一般的には技術担当者とそのスタッフ何人かと共に行われます。監査が終了すると、私たちはクライアントに最終報告書を提出します。

長野県での監査は非常に異なっていました。それは、そのネットワーク上に置かれた情報の内容が慎重な扱いを要するものだったためではありません。なぜなら私たちのすべてのクライアントの持つ情報は、慎重な扱いを要するものだからです。長野県での監査は、明確なガイドラインが私たちに用意されなかったという点で異なっていました。明らかにされた唯一のガイドラインは、日本政府に属しているネットワークには私たちは触ることができないというものでした。しかし私たちは、私たちの質問に答えられる技術担当者への連絡先を得られませんでした。

私たちの監査は、長野県の管理下での住基システムに限定されていました。3人の監査者の1人は、私たちが対象として選んだマシンが調査要件の範囲の中にあるかどうか、確かめて保証することに責任を持っていました。このことは、長野県でのテストを標準的なテストよりもずっと時間のかかる作業にしました。なぜなら、私たちは毎時間電話をかけては待つ必要があり、次のテストに続行する前に4時間ほど待たされることもありました。もし私たちが通常の業務時間の間のみでテストをしていたなら、これは悲惨な事態になったでしょう。私たちは幾晩も夜遅くまで作業しなくてはならない状況になりました。午前4時にホテルに戻ることは普通でした。最も大きな問題は、それらの地方自治体にいる誰も住基システムを理解していなかったということでした。住基システムはそれら地方自治体のオフィスに置かれていたわけですが、そこにいる人々は技術について何も知りませんでした。私たちはしばしば、それらのシステムのいくつかを管理した経験がある外部のコンサルタントに電話をして、質問をしなければなりませんでした。しかしたいていの場合、彼らは私たちに協力することを拒否しました。

もう1つの問題は報道陣でした。私たちがテストを行う場所は報道陣には秘密にされているはずで、政府スタッフのためでも必要がある場合のみ知らせることになっていました。私たちはしばしば、小さいクローゼットや物置部屋からひそかにテストをしました。しかし、これも意味がありませんでした。なぜなら、報道陣はしばしば、私たちのいる場所を私たちが到着する前から知っていたためです。いくつかの場所において、私たちは通常の業務時間の終わった後にテストをしなければなりませんでした。私がすでに言及したように、私たちは何日かは午前4時までテストをして過ごしました。ある時などは、報道陣が私たちがテストを行う予定になっていた建物を調べていたため、私たちはコンビニエンス・ストアで1時間も待たなければなりませんでした。また別の時には、報道陣が外に立って私たちを探していたため、私たちはオフィスの中で隠れていなければなりませんでした。これは本当に驚くべきことで、この作業に関わった全員にとって異常な状況でした。

私たちのテストが終了すると、結果はすぐに長野県に伝えられました。報告書は標準的なものでした。それは、私たちの技術的な発見事項と、ネットワークのセキュリティ状態とシステムを改善する方法の推薦事項について、私たちの総合的な意見の詳細を記述したものです。しかし、私たちに課されたすべての制約のために、比べるなら、制約がなかった場合に可能だったはずの要件は達成できなかったと思います。実際、私たちは多くの問題を見いだしましたが、対象とした場所でのテスト環境がもっと良かったなら、私たちは住基システムの安全ではない要素をさらに発見しただろうという確信があります。私たちは記者証のない新聞記者のようなものでした。何に手をつけることも禁止されていました。

官僚的な処理と時間がかかる意思決定は、私たちがそのネットワークに存在する問題の深さを特定することを妨げました。私は他の日本の環境で働いたことがあります。そのため、私は決定がゆっくり進むことは知っていましたが、1台のマシンを監査するかどうかの決定を何時間も待つことは異常でした。セキュリティ監査のはずでありながら、私たちが自分で持って来た作業用コンピュータに触れずに半日も過ごさなければならないという状況は、私たちが監査をすることを妨げていたのです。実際、作業の最後には私たちは多くの問題を発見しました。しかしそのような作業環境のために、私たちが長野県のためにした仕事は、単なる部分的な監査に過ぎませんでした。


第4

セキュリティ専門家にとって最も名誉なこととは、主要なコンファレンスにおいて研究発表の機会を持てることです。最も大きい部類の国際的セキュリティコンファレンスには、ブラックハット (Blackhat)、サンズ (SANS)、コンピュータ・セキュリティ・インスティテュート (Computer Security Institute) などがあります。世界中からセキュリティに洞察を持つリーダーたちが、知識を分け合い学ぶために集まります。そのようなコンファレンスは学習の機会です。たいていの場合は新しいテクニックについてのクラスがあり、それらの研究は常に最先端のものです。大きなコンファレンスでは、5千人近くの人々が出席します。そして、これらのコンファレンスの1つで発表できることは、本当に名誉に値します。

一般的なトピックとしては、「バッファーオーバーフローを書く方法」や「Windowsを監査する方法」などがあります。それらの発表の目的は、セキュリティ専門家に対してハッカーが使っているテクニックを教えることです。もしあなたが銀行でセキュリティを担当していたならば、あなたは銀行強盗によって使われる最も最近のテクニックを知りたいと思うでしょう。これらのテクニックは毎年、あるいは数カ月ごとにさえ変化します。もし私たちがハッカーが使っているテクニックを学ぶならば、それらに対しての防衛方法を知ることができるでしょう。これらのコンファレンスは、私たちがそのような情報を交換するための機会です。

コンファレンスにおいて、私たちは決して自分のクライアントの具体的なことについては話しません。なぜなら、私たちは機密保持契約によって名前に言及することを禁止されています。しかし、私たちがそのクライアントのみに特有ではない、新しいセキュリティの問題を見いだすことはあります。例えば、世界中の何百万というコンピュータに影響をもたらすセキュリティの問題などです。そのような問題についての発表では、その新しい問題がどこで最初に発見されたかの詳細について、多くの人たちは言及しません。


第5

PacSecは、カナダの大きなコンファレンス組織者によって主催されています。このコンファレンスは、CanSecWestという名前のカナダのコンファレンスの延長としてあります。CanSecWest はとても人気が高いセキュリティ・コンファレンスなので、PacSecはそのブランドの延長なのです。両方のコンファレンスの組織者はドラゴス・ルジュ(Dragos Ruis)で、私は個人的に知っている人物です。ドラゴスは、2004年8月の終わりごろ、私とオンライン・チャットをしている時に、私が住基ネットについて話すことに興味があるかどうか尋ねてきました。私は彼に、私がネットワークそれ自体について話すことは出来ないが、テストにおける私の経験について話すことは可能かもしれないと言いました。私はまた、報道で公表された技術的な誤りのいくつかを明確にするのに良い機会になるかもしれないとも言いました。彼は、彼の日本の共同主催者のもとでアイデアを相談してみるつもりだと言いました。その共同主催者がSIDCであることを、私は後に知りました。また彼は私に、共同主催者らが検討するための、プレゼンテーションの短い説明を付けた正式の提案を提出することを求めました。私はそれを2004年8月24日に提出しました。私は直接ドラゴスに提案を送りました。彼は実行委員会と提案を共有するからです。
私の提案で私が述べた事は以下のようなものです。:

「このトークは重要です。なぜなら、コンサルタントがどのように日本の国民IDシステムを攻略したかについての最終報告書を提出した後で、彼らの出した結果に日本政府は異議を唱え、高度な政治的闘争に膨れ上がったためです。それらが続いていた期間、『長野ハッカー』(報道機関は私たちをこのように呼びました) は、沈黙していることを強いられました。しかし今、彼らは語ります。このトークは、高度に論争の的となったセキュリティ監査という、広く報道されたこのイベントについて解説します。これにより長野ハッカーは、報道機関によって曖昧にされた技術的な論点を明確にする機会を得られ、すべてのコンサルタントが夢に見るようなセキュリティ監査の詳細を説明することが出来るでしょう。」

ドラゴスと実行委員会は、私のトークを承認しました。彼は、日本側主催者が私の提案についてとても興奮していて、私は実行委員会に直接私のプレゼンテーションの原稿を送るべきだと言いました。私は2004年10月4日に、「JyukiNetDraft」という名称にした私のスライドを、電子メールでcore04@pacsec.jpに送りました。これは実行委員会のための電子メールアドレスで、彼らはどの提案を採用するかを決定します。

この監査について話をする私の意志には、3つの要素が影響していました。第1は、私のアイデンティティーとテスト結果がすでに公表されていたという事実があることです。テスト結果については秘密は何もありませんでした。第2は、私たちのテストとそのテスト結果について、誤解した報道があったことでした。そして最も重要なことは、あのテストは非常に異常な状況の中で実施されたことです。私は、私のセキュリティ業界の同僚にとって、そのような状況は興味を持たれるものであろうと考えました。なぜなら、これらの種類のテストを毎日のように行うセキュリティ専門家にとっては、ここでの技術的な詳細はあまり興味のあるものではなく、ほとんどは特別な内容でもないからです。私は、もし私のトークがすでに報道機関で公表された要件に限定されるならば、特に問題はないであろうと感じました。それを再確認するために、私は他の2人の日本人の監査者だった吉田柳太郎と笠原謙に私のトークの提案と概要を送り、彼らが長野県に連絡して問題がないことを確めて欲しいと要請しました。

提案の後に送った私の最初のスライドには、極めてわずかしか技術的な内容はありませんでした。私は2004年10月4日に、ドラゴスと実行委員会に宛てて、スライドをcore04@pacsec.jpに送りました。スライドの中の主な部分は、私と他の日本人監査者がクローゼットからセキュリティ監査を行っている写真でした。またスライドには、報道記事の切り抜きとTV報道の数枚の写真を含んでいました。私の発表の目的は、技術的なものではないことは明らかです。2004年10月17日ごろ、ドラゴスは私に電子メールを送って来て、プレゼンテーションはすでに日本側主催者を含んだ彼のチームによって承認されたことと、私のフライト予約の詳細の確認を伝えてくれました。私の監査の同僚は、彼らから見てもスライド内容に関して問題はなく、長野県は私が技術的な詳細を明らかにしない限り異議はないと伝えてきました。それは特に、攻撃者がネットワークにアクセスすることを助長するような要件についてです。私は、このような情報を暴露する計画は持っていませんでした。そして、私は講演をすることに同意しました。


第6

ネットワークを守るために、私たちがテスト中に使ったツールについての詳細を私はスライドに入れませんでした。ネットワークの上にあったマシンの種類についての詳細も、私はスライドに入れませんでした。プレゼンテーションのスライドの最初のものは、2004年10月4日送られました。私はその週、ドラゴスから確認を受け取りました。私は次に、私のホテルとトーク内容と航空便予約などの確認のためのいくつかの電子メールをSIDCのアマガサキ・シン(Shin Amagasaki)から受け取りました。

誰も私のスライドの最初のバージョンに対して異議を唱えませんでした。ドラゴスは興奮していました。彼は、SIDCの彼の日本のパートナーが発表を楽しみにしていると言いました。10月の始めにドラゴスと実行委員会が私のプレゼンテーションを受諾したとき、私はすべて申し分がなかったものと思いました。


第7

実際のところ、私は11月1日に日本に到着していましたが、SIDCは11月10日までミーティングを求めませんでした。そのミーティングには、社長の里吉昌博、CEOのジム・クテニコフ、 政府向け営業部長の内田哲、アマガサキ・シン、の各人がSIDCから出席しました。私は、コンファレンス主催者のドラゴス・ルジュと一緒にそこにいました。SIDCとのミーティングのほとんどの間は、ジムの通訳を通して、総務省が私のプレゼンテーションに持った懸念について内田さんが発言しました。私は注意深く聴きました。私が理解することができた懸念もいくつかありました。しかし他のものは単に仮定のもので、私が計画していた実際の話の内容とは何も関係がありませんでした。その11月10日の夜に、私はプレゼンテーションに若干の変更を施して、午後8時の少し前に修正されたスライドを承認と翻訳のために内田さんに送りました。11日には、私に誰も何も言いませんでした。

スライドを見てください。


第8

私が総務省の懸念に対処するためには、彼らは私と直接連絡を取るべきだとSIDCの政府向け営業担当の内田哲に言ったにもかかわらず、11月11日までには総務省から私に何も連絡はありませんでした。


第9

しかし11月12日の朝、私がコンファレンスに顔を出したとき、内田さんは、彼から総務省にスライドを送ったが私からも直接総務省にスライドを送ってフォローする方が良い、と言いました。彼は私にスライドの日本語訳したバージョンを電子メールで送って来て、総務省のスタッフの電子メールアドレスも私に与えました。

その朝私は、私のスライドの日本語訳を総務省に電子メールで送りました。私がスライドを送ったのは、高村さん、柏木さん、上仮屋さんです。私は、彼らが私と連絡を取るか、または電話か直接会うミーティングを設定することを提案しました。もし彼らが実際に私と話をすることを拒否するならば、彼らの懸念に対処することは難しかったのです。その電子メールを送る前に、私は総務省とのミーティングを設定してもらうために、SIDCに何度も要望しました。彼らは(総務省に)尋ねるつもりだと言いましたが、実際にミーティングが設定されたことはまったくありませんでした。私は、総務省が私に直接会うことを望まなかったのだと推測しました。

午後1時30分ごろ、SIDCの内田さんは、総務省からの電話を受けたと言いました。そして、どこかで座って打合せする時間を持ち、電話で総務省と一緒に私のプレゼンテーションについて話をするべきだと言いました。

そのミーティングには、社長の里吉昌博、ほとんどの通訳をしたCEOのジム・クテニコフ、政府向け営業部長の内田哲、そしてLASDECから佐藤さんが出席しました。私は、そのミーティングへ誰も連れて来ることを許されませんでした。そして総務省からは直接誰も出席しませんでした。佐藤さんは、彼の携帯電話を総務省につないだままで、彼らが何を言っているかを私たちに告げるというように、総務省の声の役目を務めていました。彼は単純に中継者でした。私が総務省に質問しようとすると、佐藤さんが彼の携帯電話へ質問を繰り返し、それから私に回答を伝えるという状況でした。佐藤さんの話の仕方や身振りは非常に失礼なものに感じられました。そのミーティングが終わると、佐藤さんは私の手にあった彼の名刺を取り上げて、部屋から立ち去りました。


第10

かなり日本語が流暢なジム・クテニコフは、私のために通訳をしてくれていました。多くを喋っていた内田さんは、実際には英語で話すことは上手ではありませんでした。佐藤さんは日本語で話をしていましたが、私は私からの質問に対する彼の基本的な反応を理解しました。私が求めた要望を佐藤さんが携帯電話の向こう側にいる人物に尋ねましたが、私のすべての要望は拒絶されました。佐藤さんは、総務省は私が10月中旬の最初のバージョンのスライド原稿から、「結論」から始まる最後の4つのスライドを取り除いて使うことを求めていると言いました。私は彼に、それらのスライドはあまりにも古いので、私の現在のプレゼンテーションにはそぐわないと言いました。佐藤は私に、総務省は私の最新版のスライドを検討する時間を持っていないので、私はそのスライドを使うことはできないと言いました。総務省は、彼らが異議を持った理由の説明もなしに、古いプレゼンテーションの半分を取り除くことを私に求めていました。それは不当な要請でした。

そこで私は、私には良い妥協点と思えたことを提案しました。私は総務省に、私がスライドを使わないで自由に話をすることを認めるように求めました。なぜなら私は、彼らが私のスライドとプレゼンテーションを修正して欲しいというならば、彼らの異議はスライドにあって、私が発表すること自体には異議はないのだと考えたからです。佐藤さんは、総務省は私が古いスライドを使って話すことしか認めず、それ以外では私はまったく話をすることはできないと言いました。彼らは、私がスライド無しで話をすることさえ許可するつもりはなかったのです。私は、私が何も内容を入れないことすら提案しているのに、いったいどのように彼らの唱える異議がプレゼンテーションの内容にあると言えるのかと、反論しました。

私にはショックでした。もし彼らが私のスライドに関して問題を持っているなら、この解決策ならうまく行くと私は考えていたからです。なぜ彼らが私のスライドの半分を発表することにはOKと感じるのに、スライドをまったく使わない私の発表はOKではないのか、私には理解することができませんでした。私が日本の政府と電話で話し合い、発表する許可を与えてくれることを求めて物乞いしているという現実は、私には衝撃ではありませんでした。しかし私は、彼らは私が話をすることを望まなかったのだと悟りました。私は怒りと混乱で無感覚になっていました。私は、なぜSIDCがこのようなことが起きるのを許しているのか、理解することができませんでした。

SIDCのジム・クテニコフは、もし私がスライドを修正することを望まないなら、私は発表をキャンセルするべきだと持ちかけました。私は彼に対し、私は絶対に発表したい、しかし私はスライド無しで発表することを望むと言いました。私はSIDCの内田さんにも、SIDCはスライド無しで私が発表することを認めるかどうか尋ねました。彼はノーと言いました。内田さんは、私のプレゼンテーションに対して総務省は未だに異議を持っているのだから、SIDCとしては発表をキャンセルしなければならない、と言いました。部屋の中にいた彼とSIDCのスタッフの全員が謝りました。そして、これは本当は彼らの決定ではなく、総務省は彼らにとって重要なビジネスであったので、彼らにはこの状況では他の選択肢はなかった、と言いました。

このミーティングの後、私は何かが変だと感じました。なぜなら、日本人スタッフが走り回っていて、報道陣に私の発表はキャンセルされたと言っていたからです。これは午後4時30分ごろにでした。私はまだ、私たちは解決策を見いだそうとしている途中だと考えてました、しかし、私が2度目のミーティングに入ろうとした時点には報道陣は立ち去ろうとしていました。2度目のミーティングで、コンファレンス組織者のドラゴスは私のトークを保持しようと望みました。しかし、私のトークをキャンセルする決断がすでに為されていたことは明白でした。それだけでなく、コンファレンス参加者に与えられた講演資料の本の中には、私のプレゼンテーションのスライドはまったく存在していませんでした。私のプレゼンテーションがその日の朝から資料本にまったく入っていなかったということは、SIDCと総務省は私が話をすることを許諾する意図はまったくなかったということです。


第11

この訴訟を提訴する前に、私は非公式に、ある総務省スタッフのグループと会いました。私はそのミーティングの間、私たちの関係を修復することを試みようと提案しました。私は総務省を手助けしたかったのであり、彼らと戦いたかったのではありません。私は、住基ネットと日本をより安全にすることについて、私たちの関心は同じであると考えていました。これらの総務省スタッフは、私の発表の直前に私と会うことを拒否した部署と関連した部署から来ていました。このミーティングの間、彼らは非常に礼儀正しかったです。私は、総務省が国際セキュリティコンファレンスを主催するというアイデアを提案しました。私はこれが、政府がセキュリティについて語る意志があることを外国と日本の研究者に示すためには、完ぺきな解決策であろうと考えていました。

私はまだ、 総務省のすべての官僚組織の背後には、本当に問題解決を考えている誰かがいるという希望を持っていました。その時点では、私の発表のキャンセルは単純な誤解であると説明することは易しかったでしょう。そして、日本のサイバー・インフラを守ることについて、総務省が本当に開かれた対話を持つことに関心を持っていると説明することは易しかったでしょう。残念な事に、総務省のスタッフはミーティングの大部分で同じフレーズを何度も何度も繰り返しました。それは対話ではありませんでした。それは総務省のスピーチでした。最後に私は、1週間以内に回答してくれることを求めました。1週間後彼らは、私の国際コンファレンスのアイデアは却下されたと言いました。また彼らは、公であれそれ以外であれ、私の発表のキャンセルについての謝罪に類することは行うつもりはないと言いました。

私は、住基ネット監査からは多くのレッスンが学べたと考えています。対応責任や説明責任や公共の安全についてのレッスンです。長野の監査では、私たちは住基システムが一般国民に与える危険性の表面を撫でただけでした。住基ネットには多くのセキュリティの課題がありました。おそらく、今現在までにそれらのすべてが必ずしも直されたわけではないでしょう。しかし、住基ネットに対する最も大きいリスクはハッカーではありません。それは、総務省です。それは、政府の説明責任を否定しようと努力する弁護士の軍団です。それは、行動で問題に対処することよりも、一般国民の意見の相違を抑制することの方が良いと感じる総務省の職員です。

あの時私は、政府が私の発表をキャンセルできることにショックを受けました。彼らが私に、何について話せて、何について話せないかを指示できることにショックを受けました。しかし私はもうこれ以上ショックを受けません。事実、彼らがしたことは、彼らのためには完ぺきに意味をなします。なぜなら、これは国家秘密についての事件ではなかったからです。なぜなら、それは研究だったからです。なぜなら、それは私個人の意見、すでに公表された情報についての私の個人的な意見だったからです。それは、検閲するには完ぺきなイベントでした。

自由の侵害はナイフの刃先で起きるわけではありません。それは、高官を訪問することや国家のリーダーが出席する会議において起きるわけではありません。民主主義の原則を攻撃するこれらの人間たちは、秘密警察や軍服を着た人間たちでもありません。自由と民主主義の侵害は、携帯電話と電子メールで始まります。小さなコンファレンスにおいての若者への表面上は友好的な要請により、彼の考えていることを検閲することから始まります。

しばしば私たちは、不正行為について公言することができる前に、自分たちがもっと多くの影響力を持つか、あるいはもっと多くの権威を持つまで、待たなくてはならないと信じます。私たちは、決して来ることはない「大きな戦い」を待つ間に力を蓄積しようとします。そしてある日私たちが目覚めると、私たちはすでに年寄りになっていて、私たちの青年期のモラルは野心によって堕落させられています。私たちの専門的なセキュリティコンファレンスにおいて起きたこの事件は、小さいと思われるかもしれません。しかしそのために、検閲は最も小さな形態であっても容認されてはならず、大きい不正行為が基礎となる前例が認められることはないという、明確なメッセージを送ることは重要だという理由になるのです。

イジョヴィ・ヌーワー
Ejovi Nuwere

216-34 118th Ave
Cambria Heights, NY 11411
USA


Honorable judges,

Part 1

I shouldn’t be here today. I shouldn’t be in court and I shouldn’t even be in this country. Being a black man born into poverty in America statistics say I shouldn’t even be alive. I grew up in an area in New York City where I had to fight constantly. I fought to stay alive; I fought to make money. I fought for opportunity. But fighting alone does not guarantee success. I’m 26 years old. I turned 26 on January 27th, barely two months ago. I’m young but old enough to have grown tired of these fights. I live on the other side of the world in New York City. I run a computer security company that keeps me awake most nights until 2:00AM. My clients are some of the largest companies and government agencies in the world. The most famous now is probably Nagano Prefecture. Despite these challenges that make it difficult to be here today I have learned enough to know which battles are worth fighting. This battle is important for what it means for Japan as a democratic nation. This is important for what it means to my dear Japanese friends who will spend their entire lives here. And more importantly what it means for me as a researcher, as someone of integrity.

I lived a year in Japan and it was the most fascinating time of my youth. It taught to be humble and to respect the wisdom of elders. I also lived 3 years in Boston, Massachusetts where I had the benefit of studying briefly at Harvard University. My time in Massachusetts, home of the framers of modern democracy taught me something just as valuable, to question the abuse of authority.

Please excuse my diversion but here are the facts of this case.

I’ve been in the in the security industry for 11 years now. I have established what I would like to think is a respectable reputation for honesty, deep technical knowledge and integrity. Based on my reputation Nagano Prefecture felt I would be an unbiased auditor as part of what was and still remains a controversial audit of the Nagano deployment of Juki net.

I was a member of a three person auditing team. The other two members of the team were Japanese experts in computer security. The security industry is very small. I knew both of the auditors. Having worked with one of the auditors before and knowing the reputation of the second I had and still have a great amount of respect for their abilities and knowledge.

The purpose of this security audit was to identify security vulnerabilities, if any existed, in the local deployment. Prior to this test I hadn’t had any communication with Nagano or involvement in Jukinet. Of course when I accepted the project I was made aware of the controversy surrounding the system. I also performed some research using internet search engines about Jukinet. In the end I came to the project as an unbiased consultant, informed but unbiased.

Part 2

As a security auditor it’s hard to be biased. Security auditors try to find the problems when they audit networks like accounts do when they audit financial books. A good auditor can always find something a bad auditor might ignore.

In auditing it’s a series of steps that involve searching, discovering, and proving. Security auditing is the same. We search for vulnerabilities. Once the vulnerabilities are discovered we must prove that it is real. We use the same techniques hackers would. When I say we use the same techniques what I mean is that we use the same tools, and public resources that the bad guys would.

There are generally two scenarios audits are performed in. The first scenario is that of an attacker coming from the Internet trying to gain access to internal systems. The second scenario is that of an attacker sitting on the local network with only limited access trying to gain control of important computers or information. In the second scenario we are testing what an employee sitting locally on the network or a attacker who has found a way inside the network from the Internet could do. If we wanted to use another analogy, the two scenarios for a bank would be: How much could a bank robber with a gun steal, that’s the external threat and what could a bank employee steal, the internal threat.

The reason for doing this type of testing is simple. Organizations need to find and fix bugs before the bad guys exploit them. When I find fifteen way to gain access to the network the client fixes them. That is fifteen less ways they could be hacked. Fifteen less ways the bank could be robbed.

A important consideration is that technology is constantly changing. Technology as we know it today will be very different 6 months or a year from now. Most of our clients perform testing at least once a year, sometimes twice a year. The results are always different. I’ve never performed an audit where we did not discover vulnerabilities. Regular testing is critical. Imagine if the stock market exchange assumed that technical problems discovered 3 years ago where the only one they needed to fix. The stock market would never stay up.

In America our government has a testing process for agencies. The testing involves government security experts as well as outside consultants like me. The testing is done as often as quarterly but at least once a year depending on the agency. When the results are compiled each agency is given a scoring of A, B, C, or F. The true embarrassment comes when these scores are released to the public. Many agencies score below passing. But the point they highlight is that they are making progress.

As an auditor I often gain access to confidential information. 99.9% of the time our results are never disclosed to the public for safety reasons. It is rear that we are allowed to speak of who are clients are without their permission. It is standard practice for security companies to sign non disclosure agreements that forbid us from speaking about the results of our test.
But legal contracts aside the nature of our work requires very high ethical standards. Similar to what I assume accountants and doctors must follow. All professional security companies in America have a policy of not employing convicted criminals of any sort. I have never been convicted or even arrested before in my life. If a company was known to employ criminals they would go out of business. If they disclosed test results without permission they would be forced to go out of business. These standards and legal agreements are at the heart of our business.

Part 3

A normal security audit isn’t very exciting. Most audits last two weeks with two auditors. For the remote phase we would work from our offices and test during the clients business hours. In some cases when we are testing very important machines we are asked to test during off business hours, say 6-12AM but that is rear. It’s more common that the client request that we notify them if we are about to exploit, or break into, a machine that is considered critical so they can monitor and insure nothing goes wrong.

For the internal phase we go into the client’s office when they open for open, in America its 9:00AM. They give us a desk, show us where the bathrooms are and where we can get lunch and leave us alone.

We do have some ground rules, machines we are allowed to audit, machines we should notify them that we are about to test, and the types of test we are allowed to do. For example it is common to be forbidden not to use techniques that might cause it to stop function. But for the most part we are left alone and they anxiously await our results.

We communicate our progress often with the client, say once a day. We are always given two key contacts, an executive sponsor and a technical sponsor. The executive sponsor is someone high in the client’s management structure that has approved the audit. The technical contact is important because they have to be available if we have any questions. For the entire audit we have their contact information and can reach them whenever we have questions. We also schedule an hour or so to discuss our progress with their team. These discussions are generally with the technical sponsor and some of his staff. When our audit is done we present them with a final report.

The Nagano prefecture audit was very different. Not because of the sensitivity of the contents on the network. All of our client’s information is sensitive. It was different because we had no clear guidelines. The only thing that was made clear was what we could not touch, the network belonging to the national government. But we had no technical contacts that could answer our questions.

Our audits were limited to the Juki systems under control of Nagano only. One of the three auditors was responsible for insuring and verifying that each machine we wanted to touch was within the scope. This made the testing much slower then normal because we had to make phone calls every hour and wait, sometimes as long as 4 hours before we could continue testing. If we were only testing during normal business hours this would have been disastrous. Many nights we ended up staying very late. Going back to the hotel at 4AM was normal. The greatest problem was that no one in the local government understood Juki systems. Even though it was in their office they didn’t know anything about the technology. Often times we had to call outside consultants who managed some of the system and ask them questions but they mostly refused to cooperate with us.

Another problem was the media. Our locations of testing were supposed to be secret to the media and on a need to know basis for government staff. We often tested secretly from small closets and storage rooms. This didn’t help. Because the media often knew where we would be before we did. At some locations we had to test after normal business hours. As I mentioned we spent several days testing until 4AM. On one occasion we had to wait an hour at the convenience store because media was inspecting the building we were supposed to be testing in. On another occasion we had to hide in an office as the media stood outside looking for us. This was a really amazing, and unusually situation for everyone involved.

Once our test was done the results were given to Nagano Prefecture. The report was standard. It detailed our technical findings, our general opinion about the networks state of security and recommendations for how to improve the system. But because of all of the constraints we had I don’t think we did as well as we could have. Yes, we found a lot of problems, but if their testing environment was better we would have found that Juki system was a lot more insecure, I’m sure. We were like writers without pins. Forbidden from doing anything.

The bureaucratic process and slow decision making prevented us from identifying the depth of the problems in the network. I have worked in other Japanese environments. I know that decisions can be slow going, but waiting hours for a decision to audit one machine was unusual. Spending as much half the day not touching our computers in what was supposed to be a security audit prevented us from auditing. Yes, in the end we found many problems but what we did for Nagano Prefecture, because of the environment, was only a partial audit.

Part 4

The greatest honor for a security professional is to be able to present research at a major conference. The largest international security conferences include Blackhat, SANS, and Computer Security Institute. Security thought leaders from all over the world gather to share and learn. The conferences are learning opportunities, there are often classes on new techniques and the research is always cutting edge. As many as five thousand people attend the larger conferences. It really is an honor to be able to present at one of these.

Common topics include “How to write Overflows” for example or “How to audit Windows.” The purpose is to teach security professionals techniques that hackers are using. If you were running security at a bank, you will want to know the latest techniques being used by bank robbers. These techniques change every year, even every few months. If we learn the techniques hackers are using then we will know how to defend against them. These conferences are our opportunity to exchange that information.

At conferences we never speak about our clients specifically. Because we are restricted by NDA from mentioning names. But if we discovered a new security problem that is not unique to that client. A security issue that effects millions of computers around the world for example. Many people present on the new discovery of that problem without mentioning the specifics of where they first discovered it.

Part 5

PacSec is organized by a large Canadian conference organizer. The conference was an extension of a Canadian conference named CanSecWest. CanSecWest is a very popular security conference, PacSec is an extension of that brand. The organizer of both conferences is Dragos Ruis, someone I know personally. Dragos asked me if I would be interested in speaking about Juki net around the end of August of 2004 while chatting online. I told him that I wouldn’t be able to speak about the network itself but I might be able to speak about the experiences of testing and it would be a good opportunity to clarify some of the technical inaccuracies that were disclosed in the media. He said he would run the idea by his Japanese co-organizers, who I later learned to be SIDC. He also requested that I submit a formal proposal with a brief description of my presentation for them to review, which I did on August 24th, 2004. I sent the proposal directly to Dragos who shared it with the organizing committee. In my proposal I said:

“This talk is significant because after the consultants released their final report detailing how they were able to compromise Japan’s national ID system their results were challenged by the Japanese government in what amounted to a high stakes political battle--all the while the Nagano Hackers (this is what the media called us) were forced to remain silent--now they speak. The talk will explain the events of this well publishized and highly controversial security audit while giving the Nagano Hackers an opportunity to clarify technical issues blurred by the media and detail a security audit that every consultant dreams of.”

Dragos and the steering committee approved my talk. He said the Japanese organizers were very excited about it and that I should send my draft presentation directly to the committee. On October 4th, 2004 I emailed my slides which I called JyukiNetDraft to core04@pacsec.jp. That is the email address for the organizing committee and they decide what proposals get accepted.

My willingness to talk about the audit was effected by three things. The first being the fact that my identity and the test results were already made public. There was nothing secret about the results. The second was the misconceptions about our test and test results in the media. And most importantly the very unusual circumstances that test was performed in. I thought the circumstances would be of interest to my security colleagues. Much more so then the technical details which weren’t very interesting or special for a security professional that performs these types of test all the time. I felt that if my talk was limited to the details that had already been made public in the media, it would be OK. To reconfirm I sent my talk proposal and outline to the other two Japanese auditors Ryutaro Yoshida and Ken Kasahara and requested that they get in contact with Nagano Prefecture and make sure it was OK.

There were very little technical content in my first slides I sent after the proposal. I sent the slide to Dragos and the organizing committee on October 4th of 2004 at core04@pacsec.jp. The majority of it contained pictures of me and the other Japanese auditors performing the security audit from closets. It also contained several pictures of media clippings and TV coverage. The purpose of my presentation was obviously non-technical. Dragos sent me an email saying that the presentation had been approved by his team, which included the Japanese organizers and confirming my flight details around Oct 17, 2004. My auditing partners also said that they had no problem with the slide content and Nagano had no objections as long as I didn’t reveal any technical details. Specifically details that could help attackers gain access to the network. I had no plans to reveal such information. So I agreed to speak.

Part 6

To protect the network I left out details about the tools we used during the test. I left out details about the type of machines on the network. The first slide presentation was sent October 4th 2004. That week I received confirmation from Dragos. Next I received several emails from Shin Amagasaki of SIDC confirming my hotel, talk topic and flight reservations.

No one had any objections to my original slides. Dragos was excited, and he said that his Japanese partners at SIDC were looking forward to the presentation. When Dragos and the steering committee accepted my presentation in the start of October I assumed that all was well.

Part 7

In fact arrived in Japan on November 1st but SIDC didn’t request a meeting until November 10th. The meeting was attended by Masahiro Satoyoshi the company’s president, Jim Kootnekoff the company’s CEO, Satoshi Uchida government sales manager, and Shin Amagasaki from SIDC. I was there with Dragos Riui the conference organizer. During the meeting SIDC, mostly Uchida-san though Jim was translating, voiced concerns Soumushou had with my presentation. I listened, some of the concerns I could understand, others were just assumptions that actually had nothing to do with that I planned to talk about. On the night of November 10th I made some changes to my presentation and sent my modified slides to Uchida-san at SIDC for his approval and translation a little before 8 pm. No one said anything to me on the 11th.

See slides.

Part 8

By November 11th I had no contact from Soumushou even though I told Satoshi Uchida, the government sale representative at SIDC that they should contact me directly so that I could address their concerns.

Part 9

But when I showed up to the conference the morning of November 12th Uchida-san said he had sent the slides to Soumushou, but that I should follow-up and send Soumushou the slides directly. He emailed me the Japanese version of the slides and gave me the email addresses for staff at Soumushou.

When I sent my email to Soumushou with my Japanese translation of the slides in the morning I sent it to Takamura-san, Kashiwagi-san and Uekariya-san. I suggested that they contact me or arrange a telephone call or meeting in person. It was difficult to address their concerns if they refused to actually speak with me. Before sending that email I made numerous requests to SIDC to organize a meeting with Soumushou. They said they would ask, but no meeting was ever setup. My guess is that Soumushou didn’t want to see me in person.

Around 1:30 pm SIDC’s Uchida-san said that he had a telephone call from Soumushou and that we should sit down and talk about the presentation with Soumushou on the telephone.

The meeting was attended by Masahiro Satoyoshi, the president, Jim Kootnekoff the CEO who did most of the translating, Satoshi Uchida government sales manager and Sato-san from LASDEC. I wasn’t allowed to bring anyone with me into the meeting and no one from Soumushou attended in person. Sato-san was acting as the voice of Soumushou and was on his cell phone with Soumushou telling us what they were saying. He was simply a relay. I would ask Soumushou a question, Sato-san would repeat the question into his cell phone and then give me a response. Sato-san was extremely rude in the way he was speaking and his body language. After the meeting Sato-san took his business card from my hand and walked out of the room.

Part 10

Jim Kootnekoff who is fairly fluent in Japanese translated for me. Uchida-san who did a lot of talking couldn’t actually speak English very well. Although Sato-san was speaking in Japanese I understood his basic responses to my questions in. Every request I made Sato-san asked the person his cell phone and all of my request were denied. Sato-san said that Soumushou wanted me to use my original draft slides from mid October with the last 4 slides, starting at the conclusion removed. I told him that those slides were too old and not relevant to my current presentation. Sato told me that Soumushou said that I could not use my recent slides because they didn’t have time to review it. They were asking me to remove half of my old presentation without explanation of why they objected to them. That was an unreasonable request.

I suggested what I thought was a good middle ground. I asked Soumushou to allow me to speak freely without using any slides. Because they wanted me to modify my slides and presentation I thought their objections were with the slides and not me actually presenting. Sato-san said that Soumushou would only allow me to speak if I used the old slides or I could not speak at all. They wouldn’t even allow me to speak without slides. How could their objection be with the contents of my presentation if I was offering to prevent without any content, I argued!

I was shocked. If they had problems with my slides my solution should have been fine I thought! I couldn’t understand why they felt it was ok to present with half of my slides and not present with none of my slides. The reality that I was having a telephone conversation with the Japanese government begging their permission to give a presentation didn’t hit me. But I realized that they didn’t want me to speak. I was numbed with anger and confusion. I couldn’t understand why SIDC was allowing this to happen.

Jim Kootnekoff at SIDC suggested that if I didn’t want to modify my slides I should cancel my presentation. I told him I absolutely wanted to present but I wanted to do it without any slides, I asked Uchida-san from SIDC if they would allow me to present without my slides and he said no. Uchida-san said that since Soumushou still had objections to my presentation they had to cancel the presentation. He and all of SIDC staff in the room apologized and said that it wasn’t really their decision but they didn’t have any choice in this situation since Soumushou was important business for them.

After the meeting I felt that something was wrong because some of the Japanese staff were running around telling the media that my presentation was cancelled. This was around 4:30PM. I thought we were still trying to find a solution but the media were leaving as I was going into our second meeting. In the second meeting Dragos, the conference organizer wanted to try to keep my talk. But it was obvious that the decision to cancel my talk had already been made. Also, my presentation slides were not present at all in the book of talk given to attendee. SIDC and Soumushou never intended to allow me to speak because my presentation was never in the book that morning.


Part 11

I privately met with a group of Soumushou staff prior to filing this lawsuit. And during the meeting I suggested that we try to repair our relationship. I wanted to help Soumushou, not battle them. I thought our interest in making Juki net and Japan safer were the same. These were the Soumushou staff came from a related office that refused to meet with me prior to my presentation. During the meeting they were very polite. I proposed this idea, that Soumushou host an international security conference. I thought this would be the perfect solution to show foreign researchers and Japanese researchers that the government was willing to talk about security.

I still had hope that behind all of the beauracracy at Soumushou that someone really did care. It would have been easy to explain at that point that the cancellations of my presentation was a simple misunderstanding. And that Soumushou really did care about having open dialog about protecting Japans cyber infrastructure. Unfortunately for the most part the Soumushou staff just repeated the same phrases over and over. It wasn’t a conversation, it was a Soumushou speech. In the end I asked for a response in one week. After one week they told me that my idea for an international conference was denied. They also said that they would make no sort of apology public or otherwise about the cancellations of my presentation.

I think there were a lot of lessons to be learned from the Juki net audit. Lessons about responsibility, accountability and public safety. In the Nagano audit we only scratched the surface of the danger that Juki system presents to the public. There were many security issues in Juki net, most of which, but surely not all have probably been fixed by now. But the greatest risk to Juki net isn’t hackers, its Soumushou. It’s the army of lawyers that fight to deny government accountability. It’s Soumushou employees who feel that it’s better to prevent public dissention than to counter it with action.

At the time I was shocked that the government would cancel my presentation. That they would tell me what I can and can not talk about. But I’m not shocked anymore. In fact what they did makes perfect sense for them. Because, this wasn’t a case of national secrets. Because, it was research. Because, it was my opinion, my personal opinion on information that had already been made public. It was a perfect event to censor.

The erosion of freedom doesn’t happen at the point of a knife. It doesn’t happen to visiting dignitaries or at conferences attended by heads of state. Those who attack the principles of democracy aren’t secret police nor are they wearing military uniforms. The erosion of freedom and democracy starts with a cell phone call and email. A seemingly friendly request to a young man at a small conference to censor what he thinks.

Often we believe we must hold out and wait until we have more influence or more authority before we can speak out at injustices. We try to accumulate power while we wait for the “big battle” that never comes. Then one day we wake up and we’re old and the morals of our youth corrupted by ambition. This incident at our specialized security conference may seem small. But that’s why it’s important to send a clear message that censorship in its smallest form will not be tolerated and that there will be no precedent upon which the greater injustice will be based.


Jan 19, 2006

Ejovi Nuwere


216-34 118th Ave
Cambria Heights, NY 11411
USA

Posted by Gohsuke Takama on March 14, 2006 at 07:06 PM | Permalink

TrackBack

TrackBack URL for this entry:
https://www.typepad.com/services/trackback/6a00d8342020d853ef00d83528765f53ef

Listed below are links to weblogs that reference Ejovi Nuwere (イジョヴィ・ヌーワー)氏の3月14日証人尋問 原告陳述書:

Comments

Hello,

this is just to notify you that SIDC is officially DEAD.

good day,

Posted by: EX-SIDC | Dec 6, 2007 6:56:51 PM

The comments to this entry are closed.