松田学の新著より【その3】~サイバーセキュリティ、脅威の現状と政府の体制…シンプルパソコンの提案 | 松田学オフィシャルブログ Powered by Ameba

松田学オフィシャルブログ Powered by Ameba

日本を夢の持てる国へという思いで財務省を飛び出しました。国政にも挑戦、様々な政策論や地域再生の活動をしています。21世紀は日本の世紀。大震災を経ていよいよ世界の課題に答を出す新日本秩序の形成を。新しい国はじめに向けて発信をしたいと思います。


テーマ:

 松田学の新著「サイバーセキュリティと仮想通貨が日本を救う」(創藝社)について、何回かに分けて、本書の内容を簡単にご紹介しながら、このタイトルの意味するところを解説しています。

前回の記事はこちらです↓

https://ameblo.jp/matsuda-manabu/entry-12398250064.html

 本書で「サイバーセキュリティ完成への道筋」と題した第四章では、電脳空間の安全を守る方策には技術的側面と人的・社会的側面があると述べています。技術的側面のうち、前回は、サイバーセキュリティの要諦は情報セキュリティにあるとして、暗号技術について解説しました。

これが解決されてもなお残る技術的問題が、そもそも多くの人々にとって電脳空間で何が起こっているのかが見えないという「不可視性」への対処です。また、暗号技術が完全なものになっても、情報を生成した直後から暗号化までの一瞬をついた攻撃などにどう対応するかという問題もあります。

本書では、東京大学大学院Sisocで私が部会長を務める政策提言部会から出されている提案として、シンプルPC(プロセス透明化パソコン)開発の提案を取り上げています。


●多発するサイバー攻撃

 その前に、電脳空間に対して日本で起こってきた脅威の現状について簡単に振り返ってみましょう。

 かつて2011年には、ソニーグループ全体で1億件以上の情報漏洩事件が起き、この事件後、自社技術によりさまざまな対策を施したにも関わらず、14年に、グループ会社のソニー・ピクチャーズから再び4万7千人分の個人情報漏洩が発生しました。155月の日本年金機構における125万件の個人情報漏洩事件はよく知られています。1511月には某出会い系サイトのメガバンク口座の銀行振込情報約1万4千件の外部流出事件が起きました。セキュリティ対策を万全に行っているはずの事業者の漏洩事件は世間に衝撃を与えたものです。これらは不正アクセスによるものです。

147月のベネッセにおける2,900万件の子供や保護者の住所や氏名、電話番号、子供の性別や生年月日などの漏洩事件は、委託先従業員による外部持ち出しという人的要因による漏洩でしたが、正しい技術による正しい対策さえあれば、このような大量流出はあり得なかったとされます。


日本経済新聞社が1710月~11月に実施した「企業法務・弁護士調査」によれば、調査対象企業195社のうち、過去5年でサイバー攻撃を受けた企業が125社と、全体の66%にのぼり、前年調査の58%から8ポイント高まっていました。攻撃対象は業種や規模を問わず拡大しています。受けた攻撃の種類で最も多かったのはウィルスファイル付きメールなどによる標的型攻撃、データを使えなくして復旧の見返りに身代金を要求するランサムウェア攻撃、大量データでシステムを妨害するDDoS攻撃、ウェブサイトへの不正ログイン、偽の送金指示メールの詐欺、フィッシングメールなどでした。

日本の中央官庁でも、8割のサイトが、暗号化の遅れや人手不足のためセキュリティ・リスクを抱えているとされています。

18年1月にはコインチェック社から580億円分の仮想通貨が盗まれたという事件が起きました。

●まだ不十分な省庁体制

では、政府の対策はどうなっているのでしょうか。

日本の情報セキュリティ行政は、かつては各省庁で分散して行われていましたが、私が衆議院議員のときに議員立法者の一人として提案した「サイバーセキュリティ基本法」が1411月に国会で可決、成立し、151月に同法が全面施行となったことを受け、内閣にサイバーセキュリティ戦略本部が設置され、旧・内閣官房情報セキュリティセンターは「内閣サイバーセキュリティセンター(NISC…National center of Incident readiness and Strategy for Cybersecurity)」に改組されました。そして、両者を頂点としてサイバーセキュリティ行政の一本化が図られました。

 同法によって各省庁の情報を内閣官房に一元的に集約することが制度化されましたが、未だに、経済産業省、総務省、警察庁、防衛省といった縦割構造の中で、各々がサイバーセキュリティに関する施策を所管分野別に進めていることによる限界も指摘されています。


 国全体のサイバーセキュリティ体制の上で重要な点としては、諸外国での経験なども踏まえれば、以下の3点が指摘できると思います。

第一に、トップダウンによってスピーティーな対応と政策を幅広く徹底すること。そのためには、政策決定レベルに専門技量を有する者を広く登用することが求められます。しかし、日本の公務員任用制度のもとでは、例えば高給で海外の人材を登用する上では制約が大きいことがかねてより指摘されてきました。日本のNISCがどの程度、専門人材を配備しているかが問われるところです。

 第二に、官民併せた情報共有体制の構築です。

日頃の情報共有が不足すると、「コミュニケーション不足⇒情報不足⇒対応の遅れ⇒一カ所にアタックされ穴が開く⇒つながっている他のシステムに影響⇒連鎖被害⇒広範囲被害に拡大」という連鎖が発生することになります。政府が情報を一元化して官民が情報を共有するプラットフォームづくりが大きな課題です。

日本政府は18年の通常国会に「サイバーセキュリティ基本法の一部を改正する法律案」を提出し、官民の多様な主体が相互に連携して情報共有を図り、必要な対策等について協議を行う「協議会」を設立しようとしていますが、「もりかけ」問題に終始した通常国会では、この大事な法案が後回しになり、成立には至りませんでした。

ただ、日本政府としては、2020年の東京五輪に備え、サイバー攻撃に対処する官民共同の司令塔組織として、「サイバーセキュリティ対処調整センター」を設立する方針です。各省庁のほか、政府が重要インフラに定める電力や鉄道などの関連企業で構成することとし、官民が平時から情報共有を密にしてパソコンへの不正アクセスの予兆をつかむなど、高度化するサイバー攻撃に素早く対応できるようにすることとしています。

 第三に、国全体でサイバー攻撃に対する強靭性(レジリエンス)を向上させることです。

一般に、社会システムの強靭性の上で大事なのは、試行錯誤と層の厚さであるとされています。ホワイトハッカーの育成、登用なども含め、いま日本でも国を挙げて、この点に配意した施策に取り組む必要があると思います。

 民間でも、特に利益を重視する営利企業では、いつ起こるかわからない事態に対する危機管理はコストセンターとして認識されがちです。そこに資金や資源を配分するには、経営トップの意識改革が必要ですが、多くの日本企業は米国に比べてまだ遅れが目立つようです。そもそも情報にはコストがかかるという意識が、一般に日本社会では低いということも関係しているかもしれません。

●現在のパソコンは複雑化によって脆弱化している

さて、そもそもサイバー攻撃に対する脆弱性の大きな要因の一つに挙げられるのが、人々が日常使用するコンピュータが高度化、複雑化していることによってセキュリティホールが拡大していることです。この問題は、本書の第一章でも論じている通り、人間社会を支える巨大システムの不可視化、つまり、バーチャル空間の拡大がもたらす不確実性や脅威の増大という文脈とも密接に関連するものです。

コンピュータ技術の進歩によってパソコンの性能も向上し、パソコン上で動くソフトウェアも複雑・多機能化しています。しかし、多くのユーザーは、そのパソコンの能力のごくわずかしか使っていません。ソフトウェアで使っている機能はごくわずかで、大部分の機能は使用されていないのが実態です。

複雑化したパソコンやソフトウェアには多数の弱点があり、サイバー攻撃の標的となっています。そして、その対策も、複雑かつ多岐にわたるものとなっており、経済的にも人的リソースの投入という面でも、社会全体の大きな負担となっています。

いわば、オーバースペックで高価なパソコンを低利用している状態にあるといえます。

99%以上のユーザーにとって必要なアプリケーションソフトは、現在のパソコンに装着されている機能のうち、ごくわずかです。必要以上の機能肥大化で、作業動作は遅くなり、バックグラウンドでいかなるプロセスが行われているのか分からない状態になっています。


●情報処理プロセスを「見える化」するコンピュータアーキテクチャを

問題への対処として、パソコンの原点に戻り、ほとんどの人々にとって日常の使用の範囲まで機能をそぎ落とし、全プロセスが見える「シンプルパソコン」を日本独自で開発・普及させていくことを考えてはどうでしょうか。サイバーセキュリティの観点から見れば、こうしたパソコンであれば、その中の動きが全て、容易に把握できることになり、その意義は、「プロセス透明化PC」とも名付けられるでしょう。

必要なのは「情報処理プロセスを透明化するコンピュータアーキテクチャを採用する機器」の開発、普及です。それは、すべての作業プロセスが見えるコンピュータ(プロセス透明化コンピュータ)です。プロセス透明化コンピュータでは、プロセスが適切か不適切か明白です。これを見極めることができるソフトの開発も容易にできることになります。

結果として、プロセス透明化コンピュータを採用し、不正なプロセスを止め、正常なプロセスのみ動作させることができれば、暗号技術の進歩と併せて、ほとんどの脅威を防御することができるようになることが期待できます。

プロセス透明化コンピュータでは、演算も通信も劇的に速くなり、しかも安価です。

こうしたパソコンの開発に向け、東大Sisocの私の部会の提案により、東京大学大学院情報学環では「シンプルパソコンコンテスト」を公募により実施することを計画しています。若者世代の方々の柔軟な発想が期待されますが、そもそも日本では、1980年代から世界的なインターネット時代に入っていく以前においては、独自にパソコンを開発してきた歴史と蓄積があります。携わった方々はすでに社会の第一線からリタイアしていますが、こうした世代の方々も広く「シンプルパソコン」の設計に参画することが期待されます。

高度な機能を使うプロの人々、組織・機関にあっては、それにふさわしい機能を装着したコンピュータやパソコンを、必要なコストを負担して高度なセキュリティ対策を施した上で使用すればよいと思います。しかし、人口のほとんどを占める一般国民や、通常の政府機関、企業、団体などにあっては、こうしたシンプルパソコンでも利便性が損なわれることはないでしょう。

今後、IoT、スマートグリッド、自動運転など、様々な場所にパソコンの機能が埋め込まれ、さらには、身体に装着されてパソコン機能が人体と一体となるに及んでは、装着された機能の安全性が人間の生命の安全に、より直接的に関わることになります。何らかのトラブルの発生がもたらす社会的混乱や経済的損失は、より大きくなるでしょう。

これらパソコン機能をできるだけ簡素なものとすることで、外部から攻撃されにくくし、万一トラブルが発生した際にも、どこで何が起こっているかが透明であることによって、ネットワークの全てを停止することなく対処することが可能な状態を確保することが、未来社会の実現にとって不可欠の前提となってくると思います。

 

詳しくはぜひ、本書をお読みいただければと思います。本章の内容について、引き続き、ご紹介していきます。

 

松田学のビデオレター、第93回は「戦後日本の危機管理~立ち後れたサイバーセキュリティ」

チャンネル桜821日放映。

 こちら↓をご覧ください。

 

 

松田学さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba芸能人・有名人ブログ

芸能ブログニュース