情報セキュリティー・サイバー犯罪(その2)(GDPR(EU一般データ保護規則)が遠い国の話で済まない理由、あなたのパソコンが危ない 追跡!謎の新型ウイルス) [科学技術]
情報セキュリティー・サイバー犯罪については、昨年11月1日に取上げた。今日は、(その2)(GDPR(EU一般データ保護規則)が遠い国の話で済まない理由、あなたのパソコンが危ない 追跡!謎の新型ウイルス) である。
先ずは、PwCコンサルティング パートナー サイバーセキュリティ・アンド・プライバシー・リーダー 山本 直樹氏が5月18日付けダイヤモンド・オンラインに掲載した「GDPR(EU一般データ保護規則)が遠い国の話で済まない理由――デジタル時代におけるプライバシー規制の潮流」を紹介しよう(▽は小見出し)。
▽GDPRがやってくる
・昨年春に欧州委員会にて採択されて以来、国内でもじわじわと注目を集めるGDPR(EU一般データ保護規則)。遠いヨーロッパのことだから日本の本社には関係ないという誤解もいまだに散見されるが、違反時には年間売上の4%または2000万ユーロのいずれか高い方という高額な制裁金が課される可能性があり、財務的なインパクトや評判リスクの大きさは計り知れない。また、ライバル企業の訴訟戦略に巻き込まれるリスクもあり、対応の遅れは命取りになる。
・GDPRの特徴の一つに「域外適用」という考え方がある。GDPRは、EUで成立したEUの法律であるにもかかわらず、日本を含むEU域外の企業にも適用されてしまうのだ。日本企業の中には、「ヨーロッパに拠点があり現地に従業員がいる」「ヨーロッパの消費者向けにサービスを提供している」「世界中の従業員情報をクラウドベースの人事システムで一元管理している」「ヨーロッパのデータセンターにある個人情報データベースに日本からアクセスしている」「もともと日本国内向けのサービスだったが、今ではヨーロッパからの訪日客も頻繁に活用している」等、さまざまな観点でGDPRの適用対象となる企業が多く存在するはずだ。
▽GDPRが生まれた背景
・ヨーロッパでは従来からプライバシーに対する意識が強かった。例えば、社員が業務時間中に会社のPCを使ってどのようなWebサイトにアクセスしているのか、システム上のログを取って会社が監視しようとする。これが日本であれば、社員側も、業務に関係ないことをすべきでないという意識が強く、予めルールさえ決めておけば大きな問題に発展することはない。
・ところが、ヨーロッパでは、会社から監視を受けること自体に大きな抵抗があるようだ。歴史を紐解けば、特定の宗教や民族が迫害を受けた暗い過去もあり、政府や企業等の強大な権力から、弱者である個人が監視を受けることに対して、過敏に反応する人が多いのは自然なことなのかもしれない。
・GDPRは、長年の議論の末、昨年ついに採択され、2018年5月施行という明確な期限が設けられた。これを機に、日本でもにわかに大きな話題となっているのだが、GDPRの前身である「一般個人データ保護指令」は、1995年の時点で採択されており、今から20年以上前には、GDPRの骨格はできあがっていたことになる。しかし、その規制をさらに強化しなければならなくなった昨今の事情を理解する必要がある。
▽プライバシー以上に保護すべきもの
・昨今、ヨーロッパにおいて保護すべきものは、プライバシーだけではなくなってきた。それは産業そのものだ。インターネットを最大限に活用したアメリカ型のビジネスが、国境を越えてユニバーサルなサービスを提供するようになった。現代のコンピューティングパワーを持ってすれば、企業のやりたいことは、大概何でも実現できてしまい、技術的な制約は存在しない。アイデア次第では、業界の勢力図が一夜にして塗り替えられ、場合によっては既存のオールドプレイヤーが一掃されてしまうという事態も起こりかねない。
・しかも、他国からやってきた新しいプレーヤーがヨーロッパ向けにサービスを提供する場合であっても、極端なケースでは、ヨーロッパに物理的な事務所を構えることなく、サービスだけが提供されてしまうこともある。利用者から見れば、もはや企業の国籍や国境など意識することなく、自らのライフスタイルにあった便利なサービスを選ぶだけである。しかし、既存の枠組みのままでは、これらの新プレーヤーに法人税を課すルールが不明瞭であったり、ヨーロッパでは雇用が創出されなかったりと、さまざまな問題が残る。
・欧州委員会がGDPRの成立を加速させた背景には、このような危機感があると見るのが自然だろう。EU居住者の個人情報を域外に移転することを規制し、重い制裁金を課すことによって、域外企業には好き勝手させないという意思が透けて見える。
▽日本企業は本当に デジタル化への舵を切れるのか
・日本企業にも目を向けてみたい。最近では、さまざまな業種の企業において、将来のデジタル戦略を検討する社内ワーキンググループが作られ、新しいビジネスモデルの模索が始まっている。しかし、これまでのところ、残念ながら、「IoT」や「AI(人工知能)」といったキーワードだけが先行し、世の中を一変させてしまうほどの破壊的な勢力は出てきていない。
・今後、いくつかの企業において順調にデジタル化が進むとすれば、その企業はサービス産業に生まれ変わるだろう。 分かりやすい例として自動車を挙げてみよう。自動車産業は日本が世界に誇る産業であり、製造業の代表格だ。これまでのビジネスモデルは、簡単に言うと、自動車という製品を設計・製造し、販売店を通して市場に流通させるというものだ。この流れにおいては、製造元と顧客との直接的なコンタクトは、製品保証に関するやり取り程度に限られており、大半の顧客情報は販売店が独自に管理していた。
・しかし、コネクティッド・カー(つながるクルマ)と称される新しいサービス形態では、自動車を常時ネットワークに接続し、カーライフに関わる情報提供や安全走行に資するサービス等を提供し、製造者が製品の販売後も、引き続き顧客とつながりつづけるというサービスモデルにシフトしていく。
・実はここでもGDPRを考えなければならない。GDPRにおける個人情報の定義は、日本の個人情報保護法のそれよりも広く、例えば、自動車の車両識別番号やGPSで取得した地理的位置情報等も該当する。万が一、企業がプライバシー対応を軽視してしまったら、デジタル化戦略も頓挫しかねない。
▽セキュリティがコストだった時代は過去の話
・今でもセキュリティ投資に後ろ向きな経営者はいる。口ではセキュリティが重要だと言っていても、本心では、単なるコストとしか見ておらず、そこから生み出される価値などないと感じているからだ。しかし、経営者がそのような感覚だと、残念ながらその企業はデジタル化の波に乗り遅れるだろう。先進的な企業では、セキュリティを戦略的な投資領域と位置付けている。GDPR対応は、企業のデジタル化に対する本気度合を計る試金石だとも言えよう。
・最近では、「セキュア・バイ・デザイン」あるいは「データプロテクション・バイ・デザイン」という言葉もよく耳にするようになった。新しいビジネスモデルやサービスを開発する際には、後からセキュリティの要素を付け加えるのではなく、企画段階から検討すべき重要な要素の一つとして、セキュリティを捉えるべきなのだ。
・事実、PwCがコンサルタントとして支援しているクライアントのGDPRプロジェクトの中には、全社的なコンプライアンス対応だけでなく、特定のデジタルサービスを対象とした事業部単位の取組みも多く含まれる。今後1~2年の期間でサービス提供を開始する新しいビジネスにとって、GDPRの要求事項が大きな影響を及ぼすため、そのためのコンプライアンス対応をすると同時に、セキュリティを差別化要素として位置づけてサービス開発を進めているのだ。
・GDPRを論じる際、域外適用という特殊性や重い制裁金等に注目が集まりがちである。もちろん、法律を適切に遵守するための取り組みは重要なことであるが、単なるコンプライアンス対応だと高を括って、文書策定等の形式的な対応に終始してしまうのは得策ではない。世界で起きているビジネスやテクノロジーの潮目を読み、自社のビジネス戦略を見つめ直す格好の機会を逃すべきではない。
・次回、2回目の寄稿では、『施行まで1年、秒読み段階に入ったGDPR(EU一般データ保護規則)に対して今からできること』と題し、企業におけるGDPR対応のポイントを解説する(細か過ぎるきらいがあるので、紹介は省略(リンク先は下記の2行目)
http://diamond.jp/articles/-/127360
http://diamond.jp/articles/-/134763
次に、8月3日付けNHKクローズアップ現代+「あなたのパソコンが危ない 追跡!謎の新型ウイルス」を紹介しよう(▽は小見出し、──は番組の進行役、+は発言内の段落)。
・今年5月の大量感染以来、世界中を断続的に襲う新型PCウイルスのサイバー攻撃。イギリスの病院、チェルノブイリの原発、日本の自動車工場や水道局も攻撃された。こうした社会インフラへの“無差別テロ”に対し、世界中で対策が始まっている。
・ホワイトハッカー(善良なハッカー)の手を借りてOSやソフトの膨大なプログラムから“脆弱性”を見つけ出す取り組みや、サイバー攻撃が行われても絶対に解けない“次世代暗号”を開発する動きも加速。明日自分を襲うかもしれない攻撃に、どう向きあえばよいのか?徹底取材で迫る。
▽あなたのパソコンが危ない 追跡!謎の新型ウイルス
── またもや、新手のコンピューターウイルスが、私たちの生活の基盤を揺るがしています。あなたのパソコンは大丈夫ですか?
・田中(キャスター):3月にこの番組で取り上げた「身代金ウイルス」によるサイバー攻撃。ある日突然、パソコンに感染して大切なデータや個人情報をロック。「元の戻して欲しければ金を払え」と脅してきます。そして今、世界中で被害が拡大し続けているのが、新型の身代金ウイルス「ワナクライ」です。
・日本では、自動車メーカーや鉄道会社などが攻撃を受け、操業停止に追い込まれる事態も起きました。被害は、ほかにも。チェルノブイリの原発事故現場では、放射線量の測定器が制御不能になり、手動で計測する事態に陥りました。また、インドでは、港で積み荷を管理するコンピューターが停止。船が出航できず、荷物を運んできたトラックが大渋滞。物流システムが大打撃を受けました。ワナクライの爆発的感染から見えてきたのは、私たちの生活を支えるパソコンにひそむ意外なもろさです。
── このウイルスの新たな脅威は、メールの添付ファイルを開くなどしなくても、インターネットにつながっているだけで感染の恐れがあることです。
▽あなたのパソコンが危ない 追跡!謎の新型ウイルス
・身代金ウイルスに感染した自治体の1つが、匿名を条件に取材に応じました。 「こちらのパソコンですね。」 5月、海外との連絡用に使っていたパソコン1台が、突然、ワナクライに感染。
・被害を受けた自治体の職員 「(朝の)8時くらいに電源を立ち上げたら、動かなくなってる。(ウイルスの画面が)出たときには非常に驚きました。」
・幸いこの1台は自治体内のほかのパソコンにはつながっていませんでした。もし、ライフラインなどを管理する1,000台のパソコンとつながっていれば、市民生活がマヒしかねなかったといいます。 被害を受けた自治体の職員 「インフラ系のサーバー等が、もしやられていたら、(市民生活の)すべての機能が止まるのではないか。その時は本当に肝を冷やしました。」
・一方、感染が組織全体に広がってしまった例もあります。全国に展開するこの書店では、100万円を超える被害が出ました。 被害を受けた書店の店員 「突然に大きなカギのマークが出て。」
・最初に感染したと見られるのは、都内の店舗の1台のパソコン。英語の画面が表示されましたが、夜遅かったため、店員は仕事を切り上げてしまいました。3日後、店員は同僚からかかってきた電話に耳を疑いました。社内ネットワーク上にあった全国のパソコンがネットにつながっていたというだけで感染したというのです。
・被害を受けた書店の店員 「添付ファイルを開くとか、偽サイトに導くようなおかしなメールは一切やってない。なぜやられたんだろうと、不思議に思いましたね。」
・添付ファイルも偽サイトも開いていないのに、なぜ感染が広がったのか。分析の結果、ワナクライが持つ、従来のウイルスと全く異なる特徴が分かってきました。
・トレンドマイクロ社 岡本勝之さん「『ポート445』を使っているということが、今だいぶ分かってきました。」 ワナクライは、世界15億台のパソコンに搭載されている基本ソフト、ウィンドウズのぜい弱性を突くウイルスだったのです。ぜい弱性とは、プログラムの中にあるバグのこと。誤って書かれた、いわば壊れた部分です。今回狙われたぜい弱性は、ウィンドウズの中で通信のやり取りを担う部分でした。ウイルスはここを標的としてパソコンに侵入。さまざまなソフトを機能不全に陥れました。さらに、ネットワーク上にある、ほかのパソコンのぜい弱性も自動的に探し出して侵入。次々に感染を拡大させたのです。
・トレンドマイクロ社 岡本勝之さん「ワナクライはウィンドウズのぜい弱性(弱点)を使うことによって、同じネットワークにある他のパソコンにどんどん感染を広げることが出来る。侵入したところだけでなく、どんどん被害が広がってしまう。」
・この新たなウイルスは、世界各地に広がり、深い爪痕を残しています。 イギリス BBC(2017年5月12日) 「国の医療機関がサイバーテロの標的になりました。」 イギリスでは5月、国が運営する医療グループがワナクライに襲われ、47の医療機関で検査機器や救急システムがダウン。予定されていた手術や診察は中止に追い込まれ、20万人もの患者に影響が及びました。
・心臓の手術を中止された患者 「『手術中に血液が不足したら輸血できない、命は保証できない』と言われました。医師の言葉にショックで、頭が真っ白になりました。」 病院では、データベースがマヒし、今も手作業でカルテなどの復旧に当たっています。
・ウイルス被害を受けた医師 「100%コンピューターに依存していたため、我々はなすすべがありませんでした。2か月以上たちますが、元に戻っていません。サイバー攻撃(の影響)は、今もまだ終わっていないのです。」
・驚異の感染力を持つこの新型ウイルスは、一体どこから来たのか。その謎の解明も急がれています。 セキュリティ会社 マーシン・クレチェンスキーさん「私たちは新型ウイルスの感染をリアルタイムで追いました。数千の都市に、瞬く間に感染が広がっていました。世界中どの国も、この攻撃から逃れられませんでした。」
・さまざまな説が飛び交う中、有力視されているのが、実は世界に名がとどろく、あの諜報機関が関わっているという説。 それは、アメリカのNSAです。NSAは、世界中の市民のパソコンに忍び込み、その活動を監視していたとされます。 “誰を監視しているんだ?”(映画『スノーデン』より) “世界中さ。”(映画『スノーデン』より))
・NSAは、ウィンドウズのぜい弱性を発見し、パソコンに忍び込む攻撃ツールを秘密裏に開発。しかし、この攻撃ツールがハッカー集団に盗み出され、それをもとにワナクライが作られたというのです。マイクロソフト社は、ワナクライの感染の直後、NSAを非難する声明を出しました。 ”米軍がトマホーク(巡航ミサイル)を盗まれたに等しい失態だ。” 今回のウイルス攻撃は、情報社会を支えるインフラとなったウィンドウズの穴を狙ったものでした。
・マイクロソフト社 澤円さん「ぜい弱性の情報は、常に出しています。」 実はマイクロソフトは、ワナクライの最初の攻撃が始まる2か月前に、このぜい弱性を把握。ウイルス感染を防ぐ更新プログラムを緊急で出していました。しかし、その対策を済ませていないパソコンは、いまだ世界中に数多く残されています。ここからウイルスによる新たな感染が広がり、被害が拡大し続けていることに危機感を募らせています。
・マイクロソフト社 澤円さん「今、世の中で起きている非常に大規模な攻撃は、サイバー犯罪に対する備えをしていない、修正プログラムをあてていないコンピューターが、実は攻撃の道具として大量に使われている。その人が被害にあっているというのは第一段階。第二段階としては、その人たちが攻撃者として使われてしまうというのも非常に多く見られる。」
▽あなたのパソコンが危ない 追跡!謎の新型ウイルス
・ゲスト 蔵本雄一さん(ホワイトモーション CEO/元マイクロソフト)
ゲスト 高木剛さん(東京大学大学院 教授)
── 元マイクロソフトの技術者で、サイバーセキュリティーが専門の蔵本雄一さん。 感染したらどうすればいい?
・蔵本さん:まずは、皆さん、ウイルス対策のソフトをインストールされていると思うんですけど、まずはインストールされている対策のメーカーさんに相談していただくというのが、まず一番初めかなと。そういったメーカーさんとか、あとインターネットに暗号化されてしまったファイルを戻すようなツールを提供しているようなところもあるので、例えば、そういうのを使ってもらうとかというのは非常に大事ですね。
+(この身代金というのは、払わないほうがいい?) 払って戻るものとか、払っても戻らないものとか、いろいろありまして、やっぱり一番大事なのは、暗号化されて読めなくなっても困らないように、複製ですね、データの複製、バックアップを取っておいて、やられたとしても、それを戻すと。そうすることで、ビジネスも正常復旧するというのが大事かなと思います。
── 今回、多くの公共インフラが被害に遭っているわけだが、なぜウイルス対策をしていなかったのか?
・蔵本さん:対策を考える時に、新しいOSを使うとか、新しいOSを最新の状態にするというのは非常に大事なんですが、なかなか制御している、何かシステムを制御しているシステムとか、新しくしたくてもできない理由があるものもあるので、なかなか一概に、簡単に新しくすればいいというのは結構難しい。 (これまで使っていたソフトや機器が使えなくなることもある?) その可能性もあったりもしますね。
── ネットセキュリティーの暗号技術に詳しい、数学者の高木剛さん。ソフトウェアのぜい弱性をなくすことはできない?
・高木さん:現在、プログラムは複雑化、さらに高度化しているために、このぜい弱性をなくすということは、不可能と言われております。 (なかなか自分では見つけられない?) 実際、プログラムにあるぜい弱性を使って、新しいウイルスを発見されることによって、ぜい弱性があるのだということが見つかっている現状となっています。
── 仮に、バグが全くないプログラムを作ることができてもということは、全く安全ではない?
・高木さん:想定している利用方法ですと問題ないんですが、想定外の利用方法をすることによって、そのプログラムが予想以外の動きをすることによって、新しいバグが見つかるということもあります。
── 想定の範囲で動かしていればいいが、違う動かし方をすると、生じる矛盾を狙ってくるということなんですね。
・田中:プログラムのぜい弱性があるのは、ウィンドウズだけに限りません。スマホの基本ソフトやSNSアプリでも、個人情報の漏えいなどにつながるバグが毎日のように見つかっています。ぜい弱性を発見しようと、IT企業では、新たな対策が始まっています。
▽スマホアプリを守れ! ホワイトハッカーの闘い
・向かったのは、世界2億人が利用するLINE。 去年(2016年)、プログラムのぜい弱性を見つけ出すための新たな制度を導入しました。
・セキュリティ担当社員 「投稿機能において不備があった問題ですね。ぜい弱性として認定すべきじゃないかと。」 「報奨金は?」 セキュリティ担当社員 「500ドルですね。」
・それは、ホワイトハッカーの力を借りること。ぜい弱性を見つけ、バグの修正に協力するIT技術者に報奨金を支払うことにしたのです。背景には、ぜい弱性チェックにかかる手間が膨大で、自社だけではカバーしきれないという事情があります。
・田中:ぜい弱性というのは、どのようにして見つけるのですか?
・LINE株式会社 セキュリティ担当社 「ソースコードと呼ばれるプログラムのコードを、実際に目視で確認したり。」
・田中:目で確認?何行くらいあるんですか?
・LINE株式会社 セキュリティ担当社員 「LINE本体(のプログラム)でも数十万行。」
・田中:数十万行。
・ぜい弱性探しは、目視が基本。数十万行のプログラムから1、2語のバグを見つけ出す作業です。セキュリティー担当も、この2年で2倍に増やしました。それでも、個人情報の漏えいにつながりかねないバグが見つかるなど、危機的な状況に直面してきました。
・LINE株式会社 セキュリティ担当社員 「人間が書くものなので、プログラムというのは、やはりバグはどうしても生んでしまう。それをチェックするのも、やはり私たち人間ですし、どうしてもミスは生じてしまう。」
・IT企業に勤めるこの男性は、ホワイトハッカーとしてLINEのバグ探しに協力。 これまで、2つの大きなバグを報告。合計100万円を手にしました。開発者でない第三者の視点が有効だといいます。
・IT企業社員 汐見友規さん「世の中で非常に重要とされるアプリケーションやソフトウェアに関して、自分が探したときに、何かあるのか確認したいという気持ちはあります。インターネットの世界を安全にするのに寄与できているのは、やりがいになる。」
▽PCもスマホも車も! ウイルスとの攻防
・田中:今、VTRでも出てきたような、正義のハッカーと呼ばれる「ホワイトハッカー」の需要が高まっています。総務省所管の情報通信機構は今年(2017年)4月、25歳以下の若手を対象に、ホワイトハッカー育成プログラムを始めました。これは、1年間かけて、情報セキュリティー技術を指導する世界に類を見ない試みなんです。背景にあるのは、情報セキュリティー分野の人材不足です。国の調査では、去年の時点で13万人が不足。サイバー攻撃の激化が予想される中、2020年には20万人足りなくなると見られています。ホワイトハッカーをはじめとするセキュリティー人材の養成は待ったなしです。
── そこまで人材が不足している状況というのは驚きだが、それだけ、今後もサイバー攻撃が拡大していく可能性があるということ?
・蔵本さん:例えば今回、お話が出ているようなワナクライとかだと、いわゆるパソコンのファイルがターゲットなっているわけですけれども、それ以外にも、家電とか自動車とかも含めて、いろんなものを見回ってもコンピューターが組み込まれているので、攻撃者のターゲットがどんどん増えているというような状況ですね。
── 例えば、自動車が狙われると、どういうことが起きる?
・蔵本さん:自動車が狙われると、例えば、自動運転だとか、いろいろ出てきていますけど、そういったものに対しての攻撃というのが予測されてきます。なので、自動車メーカーは、そういったことがされないような対策というのが求められるということですね。 (単にパソコンが使えなくなるというだけではなく、まさに、この命を預かる車など、そういった身近なところが危機にさらされる可能性があるということ?) より身近なところの危機を気にする必要が出てきますね。
── ウイルスの攻撃対象が、車や家電にまで広がるということになりますと、その驚異は計り知れません。ぜい弱性を巡る攻防が続く一方で、新たな方法で、究極の安全を目指そうという動きが世界で始まっています。
▽ハッカーを撃退せよ! 究極の技術 暗号
・6月、オランダでサイバー攻撃への対策を話し合う国際会議が開かれました。会場を訪ねると…。 「ちょっとあなたたち、撮影を拒否する人たちが多いので、取材は慎重にしてくださいね。」 会場に集まっていたのはNSAなど、世界各国の諜報機関で働く人たちでした。参加者が熱心に耳を傾けているのは、もしや数学の講義? 実は、この会議の目的は、最先端の数学の理論を駆使して絶対に解読できない暗号を開発することなんだとか。それにしても、なぜ新たな暗号開発に世界が注目するのでしょうか。
・現在、インターネット上の重要な情報はウイルス攻撃などで盗み見られても読めないように暗号で守られています。その暗号は、数学の素数を、いわばパズルのように複雑に組み合わせたもの。しかしこの暗号が、解読の危機にあるというのです。その理由は、次世代コンピューターの開発競争で、計算能力が急速に向上しているからです。もしハッカーがこのコンピューターを悪用し、国家の情報機関などに侵入すれば、機密情報が読み取られてしまう。そうした事態を防ぐ、究極の技術が次世代の暗号なのです。
・アメリカ国立標準技術研究室 ダスティン・ムーディーさん「次世代コンピューターは、現在の暗号を破る能力があります。ですから、世界各国の研究機関や政府、企業が話し合い、今から協力して準備しなければなりません。」
・この次世代の暗号開発で世界から注目を集める日本人がいます。今日のゲスト数学者の高木剛さんです。 高木さんは、全く新しい暗号「格子暗号」の研究者です。ベクトルという数学の概念を使って、簡単には解けない暗号を編み出そうとしています。
・東京大学大学院 教授 高木剛さん「数字というのは一次元の方向しかないんですが、ベクトルになりますと、二次元以上の空間でいろいろな向きがあります。次元が上がると、その向きがいろいろな方向になるために、より高速な計算機でも簡単には解けない。」 何だか難しそうですが、スタジオでご本人に解説していただきます。
▽あなたのパソコンが危ない 追跡!謎の新型ウイルス
── というわけで、高木さん、これは、どういうものなんでしょうか?
・高木さん:現在普及している暗号は、素数といわれている数字を使って、それを組み合わせて安全性を保っています。例えば、15という数字は。
── これが暗号?
+これが暗号です。3と5という2つの素数をかけたものです。この桁数がずっと素数を大きくしていくと、現在の計算機では計算が追いつかず、安全といわれていたのですが。 (今までは、このxとyが分からなかったわけですね。) ところが、新しい計算機が出てくると、これが安全ではない可能性が出てきたということで、数字に代わり、今はベクトルという概念を使った暗号が作られています。
+こちらの02に当たるものが、15の暗号文に当たりまして、この隠れている2つのベクトル、aとbを探しなさいという問題になります。 (そのaの座標であるxとy、bの座標であるxダッシュとyダッシュ、これを編み出しなさいと。) 2次元の場合は、それほど難しくはないんですが、次元を上げていくと、桁違いに組み合わせの数が増えて、解読計算量が非常に高くなります。そのため、次世代の暗号でもっても解読が難しいと言われています。
── 今回、アメリカの諜報機関から盗み出された情報が、ウイルスのもとになっているとも言われているが、こうした暗号が出来れば、そうした事態を防ぐことにもつながる?
・高木さん:サイバーセキュリティーが高度化して、増え続ける漏えい問題が今、問題となっていますが、重要な情報にアクセスしたとしても、攻撃者は解読できない暗号技術が求められています。
── 今後、ますます高度化、巧妙化するサイバー攻撃に対して、どのように対応すればいい?
・蔵本さん:まずは、やっぱり何を守るかというのをはっきりさせる。これは、実際のパソコンとか、モノを使う使い手だけではなくて、作る方も、どういったものを守れば、何が一番大事なのかというのをしっかり定義して、それを守るようなものを作って、使っていくというのが非常に大事かと。例えば、自動車だと、ちゃんと走って、止まって、曲がれるというところをしっかり守る。これって非常に大事なことですけれども、そういうところをしっかりとやっていく。
+あとは、やっぱり攻撃する側が、どういう攻撃をしてくるのかとか、しっかり分析をして、相手が何を狙っているのか、どういうことをやるのかということを考えて、正しく怖がってもらう、正しく恐れるというのが、非常に大事なことかなと思います。 (今、さまざまなコンピューターを使ったシステム、ナビゲーションであるとか、自動運転であるとか、そういった部分と、基本的な走る、曲がる、止まるという部分を切り離せるようにしていくということが大事?) 仮に、そういう部分が侵害されたとしても、ちゃんと走って、止まって、曲がれるという機能を確保する。こういう設計のコンセプトとか、作りというのが、やはり非常に大事かなと。
── 高度な次の世代の技術と、それから、そういった考え方、整備していく必要があるということですね。
・ 企業の生産活動、行政サービス、医療、今やあらゆる分野を支えるコンピューターシステムへのサイバー攻撃、社会の基盤を揺るがす大きな脅威です。人材の育成、次の世代のセキュリティー技術の開発、対策は待ったなし
http://www.nhk.or.jp/gendai/articles/4019/
第一の記事は、いかにもコンサルタントらしく、大きく振りかぶった割には、肝心なことは言わないので、読む方には、隔靴掻痒の感じを与える。それをあえて紹介したのは、 『GDPR(EU一般データ保護規則)・・・違反時には年間売上の4%または2000万ユーロのいずれか高い方という高額な制裁金が課される可能性があり・・・「域外適用」という考え方がある・・・2018年5月施行』、と決して他人事ではないためである。EUのみならず、米国でも制裁金や罰金が高額化しているだけに、要注意だ。
第二の記事は、 『新型の身代金ウイルス「ワナクライ」』、は、 『新たな脅威は、メールの添付ファイルを開くなどしなくても、インターネットにつながっているだけで感染の恐れがあることです』、というのは恐ろしいことだ。しかも、それが、NSA(アメリカ国家安全保障局が 『秘密裏に開発。しかし、この攻撃ツールがハッカー集団に盗み出され、それをもとにワナクライが作られた』、というのには、NSAの機密管理のズサンさに驚く他ない。更新プログラムは、個人のパソコンでは自動的にやるのが普通だが、企業などの大きな組織でLANサーバーがある場合には、 『何かシステムを制御しているシステムとか、新しくしたくてもできない理由があるものもあるので、なかなか一概に、簡単に新しくすればいいというのは結構難しい』、のが実情のようだ。 次世代の暗号については、 『2次元の場合は、それほど難しくはないんですが、次元を上げていくと、桁違いに組み合わせの数が増えて、解読計算量が非常に高くなります。そのため、次世代の暗号でもっても解読が難しいと言われています』、とのことらしい。ハッキングの「技術革新」とのイタチゴッコにならないよう祈るしかないようだ。
先ずは、PwCコンサルティング パートナー サイバーセキュリティ・アンド・プライバシー・リーダー 山本 直樹氏が5月18日付けダイヤモンド・オンラインに掲載した「GDPR(EU一般データ保護規則)が遠い国の話で済まない理由――デジタル時代におけるプライバシー規制の潮流」を紹介しよう(▽は小見出し)。
▽GDPRがやってくる
・昨年春に欧州委員会にて採択されて以来、国内でもじわじわと注目を集めるGDPR(EU一般データ保護規則)。遠いヨーロッパのことだから日本の本社には関係ないという誤解もいまだに散見されるが、違反時には年間売上の4%または2000万ユーロのいずれか高い方という高額な制裁金が課される可能性があり、財務的なインパクトや評判リスクの大きさは計り知れない。また、ライバル企業の訴訟戦略に巻き込まれるリスクもあり、対応の遅れは命取りになる。
・GDPRの特徴の一つに「域外適用」という考え方がある。GDPRは、EUで成立したEUの法律であるにもかかわらず、日本を含むEU域外の企業にも適用されてしまうのだ。日本企業の中には、「ヨーロッパに拠点があり現地に従業員がいる」「ヨーロッパの消費者向けにサービスを提供している」「世界中の従業員情報をクラウドベースの人事システムで一元管理している」「ヨーロッパのデータセンターにある個人情報データベースに日本からアクセスしている」「もともと日本国内向けのサービスだったが、今ではヨーロッパからの訪日客も頻繁に活用している」等、さまざまな観点でGDPRの適用対象となる企業が多く存在するはずだ。
▽GDPRが生まれた背景
・ヨーロッパでは従来からプライバシーに対する意識が強かった。例えば、社員が業務時間中に会社のPCを使ってどのようなWebサイトにアクセスしているのか、システム上のログを取って会社が監視しようとする。これが日本であれば、社員側も、業務に関係ないことをすべきでないという意識が強く、予めルールさえ決めておけば大きな問題に発展することはない。
・ところが、ヨーロッパでは、会社から監視を受けること自体に大きな抵抗があるようだ。歴史を紐解けば、特定の宗教や民族が迫害を受けた暗い過去もあり、政府や企業等の強大な権力から、弱者である個人が監視を受けることに対して、過敏に反応する人が多いのは自然なことなのかもしれない。
・GDPRは、長年の議論の末、昨年ついに採択され、2018年5月施行という明確な期限が設けられた。これを機に、日本でもにわかに大きな話題となっているのだが、GDPRの前身である「一般個人データ保護指令」は、1995年の時点で採択されており、今から20年以上前には、GDPRの骨格はできあがっていたことになる。しかし、その規制をさらに強化しなければならなくなった昨今の事情を理解する必要がある。
▽プライバシー以上に保護すべきもの
・昨今、ヨーロッパにおいて保護すべきものは、プライバシーだけではなくなってきた。それは産業そのものだ。インターネットを最大限に活用したアメリカ型のビジネスが、国境を越えてユニバーサルなサービスを提供するようになった。現代のコンピューティングパワーを持ってすれば、企業のやりたいことは、大概何でも実現できてしまい、技術的な制約は存在しない。アイデア次第では、業界の勢力図が一夜にして塗り替えられ、場合によっては既存のオールドプレイヤーが一掃されてしまうという事態も起こりかねない。
・しかも、他国からやってきた新しいプレーヤーがヨーロッパ向けにサービスを提供する場合であっても、極端なケースでは、ヨーロッパに物理的な事務所を構えることなく、サービスだけが提供されてしまうこともある。利用者から見れば、もはや企業の国籍や国境など意識することなく、自らのライフスタイルにあった便利なサービスを選ぶだけである。しかし、既存の枠組みのままでは、これらの新プレーヤーに法人税を課すルールが不明瞭であったり、ヨーロッパでは雇用が創出されなかったりと、さまざまな問題が残る。
・欧州委員会がGDPRの成立を加速させた背景には、このような危機感があると見るのが自然だろう。EU居住者の個人情報を域外に移転することを規制し、重い制裁金を課すことによって、域外企業には好き勝手させないという意思が透けて見える。
▽日本企業は本当に デジタル化への舵を切れるのか
・日本企業にも目を向けてみたい。最近では、さまざまな業種の企業において、将来のデジタル戦略を検討する社内ワーキンググループが作られ、新しいビジネスモデルの模索が始まっている。しかし、これまでのところ、残念ながら、「IoT」や「AI(人工知能)」といったキーワードだけが先行し、世の中を一変させてしまうほどの破壊的な勢力は出てきていない。
・今後、いくつかの企業において順調にデジタル化が進むとすれば、その企業はサービス産業に生まれ変わるだろう。 分かりやすい例として自動車を挙げてみよう。自動車産業は日本が世界に誇る産業であり、製造業の代表格だ。これまでのビジネスモデルは、簡単に言うと、自動車という製品を設計・製造し、販売店を通して市場に流通させるというものだ。この流れにおいては、製造元と顧客との直接的なコンタクトは、製品保証に関するやり取り程度に限られており、大半の顧客情報は販売店が独自に管理していた。
・しかし、コネクティッド・カー(つながるクルマ)と称される新しいサービス形態では、自動車を常時ネットワークに接続し、カーライフに関わる情報提供や安全走行に資するサービス等を提供し、製造者が製品の販売後も、引き続き顧客とつながりつづけるというサービスモデルにシフトしていく。
・実はここでもGDPRを考えなければならない。GDPRにおける個人情報の定義は、日本の個人情報保護法のそれよりも広く、例えば、自動車の車両識別番号やGPSで取得した地理的位置情報等も該当する。万が一、企業がプライバシー対応を軽視してしまったら、デジタル化戦略も頓挫しかねない。
▽セキュリティがコストだった時代は過去の話
・今でもセキュリティ投資に後ろ向きな経営者はいる。口ではセキュリティが重要だと言っていても、本心では、単なるコストとしか見ておらず、そこから生み出される価値などないと感じているからだ。しかし、経営者がそのような感覚だと、残念ながらその企業はデジタル化の波に乗り遅れるだろう。先進的な企業では、セキュリティを戦略的な投資領域と位置付けている。GDPR対応は、企業のデジタル化に対する本気度合を計る試金石だとも言えよう。
・最近では、「セキュア・バイ・デザイン」あるいは「データプロテクション・バイ・デザイン」という言葉もよく耳にするようになった。新しいビジネスモデルやサービスを開発する際には、後からセキュリティの要素を付け加えるのではなく、企画段階から検討すべき重要な要素の一つとして、セキュリティを捉えるべきなのだ。
・事実、PwCがコンサルタントとして支援しているクライアントのGDPRプロジェクトの中には、全社的なコンプライアンス対応だけでなく、特定のデジタルサービスを対象とした事業部単位の取組みも多く含まれる。今後1~2年の期間でサービス提供を開始する新しいビジネスにとって、GDPRの要求事項が大きな影響を及ぼすため、そのためのコンプライアンス対応をすると同時に、セキュリティを差別化要素として位置づけてサービス開発を進めているのだ。
・GDPRを論じる際、域外適用という特殊性や重い制裁金等に注目が集まりがちである。もちろん、法律を適切に遵守するための取り組みは重要なことであるが、単なるコンプライアンス対応だと高を括って、文書策定等の形式的な対応に終始してしまうのは得策ではない。世界で起きているビジネスやテクノロジーの潮目を読み、自社のビジネス戦略を見つめ直す格好の機会を逃すべきではない。
・次回、2回目の寄稿では、『施行まで1年、秒読み段階に入ったGDPR(EU一般データ保護規則)に対して今からできること』と題し、企業におけるGDPR対応のポイントを解説する(細か過ぎるきらいがあるので、紹介は省略(リンク先は下記の2行目)
http://diamond.jp/articles/-/127360
http://diamond.jp/articles/-/134763
次に、8月3日付けNHKクローズアップ現代+「あなたのパソコンが危ない 追跡!謎の新型ウイルス」を紹介しよう(▽は小見出し、──は番組の進行役、+は発言内の段落)。
・今年5月の大量感染以来、世界中を断続的に襲う新型PCウイルスのサイバー攻撃。イギリスの病院、チェルノブイリの原発、日本の自動車工場や水道局も攻撃された。こうした社会インフラへの“無差別テロ”に対し、世界中で対策が始まっている。
・ホワイトハッカー(善良なハッカー)の手を借りてOSやソフトの膨大なプログラムから“脆弱性”を見つけ出す取り組みや、サイバー攻撃が行われても絶対に解けない“次世代暗号”を開発する動きも加速。明日自分を襲うかもしれない攻撃に、どう向きあえばよいのか?徹底取材で迫る。
▽あなたのパソコンが危ない 追跡!謎の新型ウイルス
── またもや、新手のコンピューターウイルスが、私たちの生活の基盤を揺るがしています。あなたのパソコンは大丈夫ですか?
・田中(キャスター):3月にこの番組で取り上げた「身代金ウイルス」によるサイバー攻撃。ある日突然、パソコンに感染して大切なデータや個人情報をロック。「元の戻して欲しければ金を払え」と脅してきます。そして今、世界中で被害が拡大し続けているのが、新型の身代金ウイルス「ワナクライ」です。
・日本では、自動車メーカーや鉄道会社などが攻撃を受け、操業停止に追い込まれる事態も起きました。被害は、ほかにも。チェルノブイリの原発事故現場では、放射線量の測定器が制御不能になり、手動で計測する事態に陥りました。また、インドでは、港で積み荷を管理するコンピューターが停止。船が出航できず、荷物を運んできたトラックが大渋滞。物流システムが大打撃を受けました。ワナクライの爆発的感染から見えてきたのは、私たちの生活を支えるパソコンにひそむ意外なもろさです。
── このウイルスの新たな脅威は、メールの添付ファイルを開くなどしなくても、インターネットにつながっているだけで感染の恐れがあることです。
▽あなたのパソコンが危ない 追跡!謎の新型ウイルス
・身代金ウイルスに感染した自治体の1つが、匿名を条件に取材に応じました。 「こちらのパソコンですね。」 5月、海外との連絡用に使っていたパソコン1台が、突然、ワナクライに感染。
・被害を受けた自治体の職員 「(朝の)8時くらいに電源を立ち上げたら、動かなくなってる。(ウイルスの画面が)出たときには非常に驚きました。」
・幸いこの1台は自治体内のほかのパソコンにはつながっていませんでした。もし、ライフラインなどを管理する1,000台のパソコンとつながっていれば、市民生活がマヒしかねなかったといいます。 被害を受けた自治体の職員 「インフラ系のサーバー等が、もしやられていたら、(市民生活の)すべての機能が止まるのではないか。その時は本当に肝を冷やしました。」
・一方、感染が組織全体に広がってしまった例もあります。全国に展開するこの書店では、100万円を超える被害が出ました。 被害を受けた書店の店員 「突然に大きなカギのマークが出て。」
・最初に感染したと見られるのは、都内の店舗の1台のパソコン。英語の画面が表示されましたが、夜遅かったため、店員は仕事を切り上げてしまいました。3日後、店員は同僚からかかってきた電話に耳を疑いました。社内ネットワーク上にあった全国のパソコンがネットにつながっていたというだけで感染したというのです。
・被害を受けた書店の店員 「添付ファイルを開くとか、偽サイトに導くようなおかしなメールは一切やってない。なぜやられたんだろうと、不思議に思いましたね。」
・添付ファイルも偽サイトも開いていないのに、なぜ感染が広がったのか。分析の結果、ワナクライが持つ、従来のウイルスと全く異なる特徴が分かってきました。
・トレンドマイクロ社 岡本勝之さん「『ポート445』を使っているということが、今だいぶ分かってきました。」 ワナクライは、世界15億台のパソコンに搭載されている基本ソフト、ウィンドウズのぜい弱性を突くウイルスだったのです。ぜい弱性とは、プログラムの中にあるバグのこと。誤って書かれた、いわば壊れた部分です。今回狙われたぜい弱性は、ウィンドウズの中で通信のやり取りを担う部分でした。ウイルスはここを標的としてパソコンに侵入。さまざまなソフトを機能不全に陥れました。さらに、ネットワーク上にある、ほかのパソコンのぜい弱性も自動的に探し出して侵入。次々に感染を拡大させたのです。
・トレンドマイクロ社 岡本勝之さん「ワナクライはウィンドウズのぜい弱性(弱点)を使うことによって、同じネットワークにある他のパソコンにどんどん感染を広げることが出来る。侵入したところだけでなく、どんどん被害が広がってしまう。」
・この新たなウイルスは、世界各地に広がり、深い爪痕を残しています。 イギリス BBC(2017年5月12日) 「国の医療機関がサイバーテロの標的になりました。」 イギリスでは5月、国が運営する医療グループがワナクライに襲われ、47の医療機関で検査機器や救急システムがダウン。予定されていた手術や診察は中止に追い込まれ、20万人もの患者に影響が及びました。
・心臓の手術を中止された患者 「『手術中に血液が不足したら輸血できない、命は保証できない』と言われました。医師の言葉にショックで、頭が真っ白になりました。」 病院では、データベースがマヒし、今も手作業でカルテなどの復旧に当たっています。
・ウイルス被害を受けた医師 「100%コンピューターに依存していたため、我々はなすすべがありませんでした。2か月以上たちますが、元に戻っていません。サイバー攻撃(の影響)は、今もまだ終わっていないのです。」
・驚異の感染力を持つこの新型ウイルスは、一体どこから来たのか。その謎の解明も急がれています。 セキュリティ会社 マーシン・クレチェンスキーさん「私たちは新型ウイルスの感染をリアルタイムで追いました。数千の都市に、瞬く間に感染が広がっていました。世界中どの国も、この攻撃から逃れられませんでした。」
・さまざまな説が飛び交う中、有力視されているのが、実は世界に名がとどろく、あの諜報機関が関わっているという説。 それは、アメリカのNSAです。NSAは、世界中の市民のパソコンに忍び込み、その活動を監視していたとされます。 “誰を監視しているんだ?”(映画『スノーデン』より) “世界中さ。”(映画『スノーデン』より))
・NSAは、ウィンドウズのぜい弱性を発見し、パソコンに忍び込む攻撃ツールを秘密裏に開発。しかし、この攻撃ツールがハッカー集団に盗み出され、それをもとにワナクライが作られたというのです。マイクロソフト社は、ワナクライの感染の直後、NSAを非難する声明を出しました。 ”米軍がトマホーク(巡航ミサイル)を盗まれたに等しい失態だ。” 今回のウイルス攻撃は、情報社会を支えるインフラとなったウィンドウズの穴を狙ったものでした。
・マイクロソフト社 澤円さん「ぜい弱性の情報は、常に出しています。」 実はマイクロソフトは、ワナクライの最初の攻撃が始まる2か月前に、このぜい弱性を把握。ウイルス感染を防ぐ更新プログラムを緊急で出していました。しかし、その対策を済ませていないパソコンは、いまだ世界中に数多く残されています。ここからウイルスによる新たな感染が広がり、被害が拡大し続けていることに危機感を募らせています。
・マイクロソフト社 澤円さん「今、世の中で起きている非常に大規模な攻撃は、サイバー犯罪に対する備えをしていない、修正プログラムをあてていないコンピューターが、実は攻撃の道具として大量に使われている。その人が被害にあっているというのは第一段階。第二段階としては、その人たちが攻撃者として使われてしまうというのも非常に多く見られる。」
▽あなたのパソコンが危ない 追跡!謎の新型ウイルス
・ゲスト 蔵本雄一さん(ホワイトモーション CEO/元マイクロソフト)
ゲスト 高木剛さん(東京大学大学院 教授)
── 元マイクロソフトの技術者で、サイバーセキュリティーが専門の蔵本雄一さん。 感染したらどうすればいい?
・蔵本さん:まずは、皆さん、ウイルス対策のソフトをインストールされていると思うんですけど、まずはインストールされている対策のメーカーさんに相談していただくというのが、まず一番初めかなと。そういったメーカーさんとか、あとインターネットに暗号化されてしまったファイルを戻すようなツールを提供しているようなところもあるので、例えば、そういうのを使ってもらうとかというのは非常に大事ですね。
+(この身代金というのは、払わないほうがいい?) 払って戻るものとか、払っても戻らないものとか、いろいろありまして、やっぱり一番大事なのは、暗号化されて読めなくなっても困らないように、複製ですね、データの複製、バックアップを取っておいて、やられたとしても、それを戻すと。そうすることで、ビジネスも正常復旧するというのが大事かなと思います。
── 今回、多くの公共インフラが被害に遭っているわけだが、なぜウイルス対策をしていなかったのか?
・蔵本さん:対策を考える時に、新しいOSを使うとか、新しいOSを最新の状態にするというのは非常に大事なんですが、なかなか制御している、何かシステムを制御しているシステムとか、新しくしたくてもできない理由があるものもあるので、なかなか一概に、簡単に新しくすればいいというのは結構難しい。 (これまで使っていたソフトや機器が使えなくなることもある?) その可能性もあったりもしますね。
── ネットセキュリティーの暗号技術に詳しい、数学者の高木剛さん。ソフトウェアのぜい弱性をなくすことはできない?
・高木さん:現在、プログラムは複雑化、さらに高度化しているために、このぜい弱性をなくすということは、不可能と言われております。 (なかなか自分では見つけられない?) 実際、プログラムにあるぜい弱性を使って、新しいウイルスを発見されることによって、ぜい弱性があるのだということが見つかっている現状となっています。
── 仮に、バグが全くないプログラムを作ることができてもということは、全く安全ではない?
・高木さん:想定している利用方法ですと問題ないんですが、想定外の利用方法をすることによって、そのプログラムが予想以外の動きをすることによって、新しいバグが見つかるということもあります。
── 想定の範囲で動かしていればいいが、違う動かし方をすると、生じる矛盾を狙ってくるということなんですね。
・田中:プログラムのぜい弱性があるのは、ウィンドウズだけに限りません。スマホの基本ソフトやSNSアプリでも、個人情報の漏えいなどにつながるバグが毎日のように見つかっています。ぜい弱性を発見しようと、IT企業では、新たな対策が始まっています。
▽スマホアプリを守れ! ホワイトハッカーの闘い
・向かったのは、世界2億人が利用するLINE。 去年(2016年)、プログラムのぜい弱性を見つけ出すための新たな制度を導入しました。
・セキュリティ担当社員 「投稿機能において不備があった問題ですね。ぜい弱性として認定すべきじゃないかと。」 「報奨金は?」 セキュリティ担当社員 「500ドルですね。」
・それは、ホワイトハッカーの力を借りること。ぜい弱性を見つけ、バグの修正に協力するIT技術者に報奨金を支払うことにしたのです。背景には、ぜい弱性チェックにかかる手間が膨大で、自社だけではカバーしきれないという事情があります。
・田中:ぜい弱性というのは、どのようにして見つけるのですか?
・LINE株式会社 セキュリティ担当社 「ソースコードと呼ばれるプログラムのコードを、実際に目視で確認したり。」
・田中:目で確認?何行くらいあるんですか?
・LINE株式会社 セキュリティ担当社員 「LINE本体(のプログラム)でも数十万行。」
・田中:数十万行。
・ぜい弱性探しは、目視が基本。数十万行のプログラムから1、2語のバグを見つけ出す作業です。セキュリティー担当も、この2年で2倍に増やしました。それでも、個人情報の漏えいにつながりかねないバグが見つかるなど、危機的な状況に直面してきました。
・LINE株式会社 セキュリティ担当社員 「人間が書くものなので、プログラムというのは、やはりバグはどうしても生んでしまう。それをチェックするのも、やはり私たち人間ですし、どうしてもミスは生じてしまう。」
・IT企業に勤めるこの男性は、ホワイトハッカーとしてLINEのバグ探しに協力。 これまで、2つの大きなバグを報告。合計100万円を手にしました。開発者でない第三者の視点が有効だといいます。
・IT企業社員 汐見友規さん「世の中で非常に重要とされるアプリケーションやソフトウェアに関して、自分が探したときに、何かあるのか確認したいという気持ちはあります。インターネットの世界を安全にするのに寄与できているのは、やりがいになる。」
▽PCもスマホも車も! ウイルスとの攻防
・田中:今、VTRでも出てきたような、正義のハッカーと呼ばれる「ホワイトハッカー」の需要が高まっています。総務省所管の情報通信機構は今年(2017年)4月、25歳以下の若手を対象に、ホワイトハッカー育成プログラムを始めました。これは、1年間かけて、情報セキュリティー技術を指導する世界に類を見ない試みなんです。背景にあるのは、情報セキュリティー分野の人材不足です。国の調査では、去年の時点で13万人が不足。サイバー攻撃の激化が予想される中、2020年には20万人足りなくなると見られています。ホワイトハッカーをはじめとするセキュリティー人材の養成は待ったなしです。
── そこまで人材が不足している状況というのは驚きだが、それだけ、今後もサイバー攻撃が拡大していく可能性があるということ?
・蔵本さん:例えば今回、お話が出ているようなワナクライとかだと、いわゆるパソコンのファイルがターゲットなっているわけですけれども、それ以外にも、家電とか自動車とかも含めて、いろんなものを見回ってもコンピューターが組み込まれているので、攻撃者のターゲットがどんどん増えているというような状況ですね。
── 例えば、自動車が狙われると、どういうことが起きる?
・蔵本さん:自動車が狙われると、例えば、自動運転だとか、いろいろ出てきていますけど、そういったものに対しての攻撃というのが予測されてきます。なので、自動車メーカーは、そういったことがされないような対策というのが求められるということですね。 (単にパソコンが使えなくなるというだけではなく、まさに、この命を預かる車など、そういった身近なところが危機にさらされる可能性があるということ?) より身近なところの危機を気にする必要が出てきますね。
── ウイルスの攻撃対象が、車や家電にまで広がるということになりますと、その驚異は計り知れません。ぜい弱性を巡る攻防が続く一方で、新たな方法で、究極の安全を目指そうという動きが世界で始まっています。
▽ハッカーを撃退せよ! 究極の技術 暗号
・6月、オランダでサイバー攻撃への対策を話し合う国際会議が開かれました。会場を訪ねると…。 「ちょっとあなたたち、撮影を拒否する人たちが多いので、取材は慎重にしてくださいね。」 会場に集まっていたのはNSAなど、世界各国の諜報機関で働く人たちでした。参加者が熱心に耳を傾けているのは、もしや数学の講義? 実は、この会議の目的は、最先端の数学の理論を駆使して絶対に解読できない暗号を開発することなんだとか。それにしても、なぜ新たな暗号開発に世界が注目するのでしょうか。
・現在、インターネット上の重要な情報はウイルス攻撃などで盗み見られても読めないように暗号で守られています。その暗号は、数学の素数を、いわばパズルのように複雑に組み合わせたもの。しかしこの暗号が、解読の危機にあるというのです。その理由は、次世代コンピューターの開発競争で、計算能力が急速に向上しているからです。もしハッカーがこのコンピューターを悪用し、国家の情報機関などに侵入すれば、機密情報が読み取られてしまう。そうした事態を防ぐ、究極の技術が次世代の暗号なのです。
・アメリカ国立標準技術研究室 ダスティン・ムーディーさん「次世代コンピューターは、現在の暗号を破る能力があります。ですから、世界各国の研究機関や政府、企業が話し合い、今から協力して準備しなければなりません。」
・この次世代の暗号開発で世界から注目を集める日本人がいます。今日のゲスト数学者の高木剛さんです。 高木さんは、全く新しい暗号「格子暗号」の研究者です。ベクトルという数学の概念を使って、簡単には解けない暗号を編み出そうとしています。
・東京大学大学院 教授 高木剛さん「数字というのは一次元の方向しかないんですが、ベクトルになりますと、二次元以上の空間でいろいろな向きがあります。次元が上がると、その向きがいろいろな方向になるために、より高速な計算機でも簡単には解けない。」 何だか難しそうですが、スタジオでご本人に解説していただきます。
▽あなたのパソコンが危ない 追跡!謎の新型ウイルス
── というわけで、高木さん、これは、どういうものなんでしょうか?
・高木さん:現在普及している暗号は、素数といわれている数字を使って、それを組み合わせて安全性を保っています。例えば、15という数字は。
── これが暗号?
+これが暗号です。3と5という2つの素数をかけたものです。この桁数がずっと素数を大きくしていくと、現在の計算機では計算が追いつかず、安全といわれていたのですが。 (今までは、このxとyが分からなかったわけですね。) ところが、新しい計算機が出てくると、これが安全ではない可能性が出てきたということで、数字に代わり、今はベクトルという概念を使った暗号が作られています。
+こちらの02に当たるものが、15の暗号文に当たりまして、この隠れている2つのベクトル、aとbを探しなさいという問題になります。 (そのaの座標であるxとy、bの座標であるxダッシュとyダッシュ、これを編み出しなさいと。) 2次元の場合は、それほど難しくはないんですが、次元を上げていくと、桁違いに組み合わせの数が増えて、解読計算量が非常に高くなります。そのため、次世代の暗号でもっても解読が難しいと言われています。
── 今回、アメリカの諜報機関から盗み出された情報が、ウイルスのもとになっているとも言われているが、こうした暗号が出来れば、そうした事態を防ぐことにもつながる?
・高木さん:サイバーセキュリティーが高度化して、増え続ける漏えい問題が今、問題となっていますが、重要な情報にアクセスしたとしても、攻撃者は解読できない暗号技術が求められています。
── 今後、ますます高度化、巧妙化するサイバー攻撃に対して、どのように対応すればいい?
・蔵本さん:まずは、やっぱり何を守るかというのをはっきりさせる。これは、実際のパソコンとか、モノを使う使い手だけではなくて、作る方も、どういったものを守れば、何が一番大事なのかというのをしっかり定義して、それを守るようなものを作って、使っていくというのが非常に大事かと。例えば、自動車だと、ちゃんと走って、止まって、曲がれるというところをしっかり守る。これって非常に大事なことですけれども、そういうところをしっかりとやっていく。
+あとは、やっぱり攻撃する側が、どういう攻撃をしてくるのかとか、しっかり分析をして、相手が何を狙っているのか、どういうことをやるのかということを考えて、正しく怖がってもらう、正しく恐れるというのが、非常に大事なことかなと思います。 (今、さまざまなコンピューターを使ったシステム、ナビゲーションであるとか、自動運転であるとか、そういった部分と、基本的な走る、曲がる、止まるという部分を切り離せるようにしていくということが大事?) 仮に、そういう部分が侵害されたとしても、ちゃんと走って、止まって、曲がれるという機能を確保する。こういう設計のコンセプトとか、作りというのが、やはり非常に大事かなと。
── 高度な次の世代の技術と、それから、そういった考え方、整備していく必要があるということですね。
・ 企業の生産活動、行政サービス、医療、今やあらゆる分野を支えるコンピューターシステムへのサイバー攻撃、社会の基盤を揺るがす大きな脅威です。人材の育成、次の世代のセキュリティー技術の開発、対策は待ったなし
http://www.nhk.or.jp/gendai/articles/4019/
第一の記事は、いかにもコンサルタントらしく、大きく振りかぶった割には、肝心なことは言わないので、読む方には、隔靴掻痒の感じを与える。それをあえて紹介したのは、 『GDPR(EU一般データ保護規則)・・・違反時には年間売上の4%または2000万ユーロのいずれか高い方という高額な制裁金が課される可能性があり・・・「域外適用」という考え方がある・・・2018年5月施行』、と決して他人事ではないためである。EUのみならず、米国でも制裁金や罰金が高額化しているだけに、要注意だ。
第二の記事は、 『新型の身代金ウイルス「ワナクライ」』、は、 『新たな脅威は、メールの添付ファイルを開くなどしなくても、インターネットにつながっているだけで感染の恐れがあることです』、というのは恐ろしいことだ。しかも、それが、NSA(アメリカ国家安全保障局が 『秘密裏に開発。しかし、この攻撃ツールがハッカー集団に盗み出され、それをもとにワナクライが作られた』、というのには、NSAの機密管理のズサンさに驚く他ない。更新プログラムは、個人のパソコンでは自動的にやるのが普通だが、企業などの大きな組織でLANサーバーがある場合には、 『何かシステムを制御しているシステムとか、新しくしたくてもできない理由があるものもあるので、なかなか一概に、簡単に新しくすればいいというのは結構難しい』、のが実情のようだ。 次世代の暗号については、 『2次元の場合は、それほど難しくはないんですが、次元を上げていくと、桁違いに組み合わせの数が増えて、解読計算量が非常に高くなります。そのため、次世代の暗号でもっても解読が難しいと言われています』、とのことらしい。ハッキングの「技術革新」とのイタチゴッコにならないよう祈るしかないようだ。
タグ:2次元の場合は、それほど難しくはないんですが、次元を上げていくと、桁違いに組み合わせの数が増えて、解読計算量が非常に高くなります。そのため、次世代の暗号でもっても解読が難しいと言われています ベクトルという数学の概念を使って、簡単には解けない暗号を編み出そうとしています 次世代の暗号開発 自動運転だとか、いろいろ出てきていますけど、そういったものに対しての攻撃というのが予測 正義のハッカーと呼ばれる「ホワイトハッカー」の需要が高まっています 何かシステムを制御しているシステムとか、新しくしたくてもできない理由があるものもあるので、なかなか一概に、簡単に新しくすればいいというのは結構難しい データの複製、バックアップを取っておいて、やられたとしても、それを戻すと。そうすることで、ビジネスも正常復旧するというのが大事 その対策を済ませていないパソコンは、いまだ世界中に数多く残されています 最初の攻撃が始まる2か月前に、このぜい弱性を把握。ウイルス感染を防ぐ更新プログラムを緊急で出していました ・マイクロソフト社 しかし、この攻撃ツールがハッカー集団に盗み出され、それをもとにワナクライが作られたというのです NSAは、ウィンドウズのぜい弱性を発見し、パソコンに忍び込む攻撃ツールを秘密裏に開発 2か月以上たちますが、元に戻っていません。サイバー攻撃(の影響)は、今もまだ終わっていないのです イギリスでは5月、国が運営する医療グループがワナクライに襲われ、47の医療機関で検査機器や救急システムがダウン 世界各地に広がり、深い爪痕 ウィンドウズのぜい弱性を突くウイルスだった 新たな脅威は、メールの添付ファイルを開くなどしなくても、インターネットにつながっているだけで感染の恐れがあることです チェルノブイリの原発事故現場では、放射線量の測定器が制御不能になり、手動で計測する事態に 自動車メーカーや鉄道会社などが攻撃を受け、操業停止に追い込まれる事態も 新型の身代金ウイルス「ワナクライ」 イギリスの病院、チェルノブイリの原発、日本の自動車工場や水道局も攻撃された あなたのパソコンが危ない 追跡!謎の新型ウイルス NHKクローズアップ現代+ 単なるコンプライアンス対応だと高を括って、文書策定等の形式的な対応に終始してしまうのは得策ではない GDPRにおける個人情報の定義は、日本の個人情報保護法のそれよりも広く 日本企業は本当に デジタル化への舵を切れるのか 域外企業には好き勝手させないという意思 EU居住者の個人情報を域外に移転することを規制 保護すべきものは、プライバシーだけではなくなってきた。それは産業そのものだ 2018年5月施行 ヨーロッパでは、会社から監視を受けること自体に大きな抵抗があるようだ 「域外適用」という考え方がある 違反時には年間売上の4%または2000万ユーロのいずれか高い方という高額な制裁金が課される可能性 昨年春に欧州委員会にて採択 GDPR(EU一般データ保護規則)が遠い国の話で済まない理由――デジタル時代におけるプライバシー規制の潮流 ダイヤモンド・オンライン PwCコンサルティング 山本 直樹 (その2)(GDPR(EU一般データ保護規則)が遠い国の話で済まない理由、あなたのパソコンが危ない 追跡!謎の新型ウイルス) サイバー犯罪 情報セキュリティー
コメント 0