情報セキュリティー・サイバー犯罪(その9)(中国ハッカーが日本の防衛機密をハッキング 米国の通報で発覚、中国への情報流出 アプリ以外も危険!日本に普及中「最新中国製品」も要注意、「CISOが不在」日本企業の重大すぎる経営リスク 生成AIによる効率的なセキュリティ対策も課題) [社会]
情報セキュリティー・サイバー犯罪については、2022年5月19日に取上げた。今日は、(その9)(中国ハッカーが日本の防衛機密をハッキング 米国の通報で発覚、中国への情報流出 アプリ以外も危険!日本に普及中「最新中国製品」も要注意、「CISOが不在」日本企業の重大すぎる経営リスク 生成AIによる効率的なセキュリティ対策も課題)である。
先ずは、昨年8月8日付けForbes「中国ハッカーが日本の防衛機密をハッキング、米国の通報で発覚」を紹介しよう。
・『ワシントン・ポストは8月7日、中国の軍事ハッカーが2020年以降、日本の防衛機密ネットワークにアクセスし、米国の同盟国である日本の軍事能力や計画に関する情報にアクセスしていたと報じた。 このハッキングは米国の国家安全保障局(NSA)によって2020年秋に発見されたという。中国の人民解放軍のハッカーらは、日本の自衛隊の計画や能力、軍事的欠点の評価にアクセスするなど、深く執拗な情報収集を行っていたと、複数の米国の元高官がポスト紙に語っている。 報告を受けたNSAと米サイバー軍のトップのポール・ナカソネ陸軍大将と、当時ホワイトハウスの国家安全保障副顧問だったマシュー・ポッティンジャーが東京に急行して防衛大臣に説明を行い、首相にも伝えたとポスト紙は報じている。 このハッキングはトランプ政権下で始まったが、バイデン政権下でも続き、2021年には日本の防衛システムへの侵入が続いていることを示す新たなデータが発見され、情報漏洩が続いていることが発覚した。日米の両国は最終的に、日本の民間企業の手を借りて脆弱性を評価することに合意し、米国のNSAとサイバー軍のチームがその調査結果を確認し、情報漏洩を防ぐ方法について提言を行ったという。 フォーブスは、国務省にコメントを求めたが現時点で回答は得られていない。 「これは衝撃的なほどに酷い情報漏洩だった」とポスト紙の取材に応じた元米軍関係者は語っている。 日本の政府関係者は、ネットワークセキュリティを強化するために、今後5年間で自衛隊のサイバーセキュリティ部隊を4000人規模にすると述べている。さらに、ネットワークを24時間365日監視するサイバー司令部を発足させ、5年間で70億ドル(約1兆円)をサイバーセキュリティに費やす計画だと日本の防衛関係者はポスト紙の取材に語った。 「今回のハッキングにおける日本の当局の対応の遅さは、米国が同盟国である日本と共有する情報の量を減らすことにつながるかもしれない」と米政府関係者はポスト紙に語った』、「日本の防衛当局」の「ハッキングにおける対応の遅さ」は、」、「米国が同盟国である日本と共有する情報の量を減らすことにつながるかもしれない」、全くみっともない限りだ。
次に、昨年8月12日付けダイヤモンド・オンラインが掲載した日本カウンターインテリジェンス協会代表理事の稲村 悠氏による「中国への情報流出、アプリ以外も危険!日本に普及中「最新中国製品」も要注意」を紹介しよう。
https://diamond.jp/articles/-/327406
・『プロパガンダ工作に適したTikTokの危険性 中国企業が運営する動画共有アプリ「TikTok」について、かねてその危険性は指摘されている。 米経済誌「フォーブス」によれば、TikTokは、欧州のユーザーに向けて、中国政府のプロパガンダ機関による広告を大量に配信してきたことが、7月20日に公開された広告ライブラリーから明らかになったという。広告の中には、新疆ウイグル自治区を観光地として宣伝するものや中国によるコロナ政策を賛辞するものなどが含まれているという。 また、プロパガンダ工作に適した動画を意図的に“おすすめ動画”にして多くのユーザーに閲覧させたり、意図的に特定の動画を排除、浮上させるなど、プロパガンダにはうってつけのアプリのようだ。 さらにTikTokユーザーの情報が意図的に中国に収集される危険性も指摘されており、過去には一部のスタッフが、2人のジャーナリストを含むアメリカ市民のユーザーデータに不適切にアクセスしたと、ニューヨーク・タイムズが報じている。 TikTokのプロパガンダ機能やスパイアプリとしての危険性は広く知られつつあるが、注意すべきアプリはTikTokだけではない』、「TikTok」は、「プロパガンダ工作に適した動画を意図的に“おすすめ動画”にして多くのユーザーに閲覧させたり、意図的に特定の動画を排除、浮上させるなど、プロパガンダにはうってつけのアプリのようだ。 さらにTikTokユーザーの情報が意図的に中国に収集される危険性も指摘されており、過去には一部のスタッフが、2人のジャーナリストを含むアメリカ市民のユーザーデータに不適切にアクセスしたと、ニューヨーク・タイムズが報じている」、なるほど。
・『8月に日本でリリースされた格安ECアプリの「Temu」 「ピンドゥオドゥオ(拼多多)」というアプリをご存じだろうか。 ピンドゥオドゥオは、2015年に上海で創業した企業PDDホールディングスがリリースした、月間7億5000万人が利用する中国3位のECアプリであるが、実は、ユーザーの通話記録や文字メッセージ、写真アルバムなどに不正アクセスしていたことが明らかになっている。 CNNは、ピンドゥオドゥオに不正なコードが発見され、グーグルのアンドロイドOSの脆弱(ぜいじゃく)性を利用し、ユーザーの同意なく、携帯電話の使用内容やデータにアクセスしていることが判明したと報じている。 ピンドゥオドゥオのアプリに内蔵された不正なコードは、一度インストールすると、アプリを削除しても、不正なコードを除去することが非常に難しいとみられている。 そして、その「ピンドゥオドゥオ」をリリースしたPDDホールディングスから、格安ECアプリ「Temu」が日本でリリースされ、8月2日現在でAppstoreの無料Appランキングで1位を獲得している。さらに2位は「TikTok Lite」だ。 これらアプリによって、ユーザーの情報が同意なく収集された場合、その情報は中国による諜報(ちょうほう)活動や情報戦、プロパガンダ工作などの各種工作活動に活用されるのは言うまでもない。 仮に、ここまで解説したアプリの運営会社に悪意がなくとも、中国には、善意の企業さえ政府の意図に従わせる法的根拠がある。 中国の国家情報法は、安全保障や治安維持のために、企業も民間人も中国政府の情報収集活動に協力しなければならないと義務づけ、中国政府は企業などが持つデータをいつでも要求できる。要は、中国政府が情報を出せと言えば、企業は従わざるを得ないのだ。同法は、日本をはじめ外国の企業も当然対象となる。 ちなみに、これは運営企業が“善意”で運営していたら、という仮定の話である。アプリの運営会社の中には、中国政府の意向に忠実で、アプリを世界で流行させ、バックドアを仕掛け、日常的に情報を収集する意図を持っている会社もあり得るだろう』、「格安ECアプリ「Temu」が日本でリリースされ、8月2日現在でAppstoreの無料Appランキングで1位を獲得している。さらに2位は「TikTok Lite」だ。 これらアプリによって、ユーザーの情報が同意なく収集された場合、その情報は中国による諜報(ちょうほう)活動や情報戦、プロパガンダ工作などの各種工作活動に活用されるのは言うまでもない」、恐ろしいことだ。
・『アプリだけではない中国製自動車の脅威 注意すべきは、アプリだけではない。 中国製電気自動車(EV)の日本進出が進んでいる。 テスラを抜き、EV販売台数世界一となった中国自動車メーカー「比亜迪(BYD)」が日本に本格進出を開始、既に日本の交通機関にも食い込んでおり、京阪バスが京都市内を走る路線においてBYD製EVバスの運行を始めている。 ちなみに、このBYDであるが、BYDの日本法人社長の劉学亮氏が、東京新聞の取材に対し、「2010年に、金型メーカー・オギハラの館林工場を買収し、この金型企業から日本のものづくりを勉強できた」と話したという。 このオギハラは、当時世界一の金型加工技術を持っていたとされ、まさに、経済安全保障の技術流出例の典型例であった。 さて、BYDを例になぜ中国製自動車が危険なのかを述べてみたい。 中国政府の動きがヒントとなる。 中国はテスラ社製自動車の軍施設や軍関係者の居住地などへの乗り入れを禁止している。 その理由は、自動車のGPS情報による施設内の主要場所の把握や車載カメラの動画情報など多くのデータが収集されることを警戒していることにあるとみられる。 これはつまり、路線バスなどに加え、例えば宅配業者に中国製自動車を普及させ、自衛隊基地に出入りすることが可能になれば、基地内の施設の場所が容易に把握できることを意味している。 また、「動くスマートフォン」といわれる現代の自動車においては、例えばコネクテッドカーにおいては、ハッキングやバックドアによってナビでの検索履歴はもちろん、過去の移動ルート、さらには電子メールやメッセージ、通話履歴にアクセスされる危険性も指摘されている。 中国は各国のインフラに中国製自動車を普及させることにより、自動車を通じて相手国の多大な情報を収集することが可能となる』、「路線バスなどに加え、例えば宅配業者に中国製自動車を普及させ、自衛隊基地に出入りすることが可能になれば、基地内の施設の場所が容易に把握できることを意味している。 また、「動くスマートフォン」といわれる現代の自動車においては、例えばコネクテッドカーにおいては、ハッキングやバックドアによってナビでの検索履歴はもちろん、過去の移動ルート、さらには電子メールやメッセージ、通話履歴にアクセスされる危険性も指摘されている。 中国は各国のインフラに中国製自動車を普及させることにより、自動車を通じて相手国の多大な情報を収集することが可能となる」、大変だ。
・『米フィットネスアプリで暴かれた米軍の秘密基地 EVが位置情報をトラッキングすることで施設内の位置関係が把握できるのと同様の危険性は、GPS情報を取得するスマートフォンアプリにも指摘できる。 スマートフォンなどのGPS情報を使ってジョギングなどのアクティビティーを記録・分析できる米国発のサービスフィットネスアプリ「Strava」に搭載された機能「Heatmap」が、アメリカ軍のトップシークレットであった秘密基地の存在を浮き彫りにした。 このHeatmap機能は、アプリを使っている人がどの場所で多くのアクティビティーを行っているのかを色で示すことができる。Strava社が公開したHeatmapにアクティビティーの情報が色によって示され、米軍基地で任務にあたる兵士などがスマートフォンやスマートウォッチなどのウエアラブル端末のトラッキング機能をオンにしたままにしたことにより、その活動の全てが記録され、基地の場所が暴露されてしまった。 この画像はHeatmapで把握されたニジェールのフランス軍基地である。位置情報を収集し続けることにより、施設の形がくっきりと可視化される。フィットネスアプリにはこのような危険性が潜むのだ。 Stravaは中国製アプリではないが、いずれにせよ、中国製電気自動車も含めた、位置情報をトラッキングできる商品の普及によるリスクはご理解いただけたのではないだろうか』、「中国製電気自動車も含めた、位置情報をトラッキングできる商品の普及によるリスク」、確かに気を付けるべきだ。
・『日本の農業における中国製ドローンの危険性 ドローンについても、位置情報やカメラを通じた施設情報の収集の危険が指摘される。だが、問題はそれだけではない。 韓国では、農業用ドローンのシェアのうち中国製ドローンが7割を超える。 韓国自治体が農業用ドローンの支援事業を進める際、中国企業の製品に合わせた規格で入札を実施していることが背景にある。 この農業用ドローンについて、ドローンの農薬散布手法などの農業の生産性に関わる重要な農業防除データが中国に流れる可能性も指摘されており。食糧安全保障を脅かしている状態だ。 日本においても、日本の農業用ドローンのうち実に7割程度が中国企業であるDJI製だと推定されており、韓国と同様の危険が顕在化している。 ここまで、中国製アプリを代表に、いくつかの中国製品が日本に浸透することによる危険性について例示して解説したが、日本においてどれだけの人がこの危険性を認識しているだろうか。 その危険性に関する認識・意識が甘ければ、その脅威にのみ込まれる未来しかないだろう。 中国製品の全てを疑い、全て忌避しろとは言わないが、せめて各国で指摘されている危険性については認識し、自身で判断できる意識は持っておきたい。そして、国としても明確に危険性が指摘されている製品については、国民に知らせる責務があると考える。 いずれにせよ、カウンターインテリジェンス(防諜)の重要性について、国民の意識や関心を高めることが、迫る脅威に立ち向かう最大の防御策となるだろう』、「日本においても、日本の農業用ドローンのうち実に7割程度が中国企業であるDJI製だと推定されており、韓国と同様の危険が顕在化している・・・日本においても、日本の農業用ドローンのうち実に7割程度が中国企業であるDJI製だと推定されており、韓国と同様の危険が顕在化している・・・カウンターインテリジェンス(防諜)の重要性について、国民の意識や関心を高めることが、迫る脅威に立ち向かう最大の防御策となるだろう」、その通りだ。
次に、8月12日付けダイヤモンド・オンラインが掲載した日本カウンターインテリジェンス協会代表理事の稲村 悠氏による「中国への情報流出、アプリ以外も危険!日本に普及中「最新中国製品」も要注意」を紹介しよう。
https://diamond.jp/articles/-/327406
・『プロパガンダ工作に適したTikTokの危険性 中国企業が運営する動画共有アプリ「TikTok」について、かねてその危険性は指摘されている。 米経済誌「フォーブス」によれば、TikTokは、欧州のユーザーに向けて、中国政府のプロパガンダ機関による広告を大量に配信してきたことが、7月20日に公開された広告ライブラリーから明らかになったという。広告の中には、新疆ウイグル自治区を観光地として宣伝するものや中国によるコロナ政策を賛辞するものなどが含まれているという。 また、プロパガンダ工作に適した動画を意図的に“おすすめ動画”にして多くのユーザーに閲覧させたり、意図的に特定の動画を排除、浮上させるなど、プロパガンダにはうってつけのアプリのようだ。 さらにTikTokユーザーの情報が意図的に中国に収集される危険性も指摘されており、過去には一部のスタッフが、2人のジャーナリストを含むアメリカ市民のユーザーデータに不適切にアクセスしたと、ニューヨーク・タイムズが報じている。 TikTokのプロパガンダ機能やスパイアプリとしての危険性は広く知られつつあるが、注意すべきアプリはTikTokだけではない』、「TikTok」は情報セキュリティ上極めて問題が多い怖いソフトのようだ。
・『8月に日本でリリースされた格安ECアプリの「Temu」 「ピンドゥオドゥオ(拼多多)」というアプリをご存じだろうか。 ピンドゥオドゥオは、2015年に上海で創業した企業PDDホールディングスがリリースした、月間7億5000万人が利用する中国3位のECアプリであるが、実は、ユーザーの通話記録や文字メッセージ、写真アルバムなどに不正アクセスしていたことが明らかになっている。 CNNは、ピンドゥオドゥオに不正なコードが発見され、グーグルのアンドロイドOSの脆弱(ぜいじゃく)性を利用し、ユーザーの同意なく、携帯電話の使用内容やデータにアクセスしていることが判明したと報じている。 ピンドゥオドゥオのアプリに内蔵された不正なコードは、一度インストールすると、アプリを削除しても、不正なコードを除去することが非常に難しいとみられている。 そして、その「ピンドゥオドゥオ」をリリースしたPDDホールディングスから、格安ECアプリ「Temu」が日本でリリースされ、8月2日現在でAppstoreの無料Appランキングで1位を獲得している。さらに2位は「TikTok Lite」だ。 これらアプリによって、ユーザーの情報が同意なく収集された場合、その情報は中国による諜報(ちょうほう)活動や情報戦、プロパガンダ工作などの各種工作活動に活用されるのは言うまでもない。 仮に、ここまで解説したアプリの運営会社に悪意がなくとも、中国には、善意の企業さえ政府の意図に従わせる法的根拠がある。 中国の国家情報法は、安全保障や治安維持のために、企業も民間人も中国政府の情報収集活動に協力しなければならないと義務づけ、中国政府は企業などが持つデータをいつでも要求できる。要は、中国政府が情報を出せと言えば、企業は従わざるを得ないのだ。同法は、日本をはじめ外国の企業も当然対象となる。 ちなみに、これは運営企業が“善意”で運営していたら、という仮定の話である。アプリの運営会社の中には、中国政府の意向に忠実で、アプリを世界で流行させ、バックドアを仕掛け、日常的に情報を収集する意図を持っている会社もあり得るだろう』、「格安ECアプリ「Temu」が日本でリリースされ、8月2日現在でAppstoreの無料Appランキングで1位を獲得している。さらに2位は「TikTok Lite」だ。 これらアプリによって、ユーザーの情報が同意なく収集された場合、その情報は中国による諜報(ちょうほう)活動や情報戦、プロパガンダ工作などの各種工作活動に活用されるのは言うまでもない」、「日本」も大いに注意すべきだ。
・『アプリだけではない中国製自動車の脅威 注意すべきは、アプリだけではない。 中国製電気自動車(EV)の日本進出が進んでいる。 テスラを抜き、EV販売台数世界一となった中国自動車メーカー「比亜迪(BYD)」が日本に本格進出を開始、既に日本の交通機関にも食い込んでおり、京阪バスが京都市内を走る路線においてBYD製EVバスの運行を始めている。 ちなみに、このBYDであるが、BYDの日本法人社長の劉学亮氏が、東京新聞の取材に対し、「2010年に、金型メーカー・オギハラの館林工場を買収し、この金型企業から日本のものづくりを勉強できた」と話したという。 このオギハラは、当時世界一の金型加工技術を持っていたとされ、まさに、経済安全保障の技術流出例の典型例であった。 さて、BYDを例になぜ中国製自動車が危険なのかを述べてみたい。 中国政府の動きがヒントとなる。 中国はテスラ社製自動車の軍施設や軍関係者の居住地などへの乗り入れを禁止している。 その理由は、自動車のGPS情報による施設内の主要場所の把握や車載カメラの動画情報など多くのデータが収集されることを警戒していることにあるとみられる。 これはつまり、路線バスなどに加え、例えば宅配業者に中国製自動車を普及させ、自衛隊基地に出入りすることが可能になれば、基地内の施設の場所が容易に把握できることを意味している。 また、「動くスマートフォン」といわれる現代の自動車においては、例えばコネクテッドカーにおいては、ハッキングやバックドアによってナビでの検索履歴はもちろん、過去の移動ルート、さらには電子メールやメッセージ、通話履歴にアクセスされる危険性も指摘されている。 中国は各国のインフラに中国製自動車を普及させることにより、自動車を通じて相手国の多大な情報を収集することが可能となる』、「「動くスマートフォン」といわれる現代の自動車においては、例えばコネクテッドカーにおいては、ハッキングやバックドアによってナビでの検索履歴はもちろん、過去の移動ルート、さらには電子メールやメッセージ、通話履歴にアクセスされる危険性も指摘されている」、なるほど。
・『米フィットネスアプリで暴かれた米軍の秘密基地 EVが位置情報をトラッキングすることで施設内の位置関係が把握できるのと同様の危険性は、GPS情報を取得するスマートフォンアプリにも指摘できる。 スマートフォンなどのGPS情報を使ってジョギングなどのアクティビティーを記録・分析できる米国発のサービスフィットネスアプリ「Strava」に搭載された機能「Heatmap」が、アメリカ軍のトップシークレットであった秘密基地の存在を浮き彫りにした。 このHeatmap機能は、アプリを使っている人がどの場所で多くのアクティビティーを行っているのかを色で示すことができる。Strava社が公開したHeatmapにアクティビティーの情報が色によって示され、米軍基地で任務にあたる兵士などがスマートフォンやスマートウォッチなどのウエアラブル端末のトラッキング機能をオンにしたままにしたことにより、その活動の全てが記録され、基地の場所が暴露されてしまった。 この画像はHeatmapで把握されたニジェールのフランス軍基地である。位置情報を収集し続けることにより、施設の形がくっきりと可視化される。フィットネスアプリにはこのような危険性が潜むのだ。 Stravaは中国製アプリではないが、いずれにせよ、中国製電気自動車も含めた、位置情報をトラッキングできる商品の普及によるリスクはご理解いただけたのではないだろうか』、「中国製電気自動車も含めた、位置情報をトラッキングできる商品の普及によるリスク」に十分に注意する必要がある。
・『日本の農業における中国製ドローンの危険性 ドローンについても、位置情報やカメラを通じた施設情報の収集の危険が指摘される。だが、問題はそれだけではない。 韓国では、農業用ドローンのシェアのうち中国製ドローンが7割を超える。 韓国自治体が農業用ドローンの支援事業を進める際、中国企業の製品に合わせた規格で入札を実施していることが背景にある。 この農業用ドローンについて、ドローンの農薬散布手法などの農業の生産性に関わる重要な農業防除データが中国に流れる可能性も指摘されており。食糧安全保障を脅かしている状態だ。 日本においても、日本の農業用ドローンのうち実に7割程度が中国企業であるDJI製だと推定されており、韓国と同様の危険が顕在化している。 ここまで、中国製アプリを代表に、いくつかの中国製品が日本に浸透することによる危険性について例示して解説したが、日本においてどれだけの人がこの危険性を認識しているだろうか。 その危険性に関する認識・意識が甘ければ、その脅威にのみ込まれる未来しかないだろう。 中国製品の全てを疑い、全て忌避しろとは言わないが、せめて各国で指摘されている危険性については認識し、自身で判断できる意識は持っておきたい。そして、国としても明確に危険性が指摘されている製品については、国民に知らせる責務があると考える。 いずれにせよ、カウンターインテリジェンス(防諜)の重要性について、国民の意識や関心を高めることが、迫る脅威に立ち向かう最大の防御策となるだろう』、「中国製品の全てを疑い、全て忌避しろとは言わないが、せめて各国で指摘されている危険性については認識し、自身で判断できる意識は持っておきたい。そして、国としても明確に危険性が指摘されている製品については、国民に知らせる責務があると考える」、その通りだ。
第三に、本年1月26日付け東洋経済オンラインが掲載したライター の長谷川 敦氏による「「CISOが不在」日本企業の重大すぎる経営リスク 生成AIによる効率的なセキュリティ対策も課題」を紹介しよう。
https://toyokeizai.net/articles/-/729787
・『日本はセキュリティ人材の不足が長らく続いているが、現場だけでなく、統括を担う「CISO(Chief Information Security Officer、最高情報セキュリティ責任者)」も足りていない。 NRIセキュアテクノロジーズが2024年1月25日に発表した「企業における情報セキュリティ実態調査 NRI Secure Insight 2023」によれば、CISOを設置している日本企業は、アメリカやオーストラリアの半数以下にとどまっている。 CISO未設置の経営リスクや人材確保のポイントについて、情報セキュリティ実態調査の監修を務めた同社DXセキュリティプラットフォーム事業本部本部長の足立道拡氏に聞いた』、「CISOを設置している日本企業は、アメリカやオーストラリアの半数以下」、致命的な立ち遅れだ。
・『経営とセキュリティの両方がわかる人材が必要 「CISOは、CEO(最高経営責任者)をはじめとする経営層と、現場のセキュリティ担当者をつなぐ『通訳』の役割を担っている」と、足立氏は言う。 経営層は、セキュリティ対策の重要性を認識していても、具体的にどのような対策を打てばよいのか理解していないケースが多い。一方の現場でも、対策の必要性について経営層をどう説得すればよいのかわからず「予算獲得が難しい」と苦しむセキュリティ担当者が多いそうだ) だからこそ、経営とセキュリティの両方を理解しているCISOの存在が不可欠だという。実際、CISOが不在の企業においては、次のようなリスクがあると足立氏は指摘する。 「CISOが不在だと、本来投じるべき予算が確保されない事態が生じやすくなる。その結果、技術的な対策ができず『従業員への注意喚起や周知』といった人的対策にとどまることも多い。 今の時代は、企業規模を問わずサイバー攻撃に遭うリスクがあるので、大企業に限らずサプライチェーンの一翼を担う中小企業も、経営層と現場をつなぐ責任者を置いてほしい。本来なら専任が望ましいが、兼務でもかまわない。現状、CIO(最高情報責任者)やCTO(最高技術責任者)がCISOを兼務する形などが多い」 前述のNRIセキュアテクノロジーズの実態調査によれば、CISOを設置している企業は、アメリカでは95.5%、オーストラリアでは97.4%に達していたのに対して、日本は41.1%と大きな差が確認された。) 従業員数が多いほどCISOの設置率も高い傾向にあるが、なぜ日本企業は海外と比べて遅れているのか。足立氏はこう説明する。 「アメリカでは、2013年に重要インフラのサイバーセキュリティ強化に関する大統領令が出て以降、対策は国の重要なイシューになった。現状、』、「CISOを設置している企業は、アメリカでは95.5%、オーストラリアでは97.4%に達していたのに対して、日本は41.1%と大きな差・・・日本企業においては『セキュリティ対策はコスト』という発想が根強く、対策の必要性が認識され始めたのは2018年頃のことと捉えている。そのためCISOを担える人材が十分には育っておらず、キャリアパスが確立されていないこともあり、設置が進まない状況になっている」、なるほど。
・『「すべての能力を備えた人物」を求めないこと では、適任者が不足している中で、企業はどのように人材を確保していけばよいのだろうか。 CISOには「セキュリティの知識・技術」「戦略・会計などのビジネススキル」「リーダーシップと意思決定力」「コミュニケーションスキル」など、広範な知識やスキル、能力が求められる。今の日本では、これらをすべて兼ね備えたスーパーマンのような人材を、社内で見つけるのも外部から調達してくるのも容易ではない。 そのため、「1つでも優れた素養を持っている人物を任命し、『経験を積みながら、中長期的にCISOとして育ってもらえばいい』という意識で臨むことが大事」だと足立氏は助言する。 例えばセキュリティに関する知識や技術は不十分でも、高い統率力を備え戦略立案の経験も豊富にある人材を任命しようとすると、人材確保のハードルも下がるのではないだろうか。実際、日本のCISOは、さまざまなバックグラウンドを持つ人材が多いという。 「元CIOやセキュリティベンダー出身者などを外部から採用し、CISOに任命する動きが出てきた。この流れが浸透すると設置率は高まるのではないか。新任のCISOに不足している部分がある場合には、その分野を得意とするほかのメンバーを補佐役として置くなど、CISOをチームとして機能させていけばいい」 チーム体制を組むことは、次期CISO候補を育成していくうえでも有効だという。例えば外部からビジネススキルが高い人をCISOとして採用してチームを組んだ場合、セキュリティ対策に詳しい若手・中堅の社員が、CISOから優れたリーダーシップや経営視点を間近で学び、「経営とセキュリティの両方の視点を備えた人材」へと成長していくことが期待できる。) またCISOの設置後には、経営トップによるCISOへのバックアップが重要になると足立氏は言う。 「CISOは、普段の業務が賞賛されることはほとんどないうえ、自社がサイバー攻撃を受けて被害が発生した場合、非難を浴びることになりがち。そのためアメリカでもCISOが抱える孤立感やプレッシャーが大きな問題となっている。経営トップがCISOに対して、執行に必要な権限とリソースを与えたうえで、その立場を理解し、支援する姿勢を示さないと、社内にCISOを根づかせることは困難になる」 最近では、CISO同士がさまざまな課題や悩み事について率直に話し合える社外のコミュニティーが生まれている。そうしたつながりをつくることは、CISOの孤立を防ぐうえでも、学びを深めていくうえでも効果があるという』、「これらをすべて兼ね備えたスーパーマンのような人材を、社内で見つけるのも外部から調達してくるのも容易ではない・・・1つでも優れた素養を持っている人物を任命し、『経験を積みながら、中長期的にCISOとして育ってもらえばいい』という意識で臨むことが大事」だと足立氏は助言する」、現実的なアプローチだ。
・『セキュリティ対策をコストと考える企業に人は来ない 今回の調査では、企業規模によらず約9割の企業が「セキュリティ人材が不足している」と回答している。すでに10年以上、同様の傾向が続いているといい、セキュリティ人材が完全な売り手市場になっている中、「セキュリティ対策を単なるコストと考えている企業に人は来ないし定着もしない」と足立氏は警鐘を鳴らす。 「優秀な人材を確保するには、CISOの設置などによって、セキュリティ分野の充実に力を入れており、新しいチャレンジもできるカルチャーであることをアピールできるかが重要になる」 ただし、日本社会全体の労働生産人口が減少し、セキュリティ担当者の業務が増え続けている中では、人材確保の発想だけでは限界があり、限られた人材で業務を回せるよう効率化を図っていくことも大切になる。 今回の調査では、そうした効率化の面でも日本企業に課題があることが浮き彫りになった。生成AIの導入状況を尋ねた項目において、アメリカでは73.5%、オーストラリアでは66.2%の企業が「導入済み」と答えたのに対して、日本は18%に過ぎなかったのだ。) しかも、アメリカやオーストラリアはルールの整備にかかわらず導入率が高いのに対し、日本は従業員数1万人以上の企業で50%が導入しているものの、ほとんどがルールを整備したうえでの導入となっており、慎重さが目立つ結果となった。 (生成AIのルール整備と導入状況 はリンク先参照)』、「「セキュリティ対策を単なるコストと考えている企業に人は来ないし定着もしない」と足立氏は警鐘を鳴らす。 「優秀な人材を確保するには、CISOの設置などによって、セキュリティ分野の充実に力を入れており、新しいチャレンジもできるカルチャーであることをアピールできるかが重要になる」、なるほど。
・『生成AIへの対応が業務効率化のカギとなる また同調査では、「生成AIサービスの利用を検討するにあたり、懸念や課題となること」についても企業に尋ねているが、目立った差が出たのが「自社業務に応用できる人材の不足」を挙げる企業の割合だった。アメリカが20.4%、オーストラリアが8.0%だったのに対して、日本企業は28.7%に上る。 こうした結果について足立氏は次のように述べる。 「新しい技術のリスクを考慮することは悪いことではないが、慎重すぎるままでは、業務の効率化という点でますます後れを取るだろう。セキュリティ業務の自動化や省力化は、今後生成AIがかなり担えるようになることが考えられ、人材不足を補う有効策となりうる。経営者は、そうしたソリューションの導入にブレーキをかけるべきではない。 また生成AIを自社業務に応用できる人材を確保するには、従業員が生成AIに触れて慣れる機会を奨励することが欠かせない。素養がありそうな人に業務と生成AIの双方を学ぶ環境を提供し、ミニマムルールと共に、中長期視点で育てていく視点も必要だろう」 今後、生成AIサービスを活用したセキュリティ対策が広がっていくであろうことを踏まえても、やはりコストを含めセキュリティ戦略を設計するCISOはキーパーソンとなるだろう。CISOの設置は今、企業にとって喫緊の課題となっている』、「今後、生成AIサービスを活用したセキュリティ対策が広がっていくであろうことを踏まえても、やはりコストを含めセキュリティ戦略を設計するCISOはキーパーソンとなるだろう。CISOの設置は今、企業にとって喫緊の課題となっている」、その通りだ。
先ずは、昨年8月8日付けForbes「中国ハッカーが日本の防衛機密をハッキング、米国の通報で発覚」を紹介しよう。
・『ワシントン・ポストは8月7日、中国の軍事ハッカーが2020年以降、日本の防衛機密ネットワークにアクセスし、米国の同盟国である日本の軍事能力や計画に関する情報にアクセスしていたと報じた。 このハッキングは米国の国家安全保障局(NSA)によって2020年秋に発見されたという。中国の人民解放軍のハッカーらは、日本の自衛隊の計画や能力、軍事的欠点の評価にアクセスするなど、深く執拗な情報収集を行っていたと、複数の米国の元高官がポスト紙に語っている。 報告を受けたNSAと米サイバー軍のトップのポール・ナカソネ陸軍大将と、当時ホワイトハウスの国家安全保障副顧問だったマシュー・ポッティンジャーが東京に急行して防衛大臣に説明を行い、首相にも伝えたとポスト紙は報じている。 このハッキングはトランプ政権下で始まったが、バイデン政権下でも続き、2021年には日本の防衛システムへの侵入が続いていることを示す新たなデータが発見され、情報漏洩が続いていることが発覚した。日米の両国は最終的に、日本の民間企業の手を借りて脆弱性を評価することに合意し、米国のNSAとサイバー軍のチームがその調査結果を確認し、情報漏洩を防ぐ方法について提言を行ったという。 フォーブスは、国務省にコメントを求めたが現時点で回答は得られていない。 「これは衝撃的なほどに酷い情報漏洩だった」とポスト紙の取材に応じた元米軍関係者は語っている。 日本の政府関係者は、ネットワークセキュリティを強化するために、今後5年間で自衛隊のサイバーセキュリティ部隊を4000人規模にすると述べている。さらに、ネットワークを24時間365日監視するサイバー司令部を発足させ、5年間で70億ドル(約1兆円)をサイバーセキュリティに費やす計画だと日本の防衛関係者はポスト紙の取材に語った。 「今回のハッキングにおける日本の当局の対応の遅さは、米国が同盟国である日本と共有する情報の量を減らすことにつながるかもしれない」と米政府関係者はポスト紙に語った』、「日本の防衛当局」の「ハッキングにおける対応の遅さ」は、」、「米国が同盟国である日本と共有する情報の量を減らすことにつながるかもしれない」、全くみっともない限りだ。
次に、昨年8月12日付けダイヤモンド・オンラインが掲載した日本カウンターインテリジェンス協会代表理事の稲村 悠氏による「中国への情報流出、アプリ以外も危険!日本に普及中「最新中国製品」も要注意」を紹介しよう。
https://diamond.jp/articles/-/327406
・『プロパガンダ工作に適したTikTokの危険性 中国企業が運営する動画共有アプリ「TikTok」について、かねてその危険性は指摘されている。 米経済誌「フォーブス」によれば、TikTokは、欧州のユーザーに向けて、中国政府のプロパガンダ機関による広告を大量に配信してきたことが、7月20日に公開された広告ライブラリーから明らかになったという。広告の中には、新疆ウイグル自治区を観光地として宣伝するものや中国によるコロナ政策を賛辞するものなどが含まれているという。 また、プロパガンダ工作に適した動画を意図的に“おすすめ動画”にして多くのユーザーに閲覧させたり、意図的に特定の動画を排除、浮上させるなど、プロパガンダにはうってつけのアプリのようだ。 さらにTikTokユーザーの情報が意図的に中国に収集される危険性も指摘されており、過去には一部のスタッフが、2人のジャーナリストを含むアメリカ市民のユーザーデータに不適切にアクセスしたと、ニューヨーク・タイムズが報じている。 TikTokのプロパガンダ機能やスパイアプリとしての危険性は広く知られつつあるが、注意すべきアプリはTikTokだけではない』、「TikTok」は、「プロパガンダ工作に適した動画を意図的に“おすすめ動画”にして多くのユーザーに閲覧させたり、意図的に特定の動画を排除、浮上させるなど、プロパガンダにはうってつけのアプリのようだ。 さらにTikTokユーザーの情報が意図的に中国に収集される危険性も指摘されており、過去には一部のスタッフが、2人のジャーナリストを含むアメリカ市民のユーザーデータに不適切にアクセスしたと、ニューヨーク・タイムズが報じている」、なるほど。
・『8月に日本でリリースされた格安ECアプリの「Temu」 「ピンドゥオドゥオ(拼多多)」というアプリをご存じだろうか。 ピンドゥオドゥオは、2015年に上海で創業した企業PDDホールディングスがリリースした、月間7億5000万人が利用する中国3位のECアプリであるが、実は、ユーザーの通話記録や文字メッセージ、写真アルバムなどに不正アクセスしていたことが明らかになっている。 CNNは、ピンドゥオドゥオに不正なコードが発見され、グーグルのアンドロイドOSの脆弱(ぜいじゃく)性を利用し、ユーザーの同意なく、携帯電話の使用内容やデータにアクセスしていることが判明したと報じている。 ピンドゥオドゥオのアプリに内蔵された不正なコードは、一度インストールすると、アプリを削除しても、不正なコードを除去することが非常に難しいとみられている。 そして、その「ピンドゥオドゥオ」をリリースしたPDDホールディングスから、格安ECアプリ「Temu」が日本でリリースされ、8月2日現在でAppstoreの無料Appランキングで1位を獲得している。さらに2位は「TikTok Lite」だ。 これらアプリによって、ユーザーの情報が同意なく収集された場合、その情報は中国による諜報(ちょうほう)活動や情報戦、プロパガンダ工作などの各種工作活動に活用されるのは言うまでもない。 仮に、ここまで解説したアプリの運営会社に悪意がなくとも、中国には、善意の企業さえ政府の意図に従わせる法的根拠がある。 中国の国家情報法は、安全保障や治安維持のために、企業も民間人も中国政府の情報収集活動に協力しなければならないと義務づけ、中国政府は企業などが持つデータをいつでも要求できる。要は、中国政府が情報を出せと言えば、企業は従わざるを得ないのだ。同法は、日本をはじめ外国の企業も当然対象となる。 ちなみに、これは運営企業が“善意”で運営していたら、という仮定の話である。アプリの運営会社の中には、中国政府の意向に忠実で、アプリを世界で流行させ、バックドアを仕掛け、日常的に情報を収集する意図を持っている会社もあり得るだろう』、「格安ECアプリ「Temu」が日本でリリースされ、8月2日現在でAppstoreの無料Appランキングで1位を獲得している。さらに2位は「TikTok Lite」だ。 これらアプリによって、ユーザーの情報が同意なく収集された場合、その情報は中国による諜報(ちょうほう)活動や情報戦、プロパガンダ工作などの各種工作活動に活用されるのは言うまでもない」、恐ろしいことだ。
・『アプリだけではない中国製自動車の脅威 注意すべきは、アプリだけではない。 中国製電気自動車(EV)の日本進出が進んでいる。 テスラを抜き、EV販売台数世界一となった中国自動車メーカー「比亜迪(BYD)」が日本に本格進出を開始、既に日本の交通機関にも食い込んでおり、京阪バスが京都市内を走る路線においてBYD製EVバスの運行を始めている。 ちなみに、このBYDであるが、BYDの日本法人社長の劉学亮氏が、東京新聞の取材に対し、「2010年に、金型メーカー・オギハラの館林工場を買収し、この金型企業から日本のものづくりを勉強できた」と話したという。 このオギハラは、当時世界一の金型加工技術を持っていたとされ、まさに、経済安全保障の技術流出例の典型例であった。 さて、BYDを例になぜ中国製自動車が危険なのかを述べてみたい。 中国政府の動きがヒントとなる。 中国はテスラ社製自動車の軍施設や軍関係者の居住地などへの乗り入れを禁止している。 その理由は、自動車のGPS情報による施設内の主要場所の把握や車載カメラの動画情報など多くのデータが収集されることを警戒していることにあるとみられる。 これはつまり、路線バスなどに加え、例えば宅配業者に中国製自動車を普及させ、自衛隊基地に出入りすることが可能になれば、基地内の施設の場所が容易に把握できることを意味している。 また、「動くスマートフォン」といわれる現代の自動車においては、例えばコネクテッドカーにおいては、ハッキングやバックドアによってナビでの検索履歴はもちろん、過去の移動ルート、さらには電子メールやメッセージ、通話履歴にアクセスされる危険性も指摘されている。 中国は各国のインフラに中国製自動車を普及させることにより、自動車を通じて相手国の多大な情報を収集することが可能となる』、「路線バスなどに加え、例えば宅配業者に中国製自動車を普及させ、自衛隊基地に出入りすることが可能になれば、基地内の施設の場所が容易に把握できることを意味している。 また、「動くスマートフォン」といわれる現代の自動車においては、例えばコネクテッドカーにおいては、ハッキングやバックドアによってナビでの検索履歴はもちろん、過去の移動ルート、さらには電子メールやメッセージ、通話履歴にアクセスされる危険性も指摘されている。 中国は各国のインフラに中国製自動車を普及させることにより、自動車を通じて相手国の多大な情報を収集することが可能となる」、大変だ。
・『米フィットネスアプリで暴かれた米軍の秘密基地 EVが位置情報をトラッキングすることで施設内の位置関係が把握できるのと同様の危険性は、GPS情報を取得するスマートフォンアプリにも指摘できる。 スマートフォンなどのGPS情報を使ってジョギングなどのアクティビティーを記録・分析できる米国発のサービスフィットネスアプリ「Strava」に搭載された機能「Heatmap」が、アメリカ軍のトップシークレットであった秘密基地の存在を浮き彫りにした。 このHeatmap機能は、アプリを使っている人がどの場所で多くのアクティビティーを行っているのかを色で示すことができる。Strava社が公開したHeatmapにアクティビティーの情報が色によって示され、米軍基地で任務にあたる兵士などがスマートフォンやスマートウォッチなどのウエアラブル端末のトラッキング機能をオンにしたままにしたことにより、その活動の全てが記録され、基地の場所が暴露されてしまった。 この画像はHeatmapで把握されたニジェールのフランス軍基地である。位置情報を収集し続けることにより、施設の形がくっきりと可視化される。フィットネスアプリにはこのような危険性が潜むのだ。 Stravaは中国製アプリではないが、いずれにせよ、中国製電気自動車も含めた、位置情報をトラッキングできる商品の普及によるリスクはご理解いただけたのではないだろうか』、「中国製電気自動車も含めた、位置情報をトラッキングできる商品の普及によるリスク」、確かに気を付けるべきだ。
・『日本の農業における中国製ドローンの危険性 ドローンについても、位置情報やカメラを通じた施設情報の収集の危険が指摘される。だが、問題はそれだけではない。 韓国では、農業用ドローンのシェアのうち中国製ドローンが7割を超える。 韓国自治体が農業用ドローンの支援事業を進める際、中国企業の製品に合わせた規格で入札を実施していることが背景にある。 この農業用ドローンについて、ドローンの農薬散布手法などの農業の生産性に関わる重要な農業防除データが中国に流れる可能性も指摘されており。食糧安全保障を脅かしている状態だ。 日本においても、日本の農業用ドローンのうち実に7割程度が中国企業であるDJI製だと推定されており、韓国と同様の危険が顕在化している。 ここまで、中国製アプリを代表に、いくつかの中国製品が日本に浸透することによる危険性について例示して解説したが、日本においてどれだけの人がこの危険性を認識しているだろうか。 その危険性に関する認識・意識が甘ければ、その脅威にのみ込まれる未来しかないだろう。 中国製品の全てを疑い、全て忌避しろとは言わないが、せめて各国で指摘されている危険性については認識し、自身で判断できる意識は持っておきたい。そして、国としても明確に危険性が指摘されている製品については、国民に知らせる責務があると考える。 いずれにせよ、カウンターインテリジェンス(防諜)の重要性について、国民の意識や関心を高めることが、迫る脅威に立ち向かう最大の防御策となるだろう』、「日本においても、日本の農業用ドローンのうち実に7割程度が中国企業であるDJI製だと推定されており、韓国と同様の危険が顕在化している・・・日本においても、日本の農業用ドローンのうち実に7割程度が中国企業であるDJI製だと推定されており、韓国と同様の危険が顕在化している・・・カウンターインテリジェンス(防諜)の重要性について、国民の意識や関心を高めることが、迫る脅威に立ち向かう最大の防御策となるだろう」、その通りだ。
次に、8月12日付けダイヤモンド・オンラインが掲載した日本カウンターインテリジェンス協会代表理事の稲村 悠氏による「中国への情報流出、アプリ以外も危険!日本に普及中「最新中国製品」も要注意」を紹介しよう。
https://diamond.jp/articles/-/327406
・『プロパガンダ工作に適したTikTokの危険性 中国企業が運営する動画共有アプリ「TikTok」について、かねてその危険性は指摘されている。 米経済誌「フォーブス」によれば、TikTokは、欧州のユーザーに向けて、中国政府のプロパガンダ機関による広告を大量に配信してきたことが、7月20日に公開された広告ライブラリーから明らかになったという。広告の中には、新疆ウイグル自治区を観光地として宣伝するものや中国によるコロナ政策を賛辞するものなどが含まれているという。 また、プロパガンダ工作に適した動画を意図的に“おすすめ動画”にして多くのユーザーに閲覧させたり、意図的に特定の動画を排除、浮上させるなど、プロパガンダにはうってつけのアプリのようだ。 さらにTikTokユーザーの情報が意図的に中国に収集される危険性も指摘されており、過去には一部のスタッフが、2人のジャーナリストを含むアメリカ市民のユーザーデータに不適切にアクセスしたと、ニューヨーク・タイムズが報じている。 TikTokのプロパガンダ機能やスパイアプリとしての危険性は広く知られつつあるが、注意すべきアプリはTikTokだけではない』、「TikTok」は情報セキュリティ上極めて問題が多い怖いソフトのようだ。
・『8月に日本でリリースされた格安ECアプリの「Temu」 「ピンドゥオドゥオ(拼多多)」というアプリをご存じだろうか。 ピンドゥオドゥオは、2015年に上海で創業した企業PDDホールディングスがリリースした、月間7億5000万人が利用する中国3位のECアプリであるが、実は、ユーザーの通話記録や文字メッセージ、写真アルバムなどに不正アクセスしていたことが明らかになっている。 CNNは、ピンドゥオドゥオに不正なコードが発見され、グーグルのアンドロイドOSの脆弱(ぜいじゃく)性を利用し、ユーザーの同意なく、携帯電話の使用内容やデータにアクセスしていることが判明したと報じている。 ピンドゥオドゥオのアプリに内蔵された不正なコードは、一度インストールすると、アプリを削除しても、不正なコードを除去することが非常に難しいとみられている。 そして、その「ピンドゥオドゥオ」をリリースしたPDDホールディングスから、格安ECアプリ「Temu」が日本でリリースされ、8月2日現在でAppstoreの無料Appランキングで1位を獲得している。さらに2位は「TikTok Lite」だ。 これらアプリによって、ユーザーの情報が同意なく収集された場合、その情報は中国による諜報(ちょうほう)活動や情報戦、プロパガンダ工作などの各種工作活動に活用されるのは言うまでもない。 仮に、ここまで解説したアプリの運営会社に悪意がなくとも、中国には、善意の企業さえ政府の意図に従わせる法的根拠がある。 中国の国家情報法は、安全保障や治安維持のために、企業も民間人も中国政府の情報収集活動に協力しなければならないと義務づけ、中国政府は企業などが持つデータをいつでも要求できる。要は、中国政府が情報を出せと言えば、企業は従わざるを得ないのだ。同法は、日本をはじめ外国の企業も当然対象となる。 ちなみに、これは運営企業が“善意”で運営していたら、という仮定の話である。アプリの運営会社の中には、中国政府の意向に忠実で、アプリを世界で流行させ、バックドアを仕掛け、日常的に情報を収集する意図を持っている会社もあり得るだろう』、「格安ECアプリ「Temu」が日本でリリースされ、8月2日現在でAppstoreの無料Appランキングで1位を獲得している。さらに2位は「TikTok Lite」だ。 これらアプリによって、ユーザーの情報が同意なく収集された場合、その情報は中国による諜報(ちょうほう)活動や情報戦、プロパガンダ工作などの各種工作活動に活用されるのは言うまでもない」、「日本」も大いに注意すべきだ。
・『アプリだけではない中国製自動車の脅威 注意すべきは、アプリだけではない。 中国製電気自動車(EV)の日本進出が進んでいる。 テスラを抜き、EV販売台数世界一となった中国自動車メーカー「比亜迪(BYD)」が日本に本格進出を開始、既に日本の交通機関にも食い込んでおり、京阪バスが京都市内を走る路線においてBYD製EVバスの運行を始めている。 ちなみに、このBYDであるが、BYDの日本法人社長の劉学亮氏が、東京新聞の取材に対し、「2010年に、金型メーカー・オギハラの館林工場を買収し、この金型企業から日本のものづくりを勉強できた」と話したという。 このオギハラは、当時世界一の金型加工技術を持っていたとされ、まさに、経済安全保障の技術流出例の典型例であった。 さて、BYDを例になぜ中国製自動車が危険なのかを述べてみたい。 中国政府の動きがヒントとなる。 中国はテスラ社製自動車の軍施設や軍関係者の居住地などへの乗り入れを禁止している。 その理由は、自動車のGPS情報による施設内の主要場所の把握や車載カメラの動画情報など多くのデータが収集されることを警戒していることにあるとみられる。 これはつまり、路線バスなどに加え、例えば宅配業者に中国製自動車を普及させ、自衛隊基地に出入りすることが可能になれば、基地内の施設の場所が容易に把握できることを意味している。 また、「動くスマートフォン」といわれる現代の自動車においては、例えばコネクテッドカーにおいては、ハッキングやバックドアによってナビでの検索履歴はもちろん、過去の移動ルート、さらには電子メールやメッセージ、通話履歴にアクセスされる危険性も指摘されている。 中国は各国のインフラに中国製自動車を普及させることにより、自動車を通じて相手国の多大な情報を収集することが可能となる』、「「動くスマートフォン」といわれる現代の自動車においては、例えばコネクテッドカーにおいては、ハッキングやバックドアによってナビでの検索履歴はもちろん、過去の移動ルート、さらには電子メールやメッセージ、通話履歴にアクセスされる危険性も指摘されている」、なるほど。
・『米フィットネスアプリで暴かれた米軍の秘密基地 EVが位置情報をトラッキングすることで施設内の位置関係が把握できるのと同様の危険性は、GPS情報を取得するスマートフォンアプリにも指摘できる。 スマートフォンなどのGPS情報を使ってジョギングなどのアクティビティーを記録・分析できる米国発のサービスフィットネスアプリ「Strava」に搭載された機能「Heatmap」が、アメリカ軍のトップシークレットであった秘密基地の存在を浮き彫りにした。 このHeatmap機能は、アプリを使っている人がどの場所で多くのアクティビティーを行っているのかを色で示すことができる。Strava社が公開したHeatmapにアクティビティーの情報が色によって示され、米軍基地で任務にあたる兵士などがスマートフォンやスマートウォッチなどのウエアラブル端末のトラッキング機能をオンにしたままにしたことにより、その活動の全てが記録され、基地の場所が暴露されてしまった。 この画像はHeatmapで把握されたニジェールのフランス軍基地である。位置情報を収集し続けることにより、施設の形がくっきりと可視化される。フィットネスアプリにはこのような危険性が潜むのだ。 Stravaは中国製アプリではないが、いずれにせよ、中国製電気自動車も含めた、位置情報をトラッキングできる商品の普及によるリスクはご理解いただけたのではないだろうか』、「中国製電気自動車も含めた、位置情報をトラッキングできる商品の普及によるリスク」に十分に注意する必要がある。
・『日本の農業における中国製ドローンの危険性 ドローンについても、位置情報やカメラを通じた施設情報の収集の危険が指摘される。だが、問題はそれだけではない。 韓国では、農業用ドローンのシェアのうち中国製ドローンが7割を超える。 韓国自治体が農業用ドローンの支援事業を進める際、中国企業の製品に合わせた規格で入札を実施していることが背景にある。 この農業用ドローンについて、ドローンの農薬散布手法などの農業の生産性に関わる重要な農業防除データが中国に流れる可能性も指摘されており。食糧安全保障を脅かしている状態だ。 日本においても、日本の農業用ドローンのうち実に7割程度が中国企業であるDJI製だと推定されており、韓国と同様の危険が顕在化している。 ここまで、中国製アプリを代表に、いくつかの中国製品が日本に浸透することによる危険性について例示して解説したが、日本においてどれだけの人がこの危険性を認識しているだろうか。 その危険性に関する認識・意識が甘ければ、その脅威にのみ込まれる未来しかないだろう。 中国製品の全てを疑い、全て忌避しろとは言わないが、せめて各国で指摘されている危険性については認識し、自身で判断できる意識は持っておきたい。そして、国としても明確に危険性が指摘されている製品については、国民に知らせる責務があると考える。 いずれにせよ、カウンターインテリジェンス(防諜)の重要性について、国民の意識や関心を高めることが、迫る脅威に立ち向かう最大の防御策となるだろう』、「中国製品の全てを疑い、全て忌避しろとは言わないが、せめて各国で指摘されている危険性については認識し、自身で判断できる意識は持っておきたい。そして、国としても明確に危険性が指摘されている製品については、国民に知らせる責務があると考える」、その通りだ。
第三に、本年1月26日付け東洋経済オンラインが掲載したライター の長谷川 敦氏による「「CISOが不在」日本企業の重大すぎる経営リスク 生成AIによる効率的なセキュリティ対策も課題」を紹介しよう。
https://toyokeizai.net/articles/-/729787
・『日本はセキュリティ人材の不足が長らく続いているが、現場だけでなく、統括を担う「CISO(Chief Information Security Officer、最高情報セキュリティ責任者)」も足りていない。 NRIセキュアテクノロジーズが2024年1月25日に発表した「企業における情報セキュリティ実態調査 NRI Secure Insight 2023」によれば、CISOを設置している日本企業は、アメリカやオーストラリアの半数以下にとどまっている。 CISO未設置の経営リスクや人材確保のポイントについて、情報セキュリティ実態調査の監修を務めた同社DXセキュリティプラットフォーム事業本部本部長の足立道拡氏に聞いた』、「CISOを設置している日本企業は、アメリカやオーストラリアの半数以下」、致命的な立ち遅れだ。
・『経営とセキュリティの両方がわかる人材が必要 「CISOは、CEO(最高経営責任者)をはじめとする経営層と、現場のセキュリティ担当者をつなぐ『通訳』の役割を担っている」と、足立氏は言う。 経営層は、セキュリティ対策の重要性を認識していても、具体的にどのような対策を打てばよいのか理解していないケースが多い。一方の現場でも、対策の必要性について経営層をどう説得すればよいのかわからず「予算獲得が難しい」と苦しむセキュリティ担当者が多いそうだ) だからこそ、経営とセキュリティの両方を理解しているCISOの存在が不可欠だという。実際、CISOが不在の企業においては、次のようなリスクがあると足立氏は指摘する。 「CISOが不在だと、本来投じるべき予算が確保されない事態が生じやすくなる。その結果、技術的な対策ができず『従業員への注意喚起や周知』といった人的対策にとどまることも多い。 今の時代は、企業規模を問わずサイバー攻撃に遭うリスクがあるので、大企業に限らずサプライチェーンの一翼を担う中小企業も、経営層と現場をつなぐ責任者を置いてほしい。本来なら専任が望ましいが、兼務でもかまわない。現状、CIO(最高情報責任者)やCTO(最高技術責任者)がCISOを兼務する形などが多い」 前述のNRIセキュアテクノロジーズの実態調査によれば、CISOを設置している企業は、アメリカでは95.5%、オーストラリアでは97.4%に達していたのに対して、日本は41.1%と大きな差が確認された。) 従業員数が多いほどCISOの設置率も高い傾向にあるが、なぜ日本企業は海外と比べて遅れているのか。足立氏はこう説明する。 「アメリカでは、2013年に重要インフラのサイバーセキュリティ強化に関する大統領令が出て以降、対策は国の重要なイシューになった。現状、』、「CISOを設置している企業は、アメリカでは95.5%、オーストラリアでは97.4%に達していたのに対して、日本は41.1%と大きな差・・・日本企業においては『セキュリティ対策はコスト』という発想が根強く、対策の必要性が認識され始めたのは2018年頃のことと捉えている。そのためCISOを担える人材が十分には育っておらず、キャリアパスが確立されていないこともあり、設置が進まない状況になっている」、なるほど。
・『「すべての能力を備えた人物」を求めないこと では、適任者が不足している中で、企業はどのように人材を確保していけばよいのだろうか。 CISOには「セキュリティの知識・技術」「戦略・会計などのビジネススキル」「リーダーシップと意思決定力」「コミュニケーションスキル」など、広範な知識やスキル、能力が求められる。今の日本では、これらをすべて兼ね備えたスーパーマンのような人材を、社内で見つけるのも外部から調達してくるのも容易ではない。 そのため、「1つでも優れた素養を持っている人物を任命し、『経験を積みながら、中長期的にCISOとして育ってもらえばいい』という意識で臨むことが大事」だと足立氏は助言する。 例えばセキュリティに関する知識や技術は不十分でも、高い統率力を備え戦略立案の経験も豊富にある人材を任命しようとすると、人材確保のハードルも下がるのではないだろうか。実際、日本のCISOは、さまざまなバックグラウンドを持つ人材が多いという。 「元CIOやセキュリティベンダー出身者などを外部から採用し、CISOに任命する動きが出てきた。この流れが浸透すると設置率は高まるのではないか。新任のCISOに不足している部分がある場合には、その分野を得意とするほかのメンバーを補佐役として置くなど、CISOをチームとして機能させていけばいい」 チーム体制を組むことは、次期CISO候補を育成していくうえでも有効だという。例えば外部からビジネススキルが高い人をCISOとして採用してチームを組んだ場合、セキュリティ対策に詳しい若手・中堅の社員が、CISOから優れたリーダーシップや経営視点を間近で学び、「経営とセキュリティの両方の視点を備えた人材」へと成長していくことが期待できる。) またCISOの設置後には、経営トップによるCISOへのバックアップが重要になると足立氏は言う。 「CISOは、普段の業務が賞賛されることはほとんどないうえ、自社がサイバー攻撃を受けて被害が発生した場合、非難を浴びることになりがち。そのためアメリカでもCISOが抱える孤立感やプレッシャーが大きな問題となっている。経営トップがCISOに対して、執行に必要な権限とリソースを与えたうえで、その立場を理解し、支援する姿勢を示さないと、社内にCISOを根づかせることは困難になる」 最近では、CISO同士がさまざまな課題や悩み事について率直に話し合える社外のコミュニティーが生まれている。そうしたつながりをつくることは、CISOの孤立を防ぐうえでも、学びを深めていくうえでも効果があるという』、「これらをすべて兼ね備えたスーパーマンのような人材を、社内で見つけるのも外部から調達してくるのも容易ではない・・・1つでも優れた素養を持っている人物を任命し、『経験を積みながら、中長期的にCISOとして育ってもらえばいい』という意識で臨むことが大事」だと足立氏は助言する」、現実的なアプローチだ。
・『セキュリティ対策をコストと考える企業に人は来ない 今回の調査では、企業規模によらず約9割の企業が「セキュリティ人材が不足している」と回答している。すでに10年以上、同様の傾向が続いているといい、セキュリティ人材が完全な売り手市場になっている中、「セキュリティ対策を単なるコストと考えている企業に人は来ないし定着もしない」と足立氏は警鐘を鳴らす。 「優秀な人材を確保するには、CISOの設置などによって、セキュリティ分野の充実に力を入れており、新しいチャレンジもできるカルチャーであることをアピールできるかが重要になる」 ただし、日本社会全体の労働生産人口が減少し、セキュリティ担当者の業務が増え続けている中では、人材確保の発想だけでは限界があり、限られた人材で業務を回せるよう効率化を図っていくことも大切になる。 今回の調査では、そうした効率化の面でも日本企業に課題があることが浮き彫りになった。生成AIの導入状況を尋ねた項目において、アメリカでは73.5%、オーストラリアでは66.2%の企業が「導入済み」と答えたのに対して、日本は18%に過ぎなかったのだ。) しかも、アメリカやオーストラリアはルールの整備にかかわらず導入率が高いのに対し、日本は従業員数1万人以上の企業で50%が導入しているものの、ほとんどがルールを整備したうえでの導入となっており、慎重さが目立つ結果となった。 (生成AIのルール整備と導入状況 はリンク先参照)』、「「セキュリティ対策を単なるコストと考えている企業に人は来ないし定着もしない」と足立氏は警鐘を鳴らす。 「優秀な人材を確保するには、CISOの設置などによって、セキュリティ分野の充実に力を入れており、新しいチャレンジもできるカルチャーであることをアピールできるかが重要になる」、なるほど。
・『生成AIへの対応が業務効率化のカギとなる また同調査では、「生成AIサービスの利用を検討するにあたり、懸念や課題となること」についても企業に尋ねているが、目立った差が出たのが「自社業務に応用できる人材の不足」を挙げる企業の割合だった。アメリカが20.4%、オーストラリアが8.0%だったのに対して、日本企業は28.7%に上る。 こうした結果について足立氏は次のように述べる。 「新しい技術のリスクを考慮することは悪いことではないが、慎重すぎるままでは、業務の効率化という点でますます後れを取るだろう。セキュリティ業務の自動化や省力化は、今後生成AIがかなり担えるようになることが考えられ、人材不足を補う有効策となりうる。経営者は、そうしたソリューションの導入にブレーキをかけるべきではない。 また生成AIを自社業務に応用できる人材を確保するには、従業員が生成AIに触れて慣れる機会を奨励することが欠かせない。素養がありそうな人に業務と生成AIの双方を学ぶ環境を提供し、ミニマムルールと共に、中長期視点で育てていく視点も必要だろう」 今後、生成AIサービスを活用したセキュリティ対策が広がっていくであろうことを踏まえても、やはりコストを含めセキュリティ戦略を設計するCISOはキーパーソンとなるだろう。CISOの設置は今、企業にとって喫緊の課題となっている』、「今後、生成AIサービスを活用したセキュリティ対策が広がっていくであろうことを踏まえても、やはりコストを含めセキュリティ戦略を設計するCISOはキーパーソンとなるだろう。CISOの設置は今、企業にとって喫緊の課題となっている」、その通りだ。
タグ:情報セキュリティー・サイバー犯罪 「TikTok」は、「プロパガンダ工作に適した動画を意図的に“おすすめ動画”にして多くのユーザーに閲覧させたり、意図的に特定の動画を排除、浮上させるなど、プロパガンダにはうってつけのアプリのようだ。 さらにTikTokユーザーの情報が意図的に中国に収集される危険性も指摘されており、過去には一部のスタッフが、2人のジャーナリストを含むアメリカ市民のユーザーデータに不適切にアクセスしたと、ニューヨーク・タイムズが報じている」、なるほど。 「中国製電気自動車も含めた、位置情報をトラッキングできる商品の普及によるリスク」、確かに気を付けるべきだ。 集することが可能となる」、大変だ。 「路線バスなどに加え、例えば宅配業者に中国製自動車を普及させ、自衛隊基地に出入りすることが可能になれば、基地内の施設の場所が容易に把握できることを意味している。 また、「動くスマートフォン」といわれる現代の自動車においては、例えばコネクテッドカーにおいては、ハッキングやバックドアによってナビでの検索履歴はもちろん、過去の移動ルート、さらには電子メールやメッセージ、通話履歴にアクセスされる危険性も指摘されている。 中国は各国のインフラに中国製自動車を普及させることにより、自動車を通じて相手国の多大な情報を収 「格安ECアプリ「Temu」が日本でリリースされ、8月2日現在でAppstoreの無料Appランキングで1位を獲得している。さらに2位は「TikTok Lite」だ。 これらアプリによって、ユーザーの情報が同意なく収集された場合、その情報は中国による諜報(ちょうほう)活動や情報戦、プロパガンダ工作などの各種工作活動に活用されるのは言うまでもない」、恐ろしいことだ。 稲村 悠氏による「中国への情報流出、アプリ以外も危険!日本に普及中「最新中国製品」も要注意」 「今後、生成AIサービスを活用したセキュリティ対策が広がっていくであろうことを踏まえても、やはりコストを含めセキュリティ戦略を設計するCISOはキーパーソンとなるだろう。CISOの設置は今、企業にとって喫緊の課題となっている」、その通りだ。 「「セキュリティ対策を単なるコストと考えている企業に人は来ないし定着もしない」と足立氏は警鐘を鳴らす。 「優秀な人材を確保するには、CISOの設置などによって、セキュリティ分野の充実に力を入れており、新しいチャレンジもできるカルチャーであることをアピールできるかが重要になる」、なるほど。 「これらをすべて兼ね備えたスーパーマンのような人材を、社内で見つけるのも外部から調達してくるのも容易ではない・・・1つでも優れた素養を持っている人物を任命し、『経験を積みながら、中長期的にCISOとして育ってもらえばいい』という意識で臨むことが大事」だと足立氏は助言する」、現実的なアプローチだ。 「CISOを設置している企業は、アメリカでは95.5%、オーストラリアでは97.4%に達していたのに対して、日本は41.1%と大きな差・・・日本企業においては『セキュリティ対策はコスト』という発想が根強く、対策の必要性が認識され始めたのは2018年頃のことと捉えている。そのためCISOを担える人材が十分には育っておらず、キャリアパスが確立されていないこともあり、設置が進まない状況になっている」、なるほど。 「CISOを設置している日本企業は、アメリカやオーストラリアの半数以下」、致命的な立ち遅れだ。 長谷川 敦氏による「「CISOが不在」日本企業の重大すぎる経営リスク 生成AIによる効率的なセキュリティ対策も課題」 東洋経済オンライン 「中国製品の全てを疑い、全て忌避しろとは言わないが、せめて各国で指摘されている危険性については認識し、自身で判断できる意識は持っておきたい。そして、国としても明確に危険性が指摘されている製品については、国民に知らせる責務があると考える」、その通りだ。 「中国製電気自動車も含めた、位置情報をトラッキングできる商品の普及によるリスク」に十分に注意する必要がある。 ダイヤモンド・オンライン 「日本の防衛当局」の「ハッキングにおける対応の遅さ」は、」、「米国が同盟国である日本と共有する情報の量を減らすことにつながるかもしれない」、全くみっともない限りだ。 Forbes「中国ハッカーが日本の防衛機密をハッキング、米国の通報で発覚」 「「動くスマートフォン」といわれる現代の自動車においては、例えばコネクテッドカーにおいては、ハッキングやバックドアによってナビでの検索履歴はもちろん、過去の移動ルート、さらには電子メールやメッセージ、通話履歴にアクセスされる危険性も指摘されている」、なるほど。 「格安ECアプリ「Temu」が日本でリリースされ、8月2日現在でAppstoreの無料Appランキングで1位を獲得している。さらに2位は「TikTok Lite」だ。 これらアプリによって、ユーザーの情報が同意なく収集された場合、その情報は中国による諜報(ちょうほう)活動や情報戦、プロパガンダ工作などの各種工作活動に活用されるのは言うまでもない」、「日本」も大いに注意すべきだ。 「TikTok」は情報セキュリティ上極めて問題が多い怖いソフトのようだ。 「日本においても、日本の農業用ドローンのうち実に7割程度が中国企業であるDJI製だと推定されており、韓国と同様の危険が顕在化している・・・日本においても、日本の農業用ドローンのうち実に7割程度が中国企業であるDJI製だと推定されており、韓国と同様の危険が顕在化している・・・カウンターインテリジェンス(防諜)の重要性について、国民の意識や関心を高めることが、迫る脅威に立ち向かう最大の防御策となるだろう」、その通りだ。 (その9)(中国ハッカーが日本の防衛機密をハッキング 米国の通報で発覚、中国への情報流出 アプリ以外も危険!日本に普及中「最新中国製品」も要注意、「CISOが不在」日本企業の重大すぎる経営リスク 生成AIによる効率的なセキュリティ対策も課題)
コメント 0