情報セキュリティー・サイバー犯罪(その9)(尼崎市USBメモリー紛失問題 大炎上した情報サービス会社「BIPROGY」の正体、今の日本はサイバー攻撃の絶好の対象 緊急・大量に必要な「デジタル戦士」はこうやって集めろ、河野太郎氏が激怒「役所でZoomは制限」なのが中国リスクだけでない残念な事情) [社会]
情報セキュリティー・サイバー犯罪については、5月19日に取上げた。今日は、(その9)(尼崎市USBメモリー紛失問題 大炎上した情報サービス会社「BIPROGY」の正体、今の日本はサイバー攻撃の絶好の対象 緊急・大量に必要な「デジタル戦士」はこうやって集めろ、河野太郎氏が激怒「役所でZoomは制限」なのが中国リスクだけでない残念な事情)である。
先ずは、7月2日付け日刊ゲンダイが掲載した経済ジャーナリストの有森隆氏による「尼崎市USBメモリー紛失問題 大炎上した情報サービス会社「BIPROGY」の正体」を紹介しよう。
https://www.nikkan-gendai.com/articles/view/money/307642
・『兵庫県尼崎市の全市民約46万人の個人情報が入ったUSBメモリーが一時紛失したスキャンダルで、市から業務委託された情報サービス会社BIPROGY(ビプロジー)が大炎上している』、お粗末極まる事件だ。
・『4月に日本ユニシスから社名変更したばかり ビプロジーは聞き慣れない社名だと首をかしげる向きがほとんどだったろうが、4月1日に日本ユニシスから社名変更したばかりの会社だ。新しい会社は発足ほやほやでの醜聞となった。 社名のBIPROGYは光が屈折・反射したときに見える7色(青、藍、紫、赤、橙、緑、黄)の英語の頭文字をとった造語。「さまざまなビジネスパートナーや多種多様な人々がもつ光彩を掛け合わせ、混沌とした社会の中で新たな道を照らし出す」といった意味を込めた。 今回の“事件”は7色の光が乱反射したようだ。 これまでの尼崎市などの説明によると、ビプロジー関西支社が市から新型コロナウイルスの給付金支給業務を受託し、別の会社に再委託していた。再委託された会社が下請けに丸投げし、その社員が、市の許可を得ずに全市民の個人情報が入ったデータをUSBに複製して持ち出していた。あろうことか、6月21日、大阪府吹田市の居酒屋で約3時間飲酒。酔って記憶をなくして路上に眠り込み、22日未明にUSBが入ったかばんの紛失に気付いた。かばんは24日に居酒屋から少し離れた吹田市のマンションの敷地内で見つかった。) ビプロジーは26日、「紛失したのは再委託先の社員」としてきた説明をひるがえし、実際には、再委託先からさらに委託を受けた企業の社員だった。再委託は市の許可が必要と定められているが、市は「再委託、再々委託のいずれもビプロジー側から報告がなかった」としている。 ビプロジーは再々委託を知っていたのだろうか。 ビプロジーの平岡昭良社長(66)は2016年に社長に就任した生え抜き。自前でシステムを構築する受け身型のビジネスモデルから提案型の営業に転換した。はっきり言う。受注したITサービスの業務を外部に委託するアウトソーシング方式で収益を高めるというやり方だ。このビジネスモデルが尼崎市で墓穴を掘ったのだから笑えない。 「建設業界は元受け、下請け、孫請け、ひ孫請けのピラミッド構造になっている。実は、IT業界もまるっきり同じ。業務を丸投げするのが“常識”だ。この丸投げのほころびが露呈したかたちだ」(IT業界担当のアナリスト) ビプロジーの歴史は古い。1958年、米ユニシスと三井物産の合弁企業として発足。2006年に米ユニシスとの資本関係は解消。三井物産も12年に保有株を売却して手を引いた。現在、大日本印刷が20.63%を保有する筆頭株主だ。) 尼崎市の稲村和美市長(49)は「契約違反があった」との見解を示し、一連の経緯を「損害賠償請求を検討する」と話している。平岡社長の首は風前のともしびだ。 「最も物議を醸したNHK会長」と評された籾井勝人氏も元日本ユニシス社長だった。籾井氏は三井物産副社長から日本ユニシスに天下り、社長になった人だった。 平岡社長は籾井元社長と肩を並べる有名人(!?)になった』、「ビプロジーは・・・4月1日に日本ユニシスから社名変更したばかり」伝統ある会社だ。「「紛失したのは再委託先の社員」としてきた説明をひるがえし、実際には、再委託先からさらに委託を受けた企業の社員だった。再委託は市の許可が必要と定められているが、市は「再委託、再々委託のいずれもビプロジー側から報告がなかった」としている」、「「建設業界は元受け、下請け、孫請け、ひ孫請けのピラミッド構造になっている。実は、IT業界もまるっきり同じ。業務を丸投げするのが“常識”だ。この丸投げのほころびが露呈したかたちだ」、「尼崎市の稲村和美市長(49)は「契約違反があった」との見解を示し、一連の経緯を「損害賠償請求を検討する」。「平岡社長の首は風前のともしびだ」。
次に、7月10日付け現代ビジネスが掲載した一橋大学名誉教授の野口 悠紀雄氏による「今の日本はサイバー攻撃の絶好の対象、緊急・大量に必要な「デジタル戦士」はこうやって集めろ」を紹介しよう。
https://gendai.media/articles/-/97202?imp=0
・『ランサムウエアの犯罪集団が、日本を新たな攻撃対象と定め、医療機関や中小企業に対するサイバー攻撃を急増させている。インターネットから隔離するだけでは、防御にならない。また、IT機器を全く使わなくても、他所で生じる情報漏洩から間接的被害を受けることがある。 こうした事態に対処できる「デジタル戦士」を、早急に養成すべきだ』、興味深そうだ。
・『サイバー攻撃は、すでに現実化している危機 ロシアのウクライナ侵攻をきっかけに、安全保障の問題に注目が集まっている。 確かに、安全保障の問題は、これまでとは違った意味を持つに至った。ただし、ここで注意したいのは、安全保障とは、戦車やミサイルによる攻撃への対処だけではないことだ。 いま日本で緊急に必要なのは、サイバー攻撃に対する安全保障だ。こうした攻撃は、すでに現実化している。とくに、ランサムウェア(身代金要求型ウイルス)型の攻撃が激増している。 これは、台湾有事や日本への核攻撃のように、将来起こりうる危機ではない。現実に起こっていることであり、現実に深刻な被害が生じていることなのだ。 しかも、政府や大企業だけではなく、中小企業や医療機関が攻撃の対象とされている。医療、教育、金融関係では被害な甚大になることが多いので、対象とされることが多い』、「現実に起こっていることであり、現実に深刻な被害が生じていることなのだ」、「政府や大企業だけではなく、中小企業や医療機関が攻撃の対象とされている」、大変だ。
・『インターネットから隔離していた半田病院が被害に サイバー攻撃に対してもっとも広く使われている対策は、「エアギャップ」だ。これは、システムをインターネットにつながないことだ。しかし、実は、隔離していても、安心してはいられない。 2021年10月に徳島県のつるぎ町立半田病院がサイバー攻撃の被害に見舞われた事件が、それを示した。この事件が真にショッキングだったのは、この点だ。 半田病院は、システムをインターネットにつながず、隔離していた。しかし、突然、電子カルテシステムで患者情報を閲覧できなくなり、診療報酬の請求も止まった。 そして、「身代金を支払わなければ、盗んだデータを匿名ネットワークにさらす」という犯行声明が、犯罪者集団「LockBit(ロックビット)」から送られてきた。 結局のところ、身代金の支払いは拒否し、ベンダーにサーバーを借りて新たな環境を構築し、同じ電子カルテシステムを稼働させることで対処したが、費用は約2億円かかった。そして、約2ヶ月間、病院は麻痺状態に陥った』、「徳島県のつるぎ町立半田病院」では、「システムをインターネットにつながず、隔離」、「身代金を支払」えとの「要求」があったが、「身代金の支払いは拒否し、ベンダーにサーバーを借りて新たな環境を構築し、同じ電子カルテシステムを稼働させることで対処したが、費用は約2億円かかった。そして、約2ヶ月間、病院は麻痺状態に陥った」、「身代金」は「約2億円」以上であれば、「要求」に従った方が損失が少なくて済みそうだ。
・『ウイルス対策ソフトを停止させていた 同病院は、システムをインターネットから隔離していたので、安心していたらしい。しかし、保守用回線が外部とつながっており、そこが侵入口となったのだ。 安心していたためか、仕様が古い電子カルテシステムを動かすため、セキュリティー対策に必要な機能が意図的に無効にされていた。朝日新聞(2022年6月7日)によると、攻撃者に侵入されても分からず、防御が効かないという、かなりずさんな状態だった。 同様の攻撃に遭ったのは、半田病院だけではない。日本の医療・福祉施設は、「エアギャップ」でシステムを守っているケースが多いのだが、破られている。実際、21年には、医療・福祉施設のランサムウエア被害が7件、警察庁に報告された。 エアギャップを破る方法はいくつも開発されており、例えば、電力線を通じてハッキングすることも可能なのだという。製造業やインフラ企業も、エアギャップでシステムを守っている場合が多い。その中では、数十年前の脆弱なソフトが動いている。 外部ネットワークと完全に遮断した運用は難しいと、日本経済新聞(2022年6月27日)は警告している』、「システムをインターネットから隔離していた」が、「保守用回線が外部とつながっており、そこが侵入口となった」、「仕様が古い電子カルテシステムを動かすため、セキュリティー対策に必要な機能が意図的に無効にされていた」、「攻撃者に侵入されても分からず、防御が効かないという、かなりずさんな状態だった」、「日本の医療・福祉施設は、「エアギャップ」でシステムを守っているケースが多いのだが、破られている。実際、21年には、医療・福祉施設のランサムウエア被害が7件、警察庁に報告」、「エアギャップを破る方法はいくつも開発されており、例えば、電力線を通じてハッキングすることも可能」、油断は禁物のようだ。
・『日本の中小企業は、サイバー攻撃の集中砲火の対象 日本の中小企業は、危機感が薄い。「重要な情報は持っていないから、中小企業は狙われるはずがない」と思っているのだ。しかし、前記の日経新聞の記事によると、日本の中小企業は、サイバー攻撃の集中砲火を浴びている。 マルウエアは、防御の弱い中小企業にまず侵入し、サプライチェーンの上流にいる大手への攻撃の踏み台にしているのだ。 トレンドマイクロの今年1~3月の被害約5万2000件のうち、8割超が日本国内で発生し、その多くが中小企業だという。 ランサムウエアの犯罪集団は、ロシアや東欧諸国に拠点を置き、これまで主として欧米諸国を対象としてきた。しかし、欧米では、防御態勢が強くなってきた。ところが、日本は、警戒心も防御態勢も弱い。このため、犯罪集団は、最近、日本をターゲットとして攻撃を急増させているのだという』、「マルウエアは、防御の弱い中小企業にまず侵入し、サプライチェーンの上流にいる大手への攻撃の踏み台にしているのだ。 トレンドマイクロの今年1~3月の被害約5万2000件のうち、8割超が日本国内で発生し、その多くが中小企業だという」、「欧米では、防御態勢が強くなってきた。ところが、日本は、警戒心も防御態勢も弱い。このため、犯罪集団は、最近、日本をターゲットとして攻撃を急増させている」、困ったことだ。
・『専門家がいない。デジタル戦士が必要 日本の医療機関にはサイバー分野の専門家がほとんどおらず、情報システムの担当者が1人だけといった状況も珍しくない。だから、攻撃に対処するには、人材が必要だ。 つまり、いまの日本には、銃をもつ戦士だけでなく、こうした戦士がいなければならない。デジタル戦士が必要なのだ。デジタル戦士は、いますぐ現場に出かけて、戦闘に当たらなければならない。 しかし、日本では、もともとIT人材が不足している。経済産業省が公表した「IT人材需給に関する調査」(2019年3月)によると、2030年には最大約79万人のIT人材が不足する見込みだ』、「日本では、もともとIT人材が不足している」だけに、特にその傾向が顕著な「医療機関」では深刻だ。
・『多重下請け構造が、危険な状況を引き起こす では、PCやスマートフォンを使うのは危険だから、こうしたものは一切使わないことにしたらどうか?そうすれば安全だろうか? そうとも言えないことがわかった。 6月に、尼崎市で、全市民約46万人分の個人情報が入ったUSBメモリの紛失事故が起きた。 市から業務を受託した会社から再々委託を受けた会社の社員が、市民の個人データをUSBメモリに記録。そのUSBメモリを入れたカバンを持ったまま帰宅途上で飲酒し、路上で寝込んで、かばんごと紛失したというのだ。 幸いにして、メモリは回収されたが、仮にこの情報がダークサイドに流出していたら、一般の市民が脅迫されるような事態が起こっても不思議はない。日本のIT人材には、こうした人もいるのである。 こうした事故が起きる大きな原因が、日本のIT業界の多重下請け構造だ。発注元にデジタル人材がいないので、丸投げになり、それがつぎつぎに下請けされて、コントロールできなくなる。今回も、市の許可なしに、再々委託が行われていたという。 つまり、問題の根幹は、デジタル人材の不足だ。必要なのは、最先端の技術を開発することだけではない。様々なレベル様々な問題のIT専門家が必要である。セキュリティー対策の人材は、中でも必要性が高い人材だ』、「尼崎市」での「USBメモリの紛失事故」の背景には、「発注元にデジタル人材がいないので、丸投げになり、それがつぎつぎに下請けされて、コントロールできなくなる。今回も、市の許可なしに、再々委託が行われていたという。 つまり、問題の根幹は、デジタル人材の不足だ」、なるほど。
・『デジタル田園都市国家構想とは、高齢者支援? では、不足するIT人材を育成するために、政府は何をやっているだろうか? 政府は、6月1日、「デジタル田園都市国家構想実現会議」の会合を開き、基本方針案を取りまとめた。デジタル技術をいかした地域作りに貢献する中核的な人材を、国内の100の地域に配置するのだそうだ。 また、デジタル機器やサービスを利用する高齢者らを支援する「デジタル推進委員」を今年度中に全国で2万人以上確保するのだという。 「デジタル化が進んで高齢者が対応できないから、使い方を教える必要がある」という国の親心(子心?)は、分からなくはない。しかし、国の予算を使って進めるべきことかどうかには、疑問なしとしない。 緊急に必要なのは、サイバー攻撃に対処できる人材を大量に養成し、日本中の大企業、中小企業、零細企業で繰り広げられている戦闘に投入することではないか? そうした人材を育成する費用は、国が負担すべきだ。 防衛費を増額すべきだとの議論が始まっている。もし防衛費をGDPの2%にするなら、デジタル戦士の関連費用もその中に含めるべきだ。少なくとも、人材の育成に必要な経費は、そうだ』、「緊急に必要なのは、サイバー攻撃に対処できる人材を大量に養成し、日本中の大企業、中小企業、零細企業で繰り広げられている戦闘に投入することではないか? そうした人材を育成する費用は、国が負担すべきだ」、賛成だ。
・『220万人もいる休業者の有効活用を図るべきだ デジタル戦士の育成は、金だけあればできるものではない。人材が必要だ。では、「人手不足」が言われる日本で、人材はいるのだろうか? 実は、余るほどいるのである。 それは、「休業者」だ。休業者とは、仕事をせずに休業し、給料もらっている人たちのことだ。休業者の総数は、2022年4月時点で約220万人。これは完全失業者よりも多い。 これほど休業者が多くなっているのは、コロナ禍で雇用調整助成金の特例措置が拡充されて、休業手当のほとんどをカバーするようになったからだ。特例措置は2020年に導入された後、何度も何度も延長され、現在もまだ存在している。そして、支給額の総額は、5兆円を超えた。 休業の多くは、働く意思を持ちながら、何の仕事もしていない。また、他の仕事に転職するための就職活動も行っていない。こうして、貴重な労働力が放置されている。 政府もこれを問題視し、就職支援する活動を始めている。ただし、対象は介護が中心だ。しかも、対象人員が約2万人と、休業者の1%程度でしかない。 仕事をする能力を持ちながら仕事をしていない人々が、220万人もいるのだ。それらの人々の中には、再教育すればデジタル人材になり得る人が大勢いるだろう。 そうした再教育プログラムを国費を用いて開始してデジタル戦士を育成し、日本のデジタル安全保障を確固たるものにすべきだ』、「休業者の総数は、2022年4月時点で約220万人」、「それらの人々の中には、再教育すればデジタル人材になり得る人が大勢いるだろう。 そうした再教育プログラムを国費を用いて開始してデジタル戦士を育成し、日本のデジタル安全保障を確固たるものにすべきだ」、同感である。
第三に、9月30日付けダイヤモンド・オンラインが掲載したイトモス研究所所長の小倉健一氏による「河野太郎氏が激怒「役所でZoomは制限」なのが中国リスクだけでない残念な事情」を紹介しよう。この記事は、会員限定だが、登録すれば月5本までは無料で読める。
https://diamond.jp/articles/-/310451
・『河野太郎デジタル相は以前、オンライン会議ツール「Zoom」を仕事で使えないことに対して、Twitter上で怒りをあらわにしていた。その後、国会議員と各省庁のやりとりなど一部で解禁の動きがあったものの、なお利用は制限されている。理由の一つは、海外でも懸念が伝えられる「中国リスク」だ。ただ、それとは別にもう一つ、日本独自の残念な事情もあった』、「日本独自の残念な事情」とは何なのだろう。
・『世界中で使われているZoomが霞が関では利用制限 オンラインコミュニケーションツールといえば、米マイクロソフトが提供する「Teams(チームズ)」や米グーグルの「Google Meet(グーグルミート)」などいろいろある。ただ代表格といえば、米ズーム・ビデオ・コミュニケーションズのサービス「Zoom(ズーム)」であろう(以下、社名はズーム、サービス名はZoomと表記する)。 同社は2011年に中国山東省の出身で米国籍を取得したエリック・ヤン氏によって設立された。他のコミュニケーションツールと比べて、ズーム独自のデータ圧縮技術に優れていたことから会議中の動画品質が安定し、シェア獲得に大きく貢献した。 EmailToolTesterが21年3月に発表したオンライン会議ツールの世界シェアの推計によれば、日本、米国、英国、カナダ、ニュージーランド、韓国などでZoomはシェア1位を獲得しているという。 Zoomは新型コロナウイルス禍にあって、世界中のビジネスシーンや大学・研究機関などで大活躍した。日本でも多くの人が利用したことであろう。 しかしこのZoomだが、霞が関、すなわち日本の官公庁では使用することができない。国会議員と各省庁のやりとりなど一部で解禁の動きがあったものの、なお利用は制限されている。 理由の一つは、海外でも懸念が伝えられる「中国リスク」だ。ただ、それとは別にもう一つ、日本独自の残念な事情もあった。これらの根深い二つの問題についてお伝えしたい。(これ以下は前述の月5本の限定無料)』、なるほど。
・『Zoomの利用制限に河野太郎氏がTwitterで激怒 霞が関でZoomの利用が制限されていることについて、デジタル相に就任した河野太郎氏は、過去にこんな怒りをあらわにしてきた。 「Zoomというと条件反射のようにガチャガチャ言い始める人がいるが、多くのオンライン上の国際会議はzoomも使う。もちろんみんな当たり前に機器を使い分けたり、話す内容を変えたりしている。なんでもかんでも『こいつはzoomを使ってる』等と言って騒ぐ人は、オンラインで何をどうやっているのだろう」(2020年12月31日・Twitter、原文ママ) 「アメリカの米国国家安全保障局長官兼米サイバー軍司令官も、普通にZoomを使ってオンライン対話をしている。サイバーセキュリティは、根拠を持ってやることが大切」(2021年1月12日・Twitter) 河野氏は、Zoomが日常的な業務において使えないことに不便を感じていたようだ。しかし、米国をはじめとする多くの西側諸国はズームに中国政府が影響力を持っているのではないかと疑っていて、安全保障上の懸念を抱いているのも事実だ。 米国に拠点を置く著名な中国人活動家グループが「天安門事件31周年」を記念するZoomイベントを開催したところ、そのアカウントが閉鎖されてしまった。ズームの広報担当者は、この処置を「中国の法律を順守するため」と説明。後日、アカウントは閉鎖が解かれた。 米ニュースサイト「AXIOS」に掲載された記事(20年6月11日付)によれば、下記のような報道があった。 「ズームの製品開発拠点の多くが中国にあり、一部のZoomの通話が誤って中国のサーバーを経由していたことを同社は認めている」 「カナダのトロント大学の研究機関であるシチズンラボは、Zoomのセキュリティプロトコル(通信規約)に重大な懸念があることを発見したと述べた。また、ズームが中国に多くの労働力を抱えていることから、中国当局の圧力に反応しやすい可能性があると指摘した」 「台湾政府は安全保障上の懸念からZoomの公式使用を禁止し、米ニューヨーク州の学校や米国上院、ドイツ外務省も使用を控える、あるいは制限している」』、「「アメリカの米国国家安全保障局長官兼米サイバー軍司令官も、普通にZoomを使ってオンライン対話をしている。サイバーセキュリティは、根拠を持ってやることが大切」、分かった上で使っているようだ。ただ、多くは警戒的なようだ。
・『Zoomが取り沙汰される中国リスクの中身 ズームへのこうした懸念に対して、米セキュリティソフトウエア会社RSAセキュリティの関係者はこう打ち明ける。 「ズームは米カリフォルニア州に本社を置き、創業者であるヤン氏は米国籍を持っているが、中国・北京の強い影響下にあることが報道されてきた」 「中国での事業展開を許可された外国企業は、発言内容を規定する厳格な規則を順守する必要がある。また、ソーシャルメディア上の発言者をパトロールするインターネット上の治安組織にデータを提供しなければならない。各国のセキュリティ担当者は、Zoomの取り扱いを慎重に行うべきだ」 他にも、日経クロステックが転載した米ウェブメディア「The Intercept」の記事『ビデオ会議「Zoom」の暗号化は機密情報に不適切、中国との関係を研究者が警告』(20年4月10日)では、ズームと中国共産党のつながりに懸念を示すレポートが紹介されている。前出のシチズンラボが20年4月に掲載した「Move Fast and Roll Your Own Crypto」というレポートだ。 その内容について同記事は、以下のように報じている(二重かぎかっこ内は同レポートからの引用部分、社名の表記のみ「Zoom」から「ズーム」に変更した)。 「ズームのサービスは『機密情報に適しておらず』、ズームは中国政府に対して暗号鍵を公開するよう法律上義務付けられている可能性があるほか、同社が中国政府から圧力をかけられている」 「トロント大学Citizen Labが調べたところ、73ある鍵管理システムのうちの5つが中国に設置されているようだった」 「(米国とカナダに住む2人の研究者が)Zoomの会話をテストしてみたところ、会議で使われる共有暗号鍵が『中国北京に置かれたZoomサーバーによってTLSで暗号化した上で、もう一方の会話の参加者に送られていた』」』、やはりセキュリティ上は問題がありそうだ。
・『Zoom利用制限の裏に中国リスク以外の残念な事情 一般論だが、中国当局と強い関係がある企業の中には、「バックドア」と呼ばれる「中国当局による侵入ができる仕掛け」がソフト内に組み込まれている恐れがあるという指摘もある。 Zoomが霞が関で制限されているのは、こうした懸念が背景にある。ただ、より直接的な原因は、「ISMAP」(イスマップ、と読む)と呼ばれる「政府情報システムのためのセキュリティ評価制度」における資格取得を行っていないためだ。 「ISMAP」という言葉を初めて聞いた人もいるだろうから、簡単に説明をしておこう。安全保障上の理由から、政府や霞が関は安い、使いやすいからといって、何でもかんでも好きなソフトを使っていいわけではない。 そこで政府が民間企業に求めている基準がISMAPだ。これに記されている基準を満たし、認定されなければ、政府や霞が関では、そのソフトを使ってはいけないことになっている。) オンラインメディア「ZDNet Japan」が報じたズーム日本法人幹部のインタビュー記事(21年6月9日)によると、ズームは、「中国を敵視する米国の地政学的な動きによって、同社に対するネガティブなイメージが広まるなどの影響が出た」(佐賀文宣・ZVC Japanカントリーゼネラルマネージャー〈当時〉)という。そのことから、ISMAPについても「2021年中の認定取得に向けた対応を進めているという」と同記事内で報じられたが、これまでISMAPの取得はできていない。 ズームがISMAPを取得できていない理由について、デジタル庁の関係者はこう話す。 「ISMAPは1000項目以上という極めて細かいレベルの評価基準がある。この評価を受けるためには、1回当たり毎年数千万円、場合によっては1億円もの外部監査機関への支払いが必要だ。アメリカなどの諸外国と比べても過剰な項目数で、政府調達の足かせとなってきた」 「ズームと中国の関係はセキュリティ当局にとっても深い懸念材料だが、ISMAPの異常さによって、Zoomの霞が関導入は見送られていることになる」 「他方、政府側も利便性の観点から、機密性が低い用途については、自主的な判断でZoomの使用を黙認するケースが増えてきた。リスクを承知で使うのは、各省庁の判断というのが政府の言い分だ」 「しかし、リスクはあると言いながら、どんなリスクがあるのかと政府に聞いても、『中国の関与が疑われるから』などという説明は表立ってできないために、ムニャムニャと言葉を濁すばかり。非常に危険な状態だ」』、「ISMAPは1000項目以上という極めて細かいレベルの評価基準がある。この評価を受けるためには、1回当たり毎年数千万円、場合によっては1億円もの外部監査機関への支払いが必要だ。アメリカなどの諸外国と比べても過剰な項目数で、政府調達の足かせとなってきた」、欧米以上に厳しいのであれば、問題だ。「他方、政府側も利便性の観点から、機密性が低い用途については、自主的な判断でZoomの使用を黙認するケースが増えてきた。リスクを承知で使うのは、各省庁の判断というのが政府の言い分だ」、「政府」としてはそうするほかなさそうだ。
・『安全保障上の中国リスクとISMAPの過剰さは別問題 何とも不思議ないきさつではあるが、本来であれば、中国に対する安全保障上の懸念とISMAPの問題点は、それぞれにクリアしていなければならない話である。 「中国製品は調達しません」と政府が公言することは、世界貿易のルール上できない。しかし例えば、台湾有事が起きたときなどに、中国がバックドアを利用して日本の中枢を破壊しようとしてくる懸念は消えない。では、どうやったら実効性のある安全保障を構築できるのか。 その一方で、ISMAPの異常な基準によって、日本企業も含めたソフトウエア会社が霞が関の調達に参入しづらくなってしまっているのも事実だ。ISMAPをクリアできたがために、聞いたことがない会社が使いにくいソフトを霞が関に展開すると、迷惑するのは中央官僚だ。業務効率が著しく落ちるのは目に見えている。 この異なる二つの問題点の改善を早急に望みたい』、「ISMAPは1000項目以上という極めて細かいレベルの評価基準がある。この評価を受けるためには、1回当たり毎年数千万円、場合によっては1億円もの外部監査機関への支払いが必要だ。アメリカなどの諸外国と比べても過剰な項目数で、政府調達の足かせとなってきた」のであれば、少なくとも欧諸国並みにするべきだろう。なお、「ISMAP」についての政府のサイトは、ISMAPポータルだ。https://www.ismap.go.jp/csm。
先ずは、7月2日付け日刊ゲンダイが掲載した経済ジャーナリストの有森隆氏による「尼崎市USBメモリー紛失問題 大炎上した情報サービス会社「BIPROGY」の正体」を紹介しよう。
https://www.nikkan-gendai.com/articles/view/money/307642
・『兵庫県尼崎市の全市民約46万人の個人情報が入ったUSBメモリーが一時紛失したスキャンダルで、市から業務委託された情報サービス会社BIPROGY(ビプロジー)が大炎上している』、お粗末極まる事件だ。
・『4月に日本ユニシスから社名変更したばかり ビプロジーは聞き慣れない社名だと首をかしげる向きがほとんどだったろうが、4月1日に日本ユニシスから社名変更したばかりの会社だ。新しい会社は発足ほやほやでの醜聞となった。 社名のBIPROGYは光が屈折・反射したときに見える7色(青、藍、紫、赤、橙、緑、黄)の英語の頭文字をとった造語。「さまざまなビジネスパートナーや多種多様な人々がもつ光彩を掛け合わせ、混沌とした社会の中で新たな道を照らし出す」といった意味を込めた。 今回の“事件”は7色の光が乱反射したようだ。 これまでの尼崎市などの説明によると、ビプロジー関西支社が市から新型コロナウイルスの給付金支給業務を受託し、別の会社に再委託していた。再委託された会社が下請けに丸投げし、その社員が、市の許可を得ずに全市民の個人情報が入ったデータをUSBに複製して持ち出していた。あろうことか、6月21日、大阪府吹田市の居酒屋で約3時間飲酒。酔って記憶をなくして路上に眠り込み、22日未明にUSBが入ったかばんの紛失に気付いた。かばんは24日に居酒屋から少し離れた吹田市のマンションの敷地内で見つかった。) ビプロジーは26日、「紛失したのは再委託先の社員」としてきた説明をひるがえし、実際には、再委託先からさらに委託を受けた企業の社員だった。再委託は市の許可が必要と定められているが、市は「再委託、再々委託のいずれもビプロジー側から報告がなかった」としている。 ビプロジーは再々委託を知っていたのだろうか。 ビプロジーの平岡昭良社長(66)は2016年に社長に就任した生え抜き。自前でシステムを構築する受け身型のビジネスモデルから提案型の営業に転換した。はっきり言う。受注したITサービスの業務を外部に委託するアウトソーシング方式で収益を高めるというやり方だ。このビジネスモデルが尼崎市で墓穴を掘ったのだから笑えない。 「建設業界は元受け、下請け、孫請け、ひ孫請けのピラミッド構造になっている。実は、IT業界もまるっきり同じ。業務を丸投げするのが“常識”だ。この丸投げのほころびが露呈したかたちだ」(IT業界担当のアナリスト) ビプロジーの歴史は古い。1958年、米ユニシスと三井物産の合弁企業として発足。2006年に米ユニシスとの資本関係は解消。三井物産も12年に保有株を売却して手を引いた。現在、大日本印刷が20.63%を保有する筆頭株主だ。) 尼崎市の稲村和美市長(49)は「契約違反があった」との見解を示し、一連の経緯を「損害賠償請求を検討する」と話している。平岡社長の首は風前のともしびだ。 「最も物議を醸したNHK会長」と評された籾井勝人氏も元日本ユニシス社長だった。籾井氏は三井物産副社長から日本ユニシスに天下り、社長になった人だった。 平岡社長は籾井元社長と肩を並べる有名人(!?)になった』、「ビプロジーは・・・4月1日に日本ユニシスから社名変更したばかり」伝統ある会社だ。「「紛失したのは再委託先の社員」としてきた説明をひるがえし、実際には、再委託先からさらに委託を受けた企業の社員だった。再委託は市の許可が必要と定められているが、市は「再委託、再々委託のいずれもビプロジー側から報告がなかった」としている」、「「建設業界は元受け、下請け、孫請け、ひ孫請けのピラミッド構造になっている。実は、IT業界もまるっきり同じ。業務を丸投げするのが“常識”だ。この丸投げのほころびが露呈したかたちだ」、「尼崎市の稲村和美市長(49)は「契約違反があった」との見解を示し、一連の経緯を「損害賠償請求を検討する」。「平岡社長の首は風前のともしびだ」。
次に、7月10日付け現代ビジネスが掲載した一橋大学名誉教授の野口 悠紀雄氏による「今の日本はサイバー攻撃の絶好の対象、緊急・大量に必要な「デジタル戦士」はこうやって集めろ」を紹介しよう。
https://gendai.media/articles/-/97202?imp=0
・『ランサムウエアの犯罪集団が、日本を新たな攻撃対象と定め、医療機関や中小企業に対するサイバー攻撃を急増させている。インターネットから隔離するだけでは、防御にならない。また、IT機器を全く使わなくても、他所で生じる情報漏洩から間接的被害を受けることがある。 こうした事態に対処できる「デジタル戦士」を、早急に養成すべきだ』、興味深そうだ。
・『サイバー攻撃は、すでに現実化している危機 ロシアのウクライナ侵攻をきっかけに、安全保障の問題に注目が集まっている。 確かに、安全保障の問題は、これまでとは違った意味を持つに至った。ただし、ここで注意したいのは、安全保障とは、戦車やミサイルによる攻撃への対処だけではないことだ。 いま日本で緊急に必要なのは、サイバー攻撃に対する安全保障だ。こうした攻撃は、すでに現実化している。とくに、ランサムウェア(身代金要求型ウイルス)型の攻撃が激増している。 これは、台湾有事や日本への核攻撃のように、将来起こりうる危機ではない。現実に起こっていることであり、現実に深刻な被害が生じていることなのだ。 しかも、政府や大企業だけではなく、中小企業や医療機関が攻撃の対象とされている。医療、教育、金融関係では被害な甚大になることが多いので、対象とされることが多い』、「現実に起こっていることであり、現実に深刻な被害が生じていることなのだ」、「政府や大企業だけではなく、中小企業や医療機関が攻撃の対象とされている」、大変だ。
・『インターネットから隔離していた半田病院が被害に サイバー攻撃に対してもっとも広く使われている対策は、「エアギャップ」だ。これは、システムをインターネットにつながないことだ。しかし、実は、隔離していても、安心してはいられない。 2021年10月に徳島県のつるぎ町立半田病院がサイバー攻撃の被害に見舞われた事件が、それを示した。この事件が真にショッキングだったのは、この点だ。 半田病院は、システムをインターネットにつながず、隔離していた。しかし、突然、電子カルテシステムで患者情報を閲覧できなくなり、診療報酬の請求も止まった。 そして、「身代金を支払わなければ、盗んだデータを匿名ネットワークにさらす」という犯行声明が、犯罪者集団「LockBit(ロックビット)」から送られてきた。 結局のところ、身代金の支払いは拒否し、ベンダーにサーバーを借りて新たな環境を構築し、同じ電子カルテシステムを稼働させることで対処したが、費用は約2億円かかった。そして、約2ヶ月間、病院は麻痺状態に陥った』、「徳島県のつるぎ町立半田病院」では、「システムをインターネットにつながず、隔離」、「身代金を支払」えとの「要求」があったが、「身代金の支払いは拒否し、ベンダーにサーバーを借りて新たな環境を構築し、同じ電子カルテシステムを稼働させることで対処したが、費用は約2億円かかった。そして、約2ヶ月間、病院は麻痺状態に陥った」、「身代金」は「約2億円」以上であれば、「要求」に従った方が損失が少なくて済みそうだ。
・『ウイルス対策ソフトを停止させていた 同病院は、システムをインターネットから隔離していたので、安心していたらしい。しかし、保守用回線が外部とつながっており、そこが侵入口となったのだ。 安心していたためか、仕様が古い電子カルテシステムを動かすため、セキュリティー対策に必要な機能が意図的に無効にされていた。朝日新聞(2022年6月7日)によると、攻撃者に侵入されても分からず、防御が効かないという、かなりずさんな状態だった。 同様の攻撃に遭ったのは、半田病院だけではない。日本の医療・福祉施設は、「エアギャップ」でシステムを守っているケースが多いのだが、破られている。実際、21年には、医療・福祉施設のランサムウエア被害が7件、警察庁に報告された。 エアギャップを破る方法はいくつも開発されており、例えば、電力線を通じてハッキングすることも可能なのだという。製造業やインフラ企業も、エアギャップでシステムを守っている場合が多い。その中では、数十年前の脆弱なソフトが動いている。 外部ネットワークと完全に遮断した運用は難しいと、日本経済新聞(2022年6月27日)は警告している』、「システムをインターネットから隔離していた」が、「保守用回線が外部とつながっており、そこが侵入口となった」、「仕様が古い電子カルテシステムを動かすため、セキュリティー対策に必要な機能が意図的に無効にされていた」、「攻撃者に侵入されても分からず、防御が効かないという、かなりずさんな状態だった」、「日本の医療・福祉施設は、「エアギャップ」でシステムを守っているケースが多いのだが、破られている。実際、21年には、医療・福祉施設のランサムウエア被害が7件、警察庁に報告」、「エアギャップを破る方法はいくつも開発されており、例えば、電力線を通じてハッキングすることも可能」、油断は禁物のようだ。
・『日本の中小企業は、サイバー攻撃の集中砲火の対象 日本の中小企業は、危機感が薄い。「重要な情報は持っていないから、中小企業は狙われるはずがない」と思っているのだ。しかし、前記の日経新聞の記事によると、日本の中小企業は、サイバー攻撃の集中砲火を浴びている。 マルウエアは、防御の弱い中小企業にまず侵入し、サプライチェーンの上流にいる大手への攻撃の踏み台にしているのだ。 トレンドマイクロの今年1~3月の被害約5万2000件のうち、8割超が日本国内で発生し、その多くが中小企業だという。 ランサムウエアの犯罪集団は、ロシアや東欧諸国に拠点を置き、これまで主として欧米諸国を対象としてきた。しかし、欧米では、防御態勢が強くなってきた。ところが、日本は、警戒心も防御態勢も弱い。このため、犯罪集団は、最近、日本をターゲットとして攻撃を急増させているのだという』、「マルウエアは、防御の弱い中小企業にまず侵入し、サプライチェーンの上流にいる大手への攻撃の踏み台にしているのだ。 トレンドマイクロの今年1~3月の被害約5万2000件のうち、8割超が日本国内で発生し、その多くが中小企業だという」、「欧米では、防御態勢が強くなってきた。ところが、日本は、警戒心も防御態勢も弱い。このため、犯罪集団は、最近、日本をターゲットとして攻撃を急増させている」、困ったことだ。
・『専門家がいない。デジタル戦士が必要 日本の医療機関にはサイバー分野の専門家がほとんどおらず、情報システムの担当者が1人だけといった状況も珍しくない。だから、攻撃に対処するには、人材が必要だ。 つまり、いまの日本には、銃をもつ戦士だけでなく、こうした戦士がいなければならない。デジタル戦士が必要なのだ。デジタル戦士は、いますぐ現場に出かけて、戦闘に当たらなければならない。 しかし、日本では、もともとIT人材が不足している。経済産業省が公表した「IT人材需給に関する調査」(2019年3月)によると、2030年には最大約79万人のIT人材が不足する見込みだ』、「日本では、もともとIT人材が不足している」だけに、特にその傾向が顕著な「医療機関」では深刻だ。
・『多重下請け構造が、危険な状況を引き起こす では、PCやスマートフォンを使うのは危険だから、こうしたものは一切使わないことにしたらどうか?そうすれば安全だろうか? そうとも言えないことがわかった。 6月に、尼崎市で、全市民約46万人分の個人情報が入ったUSBメモリの紛失事故が起きた。 市から業務を受託した会社から再々委託を受けた会社の社員が、市民の個人データをUSBメモリに記録。そのUSBメモリを入れたカバンを持ったまま帰宅途上で飲酒し、路上で寝込んで、かばんごと紛失したというのだ。 幸いにして、メモリは回収されたが、仮にこの情報がダークサイドに流出していたら、一般の市民が脅迫されるような事態が起こっても不思議はない。日本のIT人材には、こうした人もいるのである。 こうした事故が起きる大きな原因が、日本のIT業界の多重下請け構造だ。発注元にデジタル人材がいないので、丸投げになり、それがつぎつぎに下請けされて、コントロールできなくなる。今回も、市の許可なしに、再々委託が行われていたという。 つまり、問題の根幹は、デジタル人材の不足だ。必要なのは、最先端の技術を開発することだけではない。様々なレベル様々な問題のIT専門家が必要である。セキュリティー対策の人材は、中でも必要性が高い人材だ』、「尼崎市」での「USBメモリの紛失事故」の背景には、「発注元にデジタル人材がいないので、丸投げになり、それがつぎつぎに下請けされて、コントロールできなくなる。今回も、市の許可なしに、再々委託が行われていたという。 つまり、問題の根幹は、デジタル人材の不足だ」、なるほど。
・『デジタル田園都市国家構想とは、高齢者支援? では、不足するIT人材を育成するために、政府は何をやっているだろうか? 政府は、6月1日、「デジタル田園都市国家構想実現会議」の会合を開き、基本方針案を取りまとめた。デジタル技術をいかした地域作りに貢献する中核的な人材を、国内の100の地域に配置するのだそうだ。 また、デジタル機器やサービスを利用する高齢者らを支援する「デジタル推進委員」を今年度中に全国で2万人以上確保するのだという。 「デジタル化が進んで高齢者が対応できないから、使い方を教える必要がある」という国の親心(子心?)は、分からなくはない。しかし、国の予算を使って進めるべきことかどうかには、疑問なしとしない。 緊急に必要なのは、サイバー攻撃に対処できる人材を大量に養成し、日本中の大企業、中小企業、零細企業で繰り広げられている戦闘に投入することではないか? そうした人材を育成する費用は、国が負担すべきだ。 防衛費を増額すべきだとの議論が始まっている。もし防衛費をGDPの2%にするなら、デジタル戦士の関連費用もその中に含めるべきだ。少なくとも、人材の育成に必要な経費は、そうだ』、「緊急に必要なのは、サイバー攻撃に対処できる人材を大量に養成し、日本中の大企業、中小企業、零細企業で繰り広げられている戦闘に投入することではないか? そうした人材を育成する費用は、国が負担すべきだ」、賛成だ。
・『220万人もいる休業者の有効活用を図るべきだ デジタル戦士の育成は、金だけあればできるものではない。人材が必要だ。では、「人手不足」が言われる日本で、人材はいるのだろうか? 実は、余るほどいるのである。 それは、「休業者」だ。休業者とは、仕事をせずに休業し、給料もらっている人たちのことだ。休業者の総数は、2022年4月時点で約220万人。これは完全失業者よりも多い。 これほど休業者が多くなっているのは、コロナ禍で雇用調整助成金の特例措置が拡充されて、休業手当のほとんどをカバーするようになったからだ。特例措置は2020年に導入された後、何度も何度も延長され、現在もまだ存在している。そして、支給額の総額は、5兆円を超えた。 休業の多くは、働く意思を持ちながら、何の仕事もしていない。また、他の仕事に転職するための就職活動も行っていない。こうして、貴重な労働力が放置されている。 政府もこれを問題視し、就職支援する活動を始めている。ただし、対象は介護が中心だ。しかも、対象人員が約2万人と、休業者の1%程度でしかない。 仕事をする能力を持ちながら仕事をしていない人々が、220万人もいるのだ。それらの人々の中には、再教育すればデジタル人材になり得る人が大勢いるだろう。 そうした再教育プログラムを国費を用いて開始してデジタル戦士を育成し、日本のデジタル安全保障を確固たるものにすべきだ』、「休業者の総数は、2022年4月時点で約220万人」、「それらの人々の中には、再教育すればデジタル人材になり得る人が大勢いるだろう。 そうした再教育プログラムを国費を用いて開始してデジタル戦士を育成し、日本のデジタル安全保障を確固たるものにすべきだ」、同感である。
第三に、9月30日付けダイヤモンド・オンラインが掲載したイトモス研究所所長の小倉健一氏による「河野太郎氏が激怒「役所でZoomは制限」なのが中国リスクだけでない残念な事情」を紹介しよう。この記事は、会員限定だが、登録すれば月5本までは無料で読める。
https://diamond.jp/articles/-/310451
・『河野太郎デジタル相は以前、オンライン会議ツール「Zoom」を仕事で使えないことに対して、Twitter上で怒りをあらわにしていた。その後、国会議員と各省庁のやりとりなど一部で解禁の動きがあったものの、なお利用は制限されている。理由の一つは、海外でも懸念が伝えられる「中国リスク」だ。ただ、それとは別にもう一つ、日本独自の残念な事情もあった』、「日本独自の残念な事情」とは何なのだろう。
・『世界中で使われているZoomが霞が関では利用制限 オンラインコミュニケーションツールといえば、米マイクロソフトが提供する「Teams(チームズ)」や米グーグルの「Google Meet(グーグルミート)」などいろいろある。ただ代表格といえば、米ズーム・ビデオ・コミュニケーションズのサービス「Zoom(ズーム)」であろう(以下、社名はズーム、サービス名はZoomと表記する)。 同社は2011年に中国山東省の出身で米国籍を取得したエリック・ヤン氏によって設立された。他のコミュニケーションツールと比べて、ズーム独自のデータ圧縮技術に優れていたことから会議中の動画品質が安定し、シェア獲得に大きく貢献した。 EmailToolTesterが21年3月に発表したオンライン会議ツールの世界シェアの推計によれば、日本、米国、英国、カナダ、ニュージーランド、韓国などでZoomはシェア1位を獲得しているという。 Zoomは新型コロナウイルス禍にあって、世界中のビジネスシーンや大学・研究機関などで大活躍した。日本でも多くの人が利用したことであろう。 しかしこのZoomだが、霞が関、すなわち日本の官公庁では使用することができない。国会議員と各省庁のやりとりなど一部で解禁の動きがあったものの、なお利用は制限されている。 理由の一つは、海外でも懸念が伝えられる「中国リスク」だ。ただ、それとは別にもう一つ、日本独自の残念な事情もあった。これらの根深い二つの問題についてお伝えしたい。(これ以下は前述の月5本の限定無料)』、なるほど。
・『Zoomの利用制限に河野太郎氏がTwitterで激怒 霞が関でZoomの利用が制限されていることについて、デジタル相に就任した河野太郎氏は、過去にこんな怒りをあらわにしてきた。 「Zoomというと条件反射のようにガチャガチャ言い始める人がいるが、多くのオンライン上の国際会議はzoomも使う。もちろんみんな当たり前に機器を使い分けたり、話す内容を変えたりしている。なんでもかんでも『こいつはzoomを使ってる』等と言って騒ぐ人は、オンラインで何をどうやっているのだろう」(2020年12月31日・Twitter、原文ママ) 「アメリカの米国国家安全保障局長官兼米サイバー軍司令官も、普通にZoomを使ってオンライン対話をしている。サイバーセキュリティは、根拠を持ってやることが大切」(2021年1月12日・Twitter) 河野氏は、Zoomが日常的な業務において使えないことに不便を感じていたようだ。しかし、米国をはじめとする多くの西側諸国はズームに中国政府が影響力を持っているのではないかと疑っていて、安全保障上の懸念を抱いているのも事実だ。 米国に拠点を置く著名な中国人活動家グループが「天安門事件31周年」を記念するZoomイベントを開催したところ、そのアカウントが閉鎖されてしまった。ズームの広報担当者は、この処置を「中国の法律を順守するため」と説明。後日、アカウントは閉鎖が解かれた。 米ニュースサイト「AXIOS」に掲載された記事(20年6月11日付)によれば、下記のような報道があった。 「ズームの製品開発拠点の多くが中国にあり、一部のZoomの通話が誤って中国のサーバーを経由していたことを同社は認めている」 「カナダのトロント大学の研究機関であるシチズンラボは、Zoomのセキュリティプロトコル(通信規約)に重大な懸念があることを発見したと述べた。また、ズームが中国に多くの労働力を抱えていることから、中国当局の圧力に反応しやすい可能性があると指摘した」 「台湾政府は安全保障上の懸念からZoomの公式使用を禁止し、米ニューヨーク州の学校や米国上院、ドイツ外務省も使用を控える、あるいは制限している」』、「「アメリカの米国国家安全保障局長官兼米サイバー軍司令官も、普通にZoomを使ってオンライン対話をしている。サイバーセキュリティは、根拠を持ってやることが大切」、分かった上で使っているようだ。ただ、多くは警戒的なようだ。
・『Zoomが取り沙汰される中国リスクの中身 ズームへのこうした懸念に対して、米セキュリティソフトウエア会社RSAセキュリティの関係者はこう打ち明ける。 「ズームは米カリフォルニア州に本社を置き、創業者であるヤン氏は米国籍を持っているが、中国・北京の強い影響下にあることが報道されてきた」 「中国での事業展開を許可された外国企業は、発言内容を規定する厳格な規則を順守する必要がある。また、ソーシャルメディア上の発言者をパトロールするインターネット上の治安組織にデータを提供しなければならない。各国のセキュリティ担当者は、Zoomの取り扱いを慎重に行うべきだ」 他にも、日経クロステックが転載した米ウェブメディア「The Intercept」の記事『ビデオ会議「Zoom」の暗号化は機密情報に不適切、中国との関係を研究者が警告』(20年4月10日)では、ズームと中国共産党のつながりに懸念を示すレポートが紹介されている。前出のシチズンラボが20年4月に掲載した「Move Fast and Roll Your Own Crypto」というレポートだ。 その内容について同記事は、以下のように報じている(二重かぎかっこ内は同レポートからの引用部分、社名の表記のみ「Zoom」から「ズーム」に変更した)。 「ズームのサービスは『機密情報に適しておらず』、ズームは中国政府に対して暗号鍵を公開するよう法律上義務付けられている可能性があるほか、同社が中国政府から圧力をかけられている」 「トロント大学Citizen Labが調べたところ、73ある鍵管理システムのうちの5つが中国に設置されているようだった」 「(米国とカナダに住む2人の研究者が)Zoomの会話をテストしてみたところ、会議で使われる共有暗号鍵が『中国北京に置かれたZoomサーバーによってTLSで暗号化した上で、もう一方の会話の参加者に送られていた』」』、やはりセキュリティ上は問題がありそうだ。
・『Zoom利用制限の裏に中国リスク以外の残念な事情 一般論だが、中国当局と強い関係がある企業の中には、「バックドア」と呼ばれる「中国当局による侵入ができる仕掛け」がソフト内に組み込まれている恐れがあるという指摘もある。 Zoomが霞が関で制限されているのは、こうした懸念が背景にある。ただ、より直接的な原因は、「ISMAP」(イスマップ、と読む)と呼ばれる「政府情報システムのためのセキュリティ評価制度」における資格取得を行っていないためだ。 「ISMAP」という言葉を初めて聞いた人もいるだろうから、簡単に説明をしておこう。安全保障上の理由から、政府や霞が関は安い、使いやすいからといって、何でもかんでも好きなソフトを使っていいわけではない。 そこで政府が民間企業に求めている基準がISMAPだ。これに記されている基準を満たし、認定されなければ、政府や霞が関では、そのソフトを使ってはいけないことになっている。) オンラインメディア「ZDNet Japan」が報じたズーム日本法人幹部のインタビュー記事(21年6月9日)によると、ズームは、「中国を敵視する米国の地政学的な動きによって、同社に対するネガティブなイメージが広まるなどの影響が出た」(佐賀文宣・ZVC Japanカントリーゼネラルマネージャー〈当時〉)という。そのことから、ISMAPについても「2021年中の認定取得に向けた対応を進めているという」と同記事内で報じられたが、これまでISMAPの取得はできていない。 ズームがISMAPを取得できていない理由について、デジタル庁の関係者はこう話す。 「ISMAPは1000項目以上という極めて細かいレベルの評価基準がある。この評価を受けるためには、1回当たり毎年数千万円、場合によっては1億円もの外部監査機関への支払いが必要だ。アメリカなどの諸外国と比べても過剰な項目数で、政府調達の足かせとなってきた」 「ズームと中国の関係はセキュリティ当局にとっても深い懸念材料だが、ISMAPの異常さによって、Zoomの霞が関導入は見送られていることになる」 「他方、政府側も利便性の観点から、機密性が低い用途については、自主的な判断でZoomの使用を黙認するケースが増えてきた。リスクを承知で使うのは、各省庁の判断というのが政府の言い分だ」 「しかし、リスクはあると言いながら、どんなリスクがあるのかと政府に聞いても、『中国の関与が疑われるから』などという説明は表立ってできないために、ムニャムニャと言葉を濁すばかり。非常に危険な状態だ」』、「ISMAPは1000項目以上という極めて細かいレベルの評価基準がある。この評価を受けるためには、1回当たり毎年数千万円、場合によっては1億円もの外部監査機関への支払いが必要だ。アメリカなどの諸外国と比べても過剰な項目数で、政府調達の足かせとなってきた」、欧米以上に厳しいのであれば、問題だ。「他方、政府側も利便性の観点から、機密性が低い用途については、自主的な判断でZoomの使用を黙認するケースが増えてきた。リスクを承知で使うのは、各省庁の判断というのが政府の言い分だ」、「政府」としてはそうするほかなさそうだ。
・『安全保障上の中国リスクとISMAPの過剰さは別問題 何とも不思議ないきさつではあるが、本来であれば、中国に対する安全保障上の懸念とISMAPの問題点は、それぞれにクリアしていなければならない話である。 「中国製品は調達しません」と政府が公言することは、世界貿易のルール上できない。しかし例えば、台湾有事が起きたときなどに、中国がバックドアを利用して日本の中枢を破壊しようとしてくる懸念は消えない。では、どうやったら実効性のある安全保障を構築できるのか。 その一方で、ISMAPの異常な基準によって、日本企業も含めたソフトウエア会社が霞が関の調達に参入しづらくなってしまっているのも事実だ。ISMAPをクリアできたがために、聞いたことがない会社が使いにくいソフトを霞が関に展開すると、迷惑するのは中央官僚だ。業務効率が著しく落ちるのは目に見えている。 この異なる二つの問題点の改善を早急に望みたい』、「ISMAPは1000項目以上という極めて細かいレベルの評価基準がある。この評価を受けるためには、1回当たり毎年数千万円、場合によっては1億円もの外部監査機関への支払いが必要だ。アメリカなどの諸外国と比べても過剰な項目数で、政府調達の足かせとなってきた」のであれば、少なくとも欧諸国並みにするべきだろう。なお、「ISMAP」についての政府のサイトは、ISMAPポータルだ。https://www.ismap.go.jp/csm。
タグ:情報セキュリティー・サイバー犯罪 (その9)(尼崎市USBメモリー紛失問題 大炎上した情報サービス会社「BIPROGY」の正体、今の日本はサイバー攻撃の絶好の対象 緊急・大量に必要な「デジタル戦士」はこうやって集めろ、河野太郎氏が激怒「役所でZoomは制限」なのが中国リスクだけでない残念な事情) 「マルウエアは、防御の弱い中小企業にまず侵入し、サプライチェーンの上流にいる大手への攻撃の踏み台にしているのだ。 トレンドマイクロの今年1~3月の被害約5万2000件のうち、8割超が日本国内で発生し、その多くが中小企業だという」、「欧米では、防御態勢が強くなってきた。ところが、日本は、警戒心も防御態勢も弱い。このため、犯罪集団は、最近、日本をターゲットとして攻撃を急増させている」、困ったことだ。 「「建設業界は元受け、下請け、孫請け、ひ孫請けのピラミッド構造になっている。実は、IT業界もまるっきり同じ。業務を丸投げするのが“常識”だ。この丸投げのほころびが露呈したかたちだ」、「尼崎市の稲村和美市長(49)は「契約違反があった」との見解を示し、一連の経緯を「損害賠償請求を検討する」。「平岡社長の首は風前のともしびだ」。 日刊ゲンダイ 有森隆氏による「尼崎市USBメモリー紛失問題 大炎上した情報サービス会社「BIPROGY」の正体」 お粗末極まる事件だ。 「ビプロジーは・・・4月1日に日本ユニシスから社名変更したばかり」伝統ある会社だ。「「紛失したのは再委託先の社員」としてきた説明をひるがえし、実際には、再委託先からさらに委託を受けた企業の社員だった。再委託は市の許可が必要と定められているが、市は「再委託、再々委託のいずれもビプロジー側から報告がなかった」としている」、 野口 悠紀雄氏による「今の日本はサイバー攻撃の絶好の対象、緊急・大量に必要な「デジタル戦士」はこうやって集めろ」 現代ビジネス 「システムをインターネットから隔離していた」が、「保守用回線が外部とつながっており、そこが侵入口となった」、「仕様が古い電子カルテシステムを動かすため、セキュリティー対策に必要な機能が意図的に無効にされていた」、「攻撃者に侵入されても分からず、防御が効かないという、かなりずさんな状態だった」、 「徳島県のつるぎ町立半田病院」では、「システムをインターネットにつながず、隔離」、「身代金を支払」えとの「要求」があったが、「身代金の支払いは拒否し、ベンダーにサーバーを借りて新たな環境を構築し、同じ電子カルテシステムを稼働させることで対処したが、費用は約2億円かかった。そして、約2ヶ月間、病院は麻痺状態に陥った」、「身代金」は「約2億円」以上であれば、「要求」に従った方が損失が少なくて済みそうだ。 「日本の医療・福祉施設は、「エアギャップ」でシステムを守っているケースが多いのだが、破られている。実際、21年には、医療・福祉施設のランサムウエア被害が7件、警察庁に報告」、「エアギャップを破る方法はいくつも開発されており、例えば、電力線を通じてハッキングすることも可能」、油断は禁物のようだ。 「日本では、もともとIT人材が不足している」だけに、特にその傾向が顕著な「医療機関」では深刻だ。 「緊急に必要なのは、サイバー攻撃に対処できる人材を大量に養成し、日本中の大企業、中小企業、零細企業で繰り広げられている戦闘に投入することではないか? そうした人材を育成する費用は、国が負担すべきだ」、賛成だ。 「尼崎市」での「USBメモリの紛失事故」の背景には、「発注元にデジタル人材がいないので、丸投げになり、それがつぎつぎに下請けされて、コントロールできなくなる。今回も、市の許可なしに、再々委託が行われていたという。 つまり、問題の根幹は、デジタル人材の不足だ」、なるほど。 ダイヤモンド・オンライン 「日本独自の残念な事情」とは何なのだろう。 小倉健一氏による「河野太郎氏が激怒「役所でZoomは制限」なのが中国リスクだけでない残念な事情」 「休業者の総数は、2022年4月時点で約220万人」、「それらの人々の中には、再教育すればデジタル人材になり得る人が大勢いるだろう。 そうした再教育プログラムを国費を用いて開始してデジタル戦士を育成し、日本のデジタル安全保障を確固たるものにすべきだ」、同感である。 ズームは中国政府に対して暗号鍵を公開するよう法律上義務付けられている可能性があるほか、同社が中国政府から圧力をかけられている」 「トロント大学Citizen Labが調べたところ、73ある鍵管理システムのうちの5つが中国に設置されているようだった」 「「アメリカの米国国家安全保障局長官兼米サイバー軍司令官も、普通にZoomを使ってオンライン対話をしている。サイバーセキュリティは、根拠を持ってやることが大切」、分かった上で使っているようだ。ただ、多くは警戒的なようだ。 「(米国とカナダに住む2人の研究者が)Zoomの会話をテストしてみたところ、会議で使われる共有暗号鍵が『中国北京に置かれたZoomサーバーによってTLSで暗号化した上で、もう一方の会話の参加者に送られていた』」』、やはりセキュリティ上は問題がありそうだ。 「ISMAPは1000項目以上という極めて細かいレベルの評価基準がある。この評価を受けるためには、1回当たり毎年数千万円、場合によっては1億円もの外部監査機関への支払いが必要だ。アメリカなどの諸外国と比べても過剰な項目数で、政府調達の足かせとなってきた」、欧米以上に厳しいのであれば、問題だ。 「他方、政府側も利便性の観点から、機密性が低い用途については、自主的な判断でZoomの使用を黙認するケースが増えてきた。リスクを承知で使うのは、各省庁の判断というのが政府の言い分だ」、「政府」としてはそうするほかなさそうだ。 「ISMAPは1000項目以上という極めて細かいレベルの評価基準がある。この評価を受けるためには、1回当たり毎年数千万円、場合によっては1億円もの外部監査機関への支払いが必要だ。アメリカなどの諸外国と比べても過剰な項目数で、政府調達の足かせとなってきた」のであれば、少なくとも欧諸国並みにするべきだろう。なお、「ISMAP」についての政府のサイトは、ISMAPポータルだ。https://www.ismap.go.jp/csm。
