梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

ECサイト運営事業者の責務

 ランサムウェアのように事業継続に直接影響しないからか、あまり大きな報道にならないが、ペイメントアプリケーションの改ざんによる個人情報窃取が頻発している。直近でも、

 

・全漁連のJFお魚マルシェ

・菓子店東京玉子本舗

・サッカーチームの東京ヴェルディ

・老舗のマルカワ味噌

・洋菓子のヴィタメール

 

 などのECサイトが改ざんされ、利用者のクレジット情報(カード番号・期限・セキュリティコード)や、ID/パスワードが盗まれた。これらの企業はECが本業ではなく、リアル店舗の補助の位置づけでサイトを展開していたのだろう。そこでオープンソースECサイト関連ツールを使って、サイト構築や運営をしていたものと思われる。

 

 その場合脆弱性をカバーする運用などの措置は、運営事業者に委ねられるのだが、十分な人材や時間を投入できなかったので、改ざんを許し顧客のデータを盗られてしまったのだろう。

 

        


 9万件もの被害が出た<タリーズコーヒー>の場合では、データ窃取が起きても被害に気付かず、5月に警察庁から犯罪のおそれありと指摘されてようやく認識したとある。

 

タリーズ、不正アクセスによる“個人情報漏洩の恐れ”公表し謝罪 会員情報9.2万件、クレカ情報5.2万件【全文】 | ORICON NEWS

 

 データ漏洩(クレジットカード不正被害)の恐れがあると5月に公表したものの、誰がその対象者かについてはようやく今連絡をしている状態である。このような被害に遭った企業の関係者からは、

 

・何が起きているか分からなかった

・どこに、どう相談すればいいかも見えなかった

 

 と赤裸々に告げられたことがある。一旦被害を受けると、経営者も対処について真剣に考えるのだが、多くの企業が「最初」はこんなものだろう。しかし年々サイバーリスクが増している状況であり、いかにECサイトは補助事業であっても、対処法を含めた覚悟や訓練をしておくことは経営者の責務だと考える。

 

 ECサイト運営事業者は確かに被害者なのだが、あまりに脆いと「善管注意義務違反」に問われるようになるだろうから。

 

<X>なき社会の実験は・・・

 昨日に引き続き、イーロン・マスク氏がらみの話題をもう一つ。SNS上で明らかな偽情報や誹謗中傷、さらには犯罪指令などが飛び交っているのは事実で、プラットフォーマーには<コンテンツ・モデレーション>という管理が求められている。管理といっても、場合によっては「検閲~言論の自由の侵害」と捉えられる場合もあって、その線引きが難しい。

 

 昨日紹介したように、大手のSNSとしては<X>と<テレグラム>が管理が甘く、後者はパヴェル・ドゥロフCEOが改善を約している。残るは前者だが、限定期間とはいえこれを全面禁止にした国がある。それがブラジル。

 

    

 

 ブラジルのルラ大統領は左派の政治家、2年前の選挙で右派のボルソナロ氏を接戦で破り、復帰を果たしている。つまり、政権は不安定で右派の暴力的な情報発信が悩みの種(*1)だった。<X>のマスクCEOとは種々の協議をしたようだが、管理に消極的な姿勢は変わらず、最高裁が全面禁止の措置に出た。

 

 そして1ヵ月、<X>側は罰金520万ドルを支払ったが、あろうことか(故意にか)間違った口座に振り込む(*2)という始末。誠意を疑ってしまう。結局振り込みなおして、ブラジルでの<X>は再会できたらしい。ただこの間、珍しく<X>のない時間を過ごした国なので、いくつか教訓があった。

 

 特に若者にSNS中毒のような現象が見られ、ブラジルのこの国家的実験は世界の注目を集めている。裁判所に対する強い抗議やデモ等の報道はなく、かえって市民のメンタルが改善した(*3)とも言われる。嘘はもちろん過激な情報の拡散は、社会を不安定にさせる。マスク氏自身がトランプ候補を擁護する偽情報を<X>上で拡散、12億回視聴されている(*4)。拡散の中心となっている管理の甘いSNSをどうするか?強く制限するなり禁止するにあたっては市民への十分な説明が必要で、各国政府のスタンスが問われる。

 

*1:ブラジル大統領がマスク氏批判 CNNとのインタビューで - CNN.co.jp

*2:X、罰金7.7億円支払い ただし誤った口座に ブラジル 写真2枚 国際ニュース:AFPBB News

*3:ブラジル「Xなき日常」1カ月 3割がメンタル改善 - 日本経済新聞 (nikkei.com)

*4:オーナーの「特権」を利用 偽情報で米大統領選挙戦かき乱すマスク氏(毎日新聞) - Yahoo!ニュース

企業価値の問題ではないから・・・危険

 今月末には、石破政権の行方を占う総選挙の投開票がある。それから1週間もたたないうちに、世界が注目する米国大統領選挙だ。今年はまれに見る選挙イヤーで、欧州もインドも揺れ動いた。そうそう、ロシアでも大統領選挙があった。

 

 正しく民意を汲むというのはなかなか難しいのだが、中でも最近脅威となっているのが民意を歪める可能性の高いSNS。メディアはもともとある程度のバイアスがかかるものだが、一応放送法等によって大きな逸脱はできないようになっている。しかしSNSにはそのような縛りが緩く、偽情報の温床になる上に、従来メディアを凌駕するインフルエンス能力を持っている。

 

 表現の自由は両刃の剣であって、自己の主張をする自由の一方、嘘を拡散する自由もあるのだ。そこで、ファクトチェックする第三者機関(*1)が重要になるし、SNS等プッラトフォーム事業者には、「コンテンツモデレーション*2」が求められる。

 

    

 

 多くの事業者は、投稿内容の管理に力を尽くすのだが、大規模SNSの中でそれに背を向けているのが<テレグラム>と<X>。前者のCEOパベル・ドゥーロフはパリで逮捕され、すんなり改善を約束した(*3)。残るはイーロン・マスクの後者である。

 

Xの価値はマスクによる買収当時の「5分の1強」に減少、フィデリティが試算 | Forbes JAPAN 公式サイト(フォーブス ジャパン)

 

 Twitterを買収し、Xと改名して2年余。トランプ(当時)大統領のツイートに警告を出すなどしたことが問題とされ、マスク氏が買い取って非上場とし、事実上彼のプライベートメディアとしてしまった。有力なスポンサーが去り市場価値が下がったのは当然だが、そんなことは織り込み済みだろう。営利目的なら、オーナーたるマスク氏は方針を変えるか、売却して撤退する。カネの問題ではないから、手放さず目的のためにとことん使う。

 

 米国における<X>の今後は、大統領選挙の結果次第と思う。トランプ復帰なら、御用メディアになるに違いない。ブラジルでの<X>禁止が各国に広まる可能性もある。一方で、独裁政権に利用される可能性もあるから、少なくとも民衆には危険な存在となっている。

 

*1:ファクトチェックのコスト負担 - 梶浦敏範【公式】ブログ (hatenablog.jp)

*2:コンテンツモデレーション(前編) - 梶浦敏範【公式】ブログ (hatenablog.jp)

*3:意外にあっさり「改善に努める」と・・・ - 梶浦敏範【公式】ブログ (hatenablog.jp)

カフェというセキュリティホール

 先月まだ暑さが厳しい中、ホテルのチェックインまで15分ほどあったので、ホテルに隣接した<エクセルシオール・カフェ>に入った。企業訪問の前に、仲間と待ち合わせでコーヒーショップを利用したことはあるが、一人で入るのは何十年ぶりだろうか?

 

 大きなテーブルに着いてカフェオレを飲みながら店内を見渡してみると、ほとんどの客が一人で来ていた。そしてPCを開いている人が多い。奥まったところでは、ひそひそ声でだがビデオ会議をしている人もいた。

 

「 何がスタバなう…だ!」PC片手に朝から晩まで居座る迷惑客たち。画面も会話も筒抜けの人たちが見落としている本当にヤバすぎること。(FORZA STYLE) - Yahoo!ニュース

 

 この記事では、コーヒー1杯で延々粘るビジネスマンなどがいることを取り上げている。店や他の客にとっては迷惑なことだが、それとともにPCをのぞき見されたり、会議内容を聞かれたりするリスクがあると伝えている。

 

    

 

 私の所属するシンクタンクの研究者が、企業のサイバーセキュリティのためには、セキュリティの専門家以外の一般従業員もセキュリティリテラシーを持つ(*1)べきと主張している。その分かりやすい例として、テレワークで公共空間でPCを開くことを挙げている。リテラシーある社員ならそのようなことは避けるが、リテラシーがないとリスクを負ってしまうのだ。

 

 セキュリティマネジメントをする部門としては、想定していない環境でPCなど使った業務をされると困ってしまう。私用のデバイスを使われたり、正規でないアプリを使われるケースも含めてだ。加えて、WiFi環境など通信路にもリスクがある。ドイツ軍の高官が航空博の会場で不用意にOpen-WiFiを使って、会議内容を傍受された例(*2)もあった。

 

 米国ビッグテックの中では、週5日勤務を義務化するところも出てきている。テレワークのマネジメントが難しくなったとの判断もあるのかもしれない。

 

*1:Proactive-Plus-Security-Human-Resources.pdf (j-cic.com)

*2:「Open WiFi」はやはり危険 - 梶浦敏範【公式】ブログ (hatenablog.jp)

知事のAI規制法案拒否に関する報道

 先月末、米国カリフォルニア州のニューサム知事は、議会が可決したAI規制法案への署名を拒否した。欧州では「AI Act」が成立し、禁止されるAI、監督が必要なハイリスクAIなどの規制が始まっている。米国ではカリフォルニア州が、最初にこの問題に取り組んでいた。

 

米カリフォルニア州知事、AI規制法案への署名を拒否 | ロイター (reuters.com)

 

 正直まだまだ激しく変化するAIに対し、法律での規制は難しいと思うのだが、知事の拒否権発動にメディアの反応はさまざまだった。上記の記事が一番フェアに書いていて、その他の記事も総合するとニューサム知事は「リスクに対応するには不十分で、弊害も大きい。最善とは思わない」との理由で拒否した。これに対し、

 

    

 

・開発企業が技術発展を妨げるとして反対、地元大物議員も同調(産経新聞

・基本機能にも厳しい基準を設け、最善の道ではない(読売新聞)

・テック企業の巨額資金を背景にしたロビー活動が奏功(日経新聞

・全米初のAI規制法案は成立しなかった(朝日新聞

・大規模モデル以外への対処が不十分(時事通信

・大規模モデルの他、多くのAIが監視対象外になる懸念(WSJ

・規制の枠組みは技術開発のペースに合わせるべき(TBS)

 

 と報道の力点は広く分かれた。いざとなれば他州に出て行ってしまうかもしれないテック企業に視点を置いた報道もあれば、知事の拒否理由発言を中心に掲げた報道もある。「全国初はならなかった」とする朝日新聞の報道には、少し驚かされた。導入されるのが当然と思っていて、どこが最初かとのレースのように記者が見えていたとも思われる。ニューカム知事もAIリスクはあると認識していて、法案がいう、

 

・開発規模1億ドル以上

・緊急時の(手動)停止機能

・安全性テストの徹底

 

 では不十分だと拒否理由を述べている。産業界や議員の圧力はあったろうが、それを鵜呑みにした決定ではあるまい。「技術開発のペース」に合わせるため、有識者会議を作って議論をしてゆくとある。

 

 知事の拒否権発動という事実よりも、各メディアのこの問題に対するスタンスが垣間見えた案件だった。

 

「政治的資本主義」からは逃れられず

 リーマンショックの時は4兆元もの資金拠出そして世界経済を支えた中国だが、今は世界恐慌の発信源になるかもしれないリスクを抱えている。かといって、人民元の大量増刷も難しい(*1)と言われている。富裕層は米国等に脱出・逃避を図り、その一部は日本でタワマンなど買いあさっているとも伝えられる。

 

 国内では失業率が高止まり、高学歴者でもいい職にはありつけないという。富裕層のように逃避できない市民の間には不満がたまり、これに対処するため景気刺激策として、政策金利下げや預金準備率の引き下げなど金融緩和を最大規模に行っている。

 

中国が最大規模の景気刺激策を発表、これで泥沼から抜け出せるか──外国人投資家の見方|ニューズウィーク日本版 オフィシャルサイト (newsweekjapan.jp)

 

    

 

 加えて最貧困層500万人ほどには、現金給付も行う(*2)という。それでも上記記事にあるように「手術が必要な人に痛み止めを投与」する効果しかないと思われる。記事には明示していないが手術とは、

 

不良債権の(痛みを伴う)整理回収

・非効率な国営、公営企業の民営化

規制緩和による新産業創出

 

 なのだろう。2つの資本主義(*3)のうち、中国は明らかに「政治的資本主義」だが、そこから「リベラル能力資本主義」の要素にシフトしていくべきだ。しかし、現実には、習政権は「政治的資本主義」をより強化して、テック企業などを叩いている。その警告が如実に表れたのがこの数字。

 

中国のスタートアップ企業が5年で98%減「もう会社設立する意味なくなった」と起業家ら | Business Insider Japan

 

 スタートアップ企業はいい面ばかりでないのは確かだが、それが2%になってしまったというのは問題である。次世代へのアクティビティがそがれてしまった中国経済の行方は、相当難しいと言わねばならないだろう。

 

*1:人民元の意外な信用度 - Cyber NINJA、只今参上 (hatenablog.com)

*2:中国、極貧層に現金給付実施へ-金融緩和に続き異例の家計直接支援 - Bloomberg

*3:2つの資本主義、日本はどこへ? - 梶浦敏範【公式】ブログ (hatenablog.jp)

日本の半導体産業復活のため

 業界の大先輩から「日本半導体物語~パイオニアの証言」という新刊書を送っていただいた。あしかけ70年の半導体開発史(*1)である。

 

・ラジオを小型化したトランジスタ

ICBMの射程を延ばした集積回路(IC)

・電卓を小型化、低価格化したLSI

・コンピュータのメモリを拡張したDRAM/SRAM

・コンピュータを机上に置いたマイコン

 

 などの例が示されていた。著者には「一国の盛衰は半導体にあり」という著書もある。経済安全保障で見直されている半導体産業の重要性を、逆風の時代も含めて説き続けてこられた。

 

 半導体製造装置などの川上産業から、中流域の半導体産業、さらにアプリケーションという川下産業までセットにした産業政策が必要だとある。日本政府は、DRAM製造のマイクロン(*2)やファウンドリーのTSMCを誘致して「半導体産業復活」と言っているが、それには違和感がある。

 

        

 

 日本の企業は「How to Make」には長けていて、メモリという単機能チップについては世界を席巻できた。しかし「What to Make」では、PC~PDAスマホの時代を先取りした米国企業に敵わなかった。もちろん<日米半導体協定>のような圧力はあったにせよ、アプリケーションを含む「先」が見えず、経営が迷走してボラティリティを高めたのが衰退の原因(*3)である。

 

 本当の「復活」を目指すなら、川上産業が強みを残しているうちに、中流域の工場誘致の資金が続くうちに、川下産業の強化(&イノベーション)をしなくてはならない。この書に、次のアプリ(半導体適用分野)は、自動運転車・会話できるロボット・ドローンなどとある。

 

 我々は、この提案をより具体的に「What to Make」として考え抜くことである。その上で、どんな販路・製造技術・必要素材などをどうするかに落とし込んでゆくべきだ。若い政策研究者、事業家、技術者にはそれを望みたい。

 

*1:経済安保で注目される今こそ - 新城彰の本棚 (hateblo.jp)

*2:そのDRAMは何に使われるのか? - 梶浦敏範【公式】ブログ (hatenablog.jp)

*3:半導体産業、栄光と挫折(前編) - Cyber NINJA、只今参上 (hatenablog.com)