梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

トップ > サイバーセキュリティ

両面の法整備が必要だったのだが

サイバーセキュリティ 政界・官界・産業界

 今国会では「重要経済安全保障情報の保護・活用法案」が衆議院を通過し、いわゆるセキュリティ・クリアランス制度が日本でも実現しようとしている。米国のグローバルパートナーになり、英国とも緊密なインテリジェンス情報共有体制が構築できそうな外交状況にあるのだが、その重要情報が日本国内から漏れ出すようなことがあってはならない。

 

 公務員は「特定秘密保護法」で罰則付きで情報管理を義務付けられているが、例えば重要インフラ企業のCISO等は、自企業ひいては日本社会を守るために役立つ情報を知ることができない。これを解消しようと上記法案が制定に向け、議論されている。ただ、グローバルパートナーになったから情報が入ってくるとは限らない。

 

    

 

 この種のことは「Give & Take」が基本。日本政府も、英米等に役立つ情報を自前で収集できることが重要だ。そこで情報の保護・活用と並んで収集をどうするか、これが「Active Cyber Defense」の要諦である。

 

政治空白が影を落とす - 梶浦敏範【公式】ブログ (hatenablog.jp)

 

 で述べたように、この両面(保護・活用と収集)の法整備が必要だった。一方はメドが付きそうだが、もう一方はどうか?

 

サイバー防御法案、今国会見送りへ 「通信の秘密」議論進まず:時事ドットコム (jiji.com)

 

 にあるように、どうも暗礁に乗り上げているようだ。「憲法21条:通信の秘密」に関する議論が進んでいないからだと、この記事は言う。内閣法制局が動いていないとも読めそうな記事だが、本件の本質は政府の信用度にある。

 

 政府に信用が十分あれば解釈改憲して「不正アクセス禁止法」など周辺法制の改正も可能だが、現時点の支持率では官僚組織も動くに動けないのが本音だろう。官僚組織は、見るとはなしに市民の感触を探っている。

 

 ただ本件は、日本がこれからの国際社会で生き残れるかどうかに直結する重要案件。「保護・活用」だけでなく「収集」にも道を拓かないと危ないと思われる。政権は口で「丁寧な説明」と言うだけでなく、ハラを据えて真摯な議論をしてほしいものだ。

 

ランキング参加中
政治

ランキング参加中
セキュリティ

サイバー犯罪対応統一窓口

サイバーセキュリティ 政界・官界・産業界

 昨年夏に警察庁から送ってもらった「令和5年警察白書」によると、サイバー事案による検挙数は着実に増えていて、2021年に12,000件に達し、2022年度では12月までの9ヵ月間で12,000件を越えてしまったとある。

 

 警察組織の中枢に「サイバー警察局」ができて2年になる。警察庁には今、5つの局と長官官房がある(*1)。5つとは、刑事局・交通局・警備局・生活安全局とサイバー警察局である。サイナー警察局以前には、生活安全局が出来たのが20余年前。それまで犯罪が起きないと「民事不介入」を盾に、市民が不安に思っても警察は動いてくれないとの批判に応え、生活安全局が設置された。

 

 それまでの「犯罪があったら言ってこい。犯人は捕まえてやる」とのスタンスから、疑いでも現場が行動するようになってくれたと警察庁の高官はいう。サイバー警察局の設置も、似たような行動変容をもたらしてくれる(*2)ことを私も期待していた。

 

    

 

 このところ暴れ回っているランサムウェアの被害で、データが暗号化されて困っている企業などに対して、警察が暗号解除して救った例(*3)も紹介されて、間違いなくデジタル警察は進歩している。

 

 ただ、市民から見れば「サイバー犯罪を受けたら、誰に相談すればいいのか?」という悩みは残っている。近所の交番に言っても、専門官はいないだろう。じゃあ、警察署?それも本部じゃないとダメ?ひょっとして専門部隊に直接・・・?と迷ってしまう。

 

 そこで警察庁では、都道府県警察に対するサイバー事案の通報窓口を、警察庁サイト上で統一した(*4)。QRコードでサイトにアクセス、規定のフォームに入力すれば通報が完了する。あとの対処は、警察庁サイトから指示を受けた現場が行うのだ。

 

 これは単なる窓口サイトの新設ではない。通報を受けてどう動くかが定められた、つまり対応体制が決まったということを示している。サイバー犯罪者も続々新手を繰り出してくるのでいたちごっこではあるものの、日本の警察の努力も買いたいと思う。

 

*1:kuninokeisatukikouzu.pdf (npa.go.jp)

*2:デジタル犯罪は良く分からないので敬遠 ⇒ デジタルでも犯罪は犯罪として、ちゃんと取り締まる

*3:警察庁が暗号化解除に成功 - Cyber NINJA、只今参上 (hatenablog.com)

*4:R6_Vol.1cpal.pdf (npa.go.jp)

ランキング参加中
セキュリティ

大きな枠組みの議論を期待する

サイバーセキュリティ 国際情勢・市場

 先週、日本にセキュリティ・クリアランス(SC)制度を導入する「重要経済情報保護及び活用に関する法律案」が衆議院を通過し、参議院に送られた。この制度に関しては、私も2年ほど研究してきて、

 

・機密情報を、例えば重要インフラのサイバー防御に使うために有用

・そのために、民間人まで含めた適性評価は必要だが、それで十分か

 

 と意見を述べてきた(*1)。公務員は「特定秘密保護法」で適性評価の対象となり、罰則もあるのだが、同様のもしくはより機密性の高い情報に触れる可能性のある、政務三役やその秘書が適性評価の対象でないのは問題だと思った。

 

 衆議院での論戦では、唯一国民民主党がこの点を取り上げた(*2)が、政務三役含めた政治家への適用に関する修正は成されなかった。政治家にこれを求めることは、各国でも行われていないようだ。もし米国大統領候補に適用したら、またぞろ「選挙妨害だ、政治的迫害だ」と叫ばれてしまいかねない。

 

    

 

 野党の追及は「機密情報の範囲が明確でない」など、根幹とは言えない部分に終始(*3)した。リサーチ力で定評のある共産党も「米国との兵器共同開発につながるから怪しからん」程度の追及しかしていない。国民民主党を除き、野党の勉強不足が目立った。

 

 「明確でない」の批判に対して高市大臣は「基本的人権を侵害しない規定になっている」と回答。これは、この時点では仕方のないことだ。法律が制定されたら、各府省が法律に関する施行令・施行規則・ガイドライン等を作って、実務的にどうするかを定めてゆく。これらは国会など外部からの審議は経ないとはいえ、パブコメなど民間から意見を述べる機会はある。これらが定まらないと、企業実務としては体制・運用の仕方がわからないのだ。

 

 確かに法の主旨を超えて、施行令などが制定されて空文化してしまうことはある。しかし多岐にわたる業種や業務に即した何かを法律そのものに書き込むことなど不可能だ。国会にはいつも「大きな枠組みの議論」を期待しているのだが、今回もほとんど裏切られた形である。

 

*1:クリアランス制度の適性評価 - 梶浦敏範【公式】ブログ (hatenablog.jp)

*2:【衆本会議】浅野哲議員がセキュリティクリアランス法案に対する賛成討論 | 新・国民民主党 - つくろう、新しい答え。 (new-kokumin.jp)

*3:機密の範囲はヒミツです? 「経済安保情報保護法案」参院審議入りするのに、運用の詳細は「後で決める」 :東京新聞 TOKYO Web (tokyo-np.co.jp)

ランキング参加中
政治

ランキング参加中
セキュリティ

ひとつの帽子、複数の帽子

サイバーセキュリティ 企業経営

 企業で、サイバーセキュリティ対策を担う役員(or準役員)であるCISO。比較的新しい役職であり、業種等によってさまざまな位置づけがあって、職責・権限も百人百様である。私たちはCISOを応援する立場で、CISO同士が意見交換し本音を語れる場を設けたり、CISOに対しての情報提供や要望聴取を行っている。そんな議論の中で、CISOが専任か、兼職かの議論があった。

 

 最初にCISOをおく時、多くは兼職である。ITガバナンスを担当しているCIOに、もうひとつの役職としてCISOを担ってもらうのが普通かもしれない。この場合、

 

◇CIO DX促進のため、デジタル化のアクセル役

◆CISO デジタル化のリスクを考え、必要ならばブレーキ役

 

 の双方が一人の人物に委ねられることになる。

 

    

 

 CIO/CISOだけでなく、技術革新を担当するCTO、データの管理・活用を担当するCDO、自然災害なども含めたリスク管理を担当するCROの帽子をかぶった役員も少なくない。ある企業で、このように複数キャップを被っているCISOから、専任のCISOに替わったがどうだったのかの感想を聞くことができた。

 

◇良かったこと

 前任者は、勤務時間の1割ほどしかCISOとしての執務ができなかった。上司も部下も、いつでも相談できるCISOの存在はありがたかった。

 

◆違和感を覚えたこと

 しばらくすると、何か問題(&問題の芽)があると、CEOがCISOに常に意見を求めるようになった。他の役員の緊張感が薄れ、いざというときの対応に不安が出てきた。

 

 私は「CISOの職責・権限に定番はなく、その時の役員全体の資質や人間関係にも関わって、適材適所を常に考える必要がある」とした上で「ひとつの帽子が理想だが、複数の帽子でもきちんと立場を分けて考えられる人なら問題はない」と話した。真面目過ぎる人には複数の帽子は難しいかもしれないとも付け加えた。

 

 WWⅡ時代、東条英機首相が陸軍大臣参謀総長をも兼務した時の混乱(*1)を思い出したからである。

 

*1:歴史探偵の遺言 - 新城彰の本棚 (hateblo.jp)

耐震化だけではないミッション

重要インフラ サイバーセキュリティ

 今月から、上水道の整備・管理業務が、厚労省から国交省に移管された。以前から下水道は国交省担当だったから、上下水道の管理元・責任元が一元化(*1)されたわけだ。当面焦点が当たっているのは、今でも断水地域が多い能登半島地震の普及や、他の地域でも起きうる被害の軽減である。土木工事については、衛生管理には長けている厚労省も不得手、妥当な「省庁再編」であろう。

 

 社会インフラには相互依存性があり、このケースでは道路や河川(堤防)と水道の相互関係である。特に道路は、電力や通信(*2)インフラのベースとなるケースも多いので、国交省が社会インフラの有力プラットフォーマーだとも考えられる。

 

    

 

 私自身も国交省の技術部会メンバーとして、社会インフラ整備の議論に参加している。そこで強調しているのは、デジタル化される社会インフラの防御。多くの部会員は土木・建築・経済の専門家で、自然災害対応の議論に傾きがちなところ、私はサイバーリスクへの対応も呼びかけている。

 

 今回の上水道管理部署の移管についても、海外では上水道システムをクラッキングして、水酸化ナトリウムや塩素の濃度をリモートで上げてしまう例をひいて警告した。イランとイスラエルの暗闘で、この種の攻撃が行われた(*3)のが最初らしいが、米国(イラン曰く大悪魔)でも被害があり、イランだけではなく中国のハッカー集団の脅威も高まっているという。

 

水道システムは「サイバー攻撃」の格好の標的、米当局が警告 | Forbes JAPAN 公式サイト(フォーブス ジャパン)

 

 私がいくつかの府省と付き合った経験では、理系技官が多くその処遇が高いほど、当該省庁のデジタル政策に対する真摯さが高い。国交省総務省経産省に劣らないポテンシャルがあって、予算も大きい。デジタル化された社会インフラを護る能力は高いと、期待する次第である。

 

*1:上水道の整備業務 厚労省から国交省に移管 水道管理を一元化へ | NHK

*2:5G通信でも高周波になると直進性が高く、道路信号の上に中継局を置くと便利との指摘もある

*3:イスラエル対イラン、サイバー空間の暗闘 - 梶浦敏範【公式】ブログ (hatenablog.jp)

ランキング参加中
政治

ランキング参加中
セキュリティ

「ボスが来たボタン」は無意味

サイバーセキュリティ 企業経営

 あるメディアの企画で、クライアント管理ツールを主力製品としている企業の役員と対談することになった。同社の製品は「COVID-19」禍でテレワークが爆発的に増えた時期に市場を広げ、タクシー車内でのCMなどよく見かけるようになっている。

 

テレワーク状況を管理する? - Cyber NINJA、只今参上 (hatenablog.com)

 

 今も順調に事業は伸びているようだが、CM等の効果でIT部門やセキュリティ部門にはアピールできても、まだ経営者へのアピールが足りないとの意識がおありのようだ。そこにメディアが「経営視点のセキュリティ議論をしましょう」と持ち掛け、何人かの専門家と企業幹部の連続対談を企画したという次第。

 

        

 

 私からは、サイバーセキュリティは経営課題・サプライチェーンリスクへの対応・中小企業における課題・DX with Securityはなぜ必要かなどをお話しした。先方からは、多くの中小を含む企業での現場体験から、クラウド利用の課題・PC/モバイル管理の実態・人材獲得の課題などの説明があった。

 

 1.5時間ほどの対談を終わり、写真撮影をしながらの雑談で、少し聞きづらいことを聞いてみた。それは、どこにいようがPC操作画面をモニタされているので、監視ソフトだという批判はないかというもの。

 

 かつて(Macだったか)「ボスが来たボタン」がキーボードにあり、執務中ゲームなどしていて、上司の姿が見えた時このボタンを押せば、ワーク画面(例えば表計算)になってくれた。貴社のツールは「そんなボタンも無意味にするものですね」と尋ねた。

 

 すると「いや従業員にとってもメリットがあるのです。就業時間外に急にやった作業もログがあるので、残業時間にカウントできます。リアル監視というよりログなのです」との回答だった。その後の会話で、日本のホワイトカラーがジョブ型・成果主義ではなく、実質時間給だというのが結論になった。

 

 欧米なら非難されそうなクライアント管理ツールが日本では普及しつつあることは、独特な「働き方」に起因しているようだ。

ランキング参加中
社会

スマート家電が乗っ取られた?

サイバーセキュリティ デジタル社会

 このところのエレクトロニクス製品は、ほぼすべて小さなコンピュータを内蔵していると考えられる。それによって、自動車も家電もずっと使いやすくなった。メンテナンスも楽になって、相対的なライフサイクルコストも下げることができた。その一方、新しいサイバーリスクを抱えることにもなった。

 

 ずっと昔、DVDプレーヤーが大量に乗っ取られて「DDoS攻撃」に利用される事件があった。インターネット経由でAV機器の能力は増したが、最初からネット接続を考慮しない設計だったゆえの「脆弱性」があったとされる。

 

 昨年は、防犯カメラが同様に「DDoS攻撃」に使われた(*1)。総務省傘下の情報通信研究機構NICT)が独自の調査(*2)をして、ウイルス感染を検知したとある。

 

        

 

 このところ韓国で、シャオミ(小米)のEV車が暴走するというニュースが複数あった。この原因は不明だが、ひょっとすると・・・と思わせる。また韓国メーカーLG電子の洗濯機が、膨大な通信をしているので調査中との報道がある。

 

LGの洗濯機がなぜか1日3.6GBもデータ通信をしていると持ち主が困惑、LGが調査に乗り出す - GIGAZINE

 

 昨年の「CES」で、LGは白物家電をアプリで機能更新できるようにしたと発表、話題を呼んでいた。ユーザの好みに合わせて機能拡張やカスタマイズができるので、利便性は向上する。その一方、やはりリスクはあったようだ。

 

 この記事は、洗濯機(内のコンピュータ)が勝手に何らかの作業をさせられていたのではと疑っている。動いていない洗濯機は一杯(ネット上に)あるから、その能力と電力を誰かが勝手に使っていたというわけ。日本でこれが発覚すれば、不正アクセス禁止法のほか、刑法の窃盗(盗電)にあたるかもしれない。

 

 このような犯罪は、一般ユーザが気付くのはまれで、やはりメーカーや通信事業者、NICTのような公共機関が検知して欲しい。このところ「憲法21条通信の秘密」に関する議論が聞かれないが、犯罪の検知や防止のため、捜査機関や通信事業者等がどこまで可能かの議論を急いでもらいたい。

 

*1:学校の防犯カメラ、ウイルス感染 犯罪に悪用、盗み見の恐れも:東京新聞 TOKYO Web (tokyo-np.co.jp)

*2:NICTはある条件下で、市中の機器に対して疑似攻撃をかけ脆弱性を検出することができる(不正アクセス禁止法の例外規定)

ランキング参加中
政治

ランキング参加中
セキュリティ