梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

トップ > サイバーセキュリティ

日本にデータセンターを作るには

デジタル社会 サイバーセキュリティ

 訪米中の岸田総理は、大統領との会談や議会での演説のほか、産業界の要人とも会談している。代表格がMicrosoftのブラッド・スミスCEO。同社は、総理との会談の後に、日本でのデータセンター投資(*1)を発表している。

 

 日本でのデータセンター新設/投資は、GoogleAWSも発表していて、日本はデータセンターの好適地となってきたようだ。クラウド技術が普通になった今では、正直データセンターの場所はインターネットが繋がるところならどこでも構わない。だから経済合理性で立地を選び、各国の政策や法律に縛られないようにしたいとテック企業は思っている。

 

 ただ、世界が平和だった時代は過去のものとなり、種々のデカップリングや国境障壁ができてしまったので、経済合理性だけでは立地を選べなくなった。もちろん以前からこれらのことは考慮していたのだが、より一層重要になったのが、

 

        

 

1)事業継続の意味での安全性、通信・電力等のインフラは十分か?

2)データ等の保護という安心、リアル/サイバー両用のセキュリティ性は高いか?

 

 の2点。これらの点で日本がそれなりに評価されたということになる。具体的には、通信の確保と安価な電力の安定供給。特に後者は、原子力発電所の再稼働が(特に東京電力管内で)できることが求められる。巨大IT各社はデータセンターでAI運用をすると述べているが、AIは大量の電力を消費する(*2)ことが知られている。

 

 またセキュリティ性については、経済安全保障法制、経済秘密保護法制にめどが立って、重要秘密を守れる国に近づくことが必要だ。岸田政権は国内では不評なのだが、以上2点については積極的に推進している。今回の訪米にあたり、急遽齋藤経産相を伴うことにしたのは、メディアではGX中心に語られるが、この2点に大きく関わる大臣だったからと思う。

 

 データセンターがどこにあってもいいのは事実だが、「DATA Driven Economy」になった現代では、データの保有量はある意味国力。今回の首相訪米は、この点に関しては合格点と言えるだろう。

 

*1:マイクロソフト、日本でのAIとクラウド強化で4400億円投資発表 - Bloomberg

*2:デジタル社会はエネルギー革命を求む - 梶浦敏範【公式】ブログ (hatenablog.jp)

ランキング参加中
政治

ランキング参加中
経済

ランキング参加中
セキュリティ

一次被害・二次被害、そして・・・

サイバーセキュリティ 企業経営

 サイバー攻撃の脅威は世界中で高まっていて、被害が増えていることも確かだ。しかし実際にどのくらいの「被害」があったのか?その被害額についての情報は多くない。ある業界団体の調査では、ケース毎の平均被害額がレポートされていた。

 

・Webサイトからのカード情報漏洩 38M¥

・同個人情報(のみ)の漏洩 30M¥

ランサムウェア感染 24M¥

・Emotet感染 10M¥

・その他 5M¥

 

 中小企業であっても、2,000万円を越える被害を受けるのだと警告している。注記として「機会損失等の被害は把握できておらず、実際の被害額はさらに多くなる」とあるのだが、確かに直接被害額以上に損失を被っているのは理解できる。

 

    

 

 つまり、被害のうち一次被害は何とか算定できても、二次被害はよく分からないというのが実態ということ。例えば、あるキャッシュレスペイメントを始めたところ、セキュリティが甘くて3,800万円ほどのなりすまし被害が起きたことがある。結局当該サービスは3ヵ月で閉鎖されるのだが、ユーザーへの通知や問い合わせ対応でコールセンターを設けるなどして40億円以上かかってしまったという。後者については、サイバー保険の対象外であってサービス企業は痛手を負った。

 

 冒頭のレポートは、中小企業経営者にもサイバーリスクを認識してもらうためのものだが、ある有識者は「わずか2,000万円か、セキュリティ費用はその何倍もかけているぞ」と企業経営者に思わせてしまうこともあり得るという。その後、複数の識者の間で、

 

・一次被害額だけでは、矮小化された印象を与える

・しかし、二次被害額を算定するのはとても難しい

・それ以上に企業ブランドの棄損も大きいが、これはもっと算定できない

 

 との議論になった。経営者に刺さるのは、やはり数字(金額)なのだが、三次被害ともいえる「企業ブランドの棄損」は、リアルな数字にはならない。カンのいい経営者なら、この被害を肌感覚で受け止め対策に注力するだろう。結局経営者の能力次第となるのだが、サイバーセキュリティ研究者としてはせめて二次被害、できれば三次被害の算出方法を考えなくてはなるまい。

 

ランキング参加中
セキュリティ

三位一体のリスクマネジメント

サイバーセキュリティ 企業経営

 先月、NIST(米国国立技術標準研究所)のサイバーセキュリティ・フレームワークの改訂版が発表された。いわゆる「NIST CSF 2.0」である。まずタイトルが、「重要インフラのサイバーセキュリティを改善するためのフレームワーク」から重要インフラの文字が消えて、全ての組織に対応するものになったことを示している。

 

 内容として一番大きく変わったのが、これまで、

 

・特定 Identyfy

・防御 Protect

・検知 Detect

・対応 Respond

・復旧 Recover

 

 の5要素を示していたのだが、これらをすべて包摂する形で第6の(最も重要な)要素ガバナンス(Govern)が入ったこと(*1)。

 

    

 

 企業でサイバーセキュリティを担う、例えばCISOの悩みには、

 

・関連会社、海外子会社、仕入れ先などは見えにくい

派遣社員含め従業員が使っているデバイスも見えないことがある

・対応、復旧にあたっても、その優先順位が分からない

 

 などがある。これらは結局、企業経営としてのガバナンスが十分でないから起きることだ。今回NISTのフレームワークが、重要インフラ企業以外にも適用を広げたことと、ガバナンスの重要性を説いたことは、非常に意味がある。

 

 ガバナンスを仮にITガバナンスに限ったとしても、担当するのはCIO。サイバーセキュリティ担当はCISO。そしてもうひとつ、企業の事業継続(BCM/BCP)はリスク管理担当に分散している。この三者が三位一体としてリスク管理が出来る企業は、サイバーリスクだけでなく多くの脅威に対しての耐性が強いといえる。そして、その三位一体を実現するのも、経営者のガバナンス力である。

 

*1:サイバーセキュリティフレームワーク2.0(CSF2.0)で何が変わったのか | NTTデータ先端技術株式会社 (intellilink.co.jp)

ランキング参加中
セキュリティ

「Grafsec」全国大会

サイバーセキュリティ

 社会全体のサイバーセキュリティ耐性を高めるには、小規模企業や地方の産業での対策強化が必要である。しかし、ヒト・モノ・カネ・情報がふんだんにある大企業/首都圏と違い、当面十分とされる対策も行うのが難しい。そんな状況を改善しようと、10年も前から「草の根活動」をしている団体がある。

 

 その名もまさに「草の根セキュリティ活動:Grafsec」という団体で、このたび「COVID-19」禍後久しぶりに全国大会がハイブリッドで開催された。リアル会場となった平河町森タワーには、40名ほどの人が集まってきた。私も、業界団体「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」の紹介をしてほしいとの依頼で登壇することになっている。

 

    

 

 まず(私の勤めていた会社の先輩でもある)東京電機大学の佐々木名誉教授が挨拶。教授はこの団体で、代表理事を務めておられる。続いてNISCの参事官、総務省の課長補佐が短いスピーチをして、霞が関の現状を伝えた。一つ目の基調講演は警察庁のサイバーセキュリティ室長、近年の(主に個人に対しての)サイバー攻撃/犯罪の状況を説明した上で、サイバー局を設置して国際連携を強化した結果、

 

インドネシア拠点のフィッシング詐欺チームを検挙

・ランサム集団「LockBit」追及に関与

 

 できるようになったという。

 

 二つ目の基調講演が私。産業界の活動を紹介し「大手町の感覚」を捨てて地方や小規模企業の実態を教えてもらっていると伝えた。基本は、

 

・サイバーリスクは個人情報漏洩だけでなく、事業継続

・事業継続は小規模企業といえど、社会的責任

・それゆえサイバーセキュリティは経営課題

・セキュリティ費用は、損金ではなく投資

・地域の経営者に刺さる助言は、顔の見える経営者仲間(の飲み会やゴルフ)から

 

 という話。それなりの反響があって、少々ほっとした。さらに「Grafsec」が支援している地方事業の紹介が2件。

 

・子供のデジタルリテラシー(&性)教育

・電子自治体へのアドバイザリー

 

 その後の意見交換会もふくめ、地方企業の経営者への「Last One Mile」を担っていただいている人たちとの交流が、大変うれしかった。

 

ランキング参加中
セキュリティ

中国ECサイトのリスク

国際情勢・市場 サイバーセキュリティ

 中国で注目の「全人代」が閉幕したが、経済の低迷を受けてかやや変調らしい。最終日に行われる首相のメディア対応も、今回は行われなかった。市民も生活防衛を進めていて、高級品市場が縮小。大きな売り上げを揚げていた日本の化粧品メーカーも、苦戦している。人気を集めているのが、北京のファーストフード店「南城香」の3元朝食。なんと約60円で食べ放題という。

 

 そんな中でも、中国のEC市場は活況を呈している。デジタル嫌いの習政権も、金融など社会インフラに手を出さなければ、IT産業を叩くことはない。ECに国境はないので、世界市場で中国ECサイトのシェアは高まっている。

 

    

 

 今年1月のデータでは、利用者数はテンセントが出資する「ショッピー」がアマゾンを抜いて首位に立った。ベスト10のうち、7社が中国系のサイトだという。日本ではまだ御三家(アマゾン・楽天・Yahoo)が強いと思っていたのだが、日用品を低価格で提供する「Temu」の利用者が急増している。

 

中国発格安EC、日本での利用者数急増。Temuは1年未満で1500万人超え(36Kr Japan) - Yahoo!ニュース

 

 多くの市民の生活が苦しくなっているのは、中国に限らず欧米や日本でも同じこと。より安い商品に目が向くのは必然なので、中国のECサイトは人気を集めている。ただ、そこには問題もある。

 

 ひとつには、粗悪品や偽ブランド品、場合によっては違法品が取引される公算が(西側サイトより)高いこと。当局の取り締まりも、なかなかサイト運営者に届きにくい。もうひとつは、中国の「国家情報法」によって、中国企業が得た情報は政権が自由に徴求できること。つまりECサイトに氏名・住所・クレジット番号などを入力すれば、それは中国政府に筒抜けになるのだ。

 

 例え当該サイトに「悪さ」をする仕掛けがないとしても、ヘビーユーザーになれば利用者の嗜好が分かってしまう。そのデータを利用したフィッシングメールで、ころりと騙されることになるかもしれない。

 

 そんなリスクもあることを、利用者の皆さんには分かってもらいたい。決して、日本サイトに誘導するつもりではないのだけれど。

 

ランキング参加中
セキュリティ

生成AI活用現場のリスク

AI サイバーセキュリティ

 昨年<Open AI社>の生成AI「Chat-GPT4.0」が登場して、一気にAIブームが巻き起こった。あれから1年近く経ち、そろそろ実際に業務に使われるようになって、いくつかの冷静な知見がたまってきたころだと思う。今回、AIのリスク管理を看板にしているベンチャー企業の創業者に、種々教えてもらう機会があった。

 

 一緒に話を聞いたのは、製薬業・小売業・金融業・製造業・通信事業者・商社などのリスク管理責任者たち。彼らも「まずは試してみよう」と社内のいろいろな部署でトライアルをしていて、本格導入にあたりどうマネジメントすべきかを悩んでいるという。

 

 挙げられた事例は、

 

・金融機関の投資相談

・旅行会社のツアー紹介や相談

・保険事業者の保険の個別設計

・人材紹介のキャリア形成支援

 

    

 

 で、すでにWebサイトでサービス提供している企業であれば、比較的容易にAI導入が可能だという。その結果、有人で対応する際からの人件費削減だけでなく、多様なニーズへのきめ細かな対応が可能で、実績を積めば積むほどニーズを満たす精度(顧客満足度)も上るといいことずくめである。

 

 しかしそこにはリスクもあって、

 

・AIが応答を間違える

・問いかけによっては、公平性を欠く回答をすることもある

・やはり問いかけ方により、判断材料となったデータを漏らしてしまう

・そもそも意図的にAIを悪用しようとする者も現れる

 

 という。最後のものについては、代表的な手法として「プロンプト・インジェクション」が知られている(*1)。もちろん生成AI側も対策はとるのだが、問いかけ方のバリエーションは無限にあるので、いたちごっこになっている。

 

 単なる相談ではなく、卸・小売り業者の間で価格等の交渉をAIがしている例もあるようだ。方々で試用から実用化が図られ、その業務に特化して成長するAIが数多くある実態が明らかになった。利便性は向上するのだが「AI with Security」もまた必須の経営課題になってきている。

 

*1:プロンプトインジェクションとは?分かりやすく解説【悪用厳禁】 | Reinforz Insight

ランキング参加中
経済

ランキング参加中
セキュリティ

「TikTok」の目に見えるリスク

国際情勢・市場 サイバーセキュリティ

 昨日に続いて、米国の「TikTok」規制のお話。トランプ候補の擁護発言(*1)にもかかわらず、下院では、中国系企業「バイトダンス」に半年以内の売却を命じる規制法案が、352対65の圧倒的多数で可決成立した。まだ上院でどうなるかは分からないが、可決されれば、自らアカウントを開設したばかり(!)のバイデン大統領もサインすると言っている。

 

米下院、TikTok規制法案を可決 上院での行方は不透明 | ロイター (reuters.com)

 

 トランプ政権が提案し、一時期鎮静化していたこの法案議論が再燃したのは、「バイトダンス」側の強硬姿勢があったからという。具体的には、米国内の1.7億人のユーザに対し、

 

・このままでは国内で使えなくなります

・いますぐ下院議員に電話して(法案に反対するよう訴えて)ください

 

    

 

 とのメッセージを送ったから。ご丁寧に自らの住所を入力すると、地域の下院議員事務所の電話番号が出てくる仕掛け付きである。これは米国の政治関係者に衝撃を与えた。「TikTok」は世論操作が可能で、政治的圧力たり得ることが明示されたのだ。

 

 「安全保障上の脅威」と言われていたが、具体的にどういうリスクがあるのかは、あまり表に出てこなかった。

 

・映像の場所など付属データを分析してインテリジェンス化(IMINT)できる

 

 とも言われたが、映像は公開されているので分析は中国政府だけでなく、日本政府にでも可能だ。一方、どの地域にどういう指向を持った人がどのくらいいるというマスデータは運営会社が持っているので、これを「国家情報法」で徴求した中国政府が「この地域にこういう偽情報を流せば、住民の〇%がこういう行動を起こす」とのアクションを起こせる。ただ、このようなリスクは目に見えにくく、一部の政治家や官僚、軍関係者が訴えても分かりにくかった。

 

 それが期せずして、運営会社自身の行動によって「暴露」されてしまったと考えられる。さて、日本国内の「TiKToK」はどうなるのだろうか?

 

*1:運営会社の出資者から、選挙資金(≒訴訟費用)の支援を受けたとの報道もあった

ランキング参加中
政治

ランキング参加中
セキュリティ