Home»経験談、インタビュー»右脳インタビュー»右脳インタビュー 西本 逸郎

右脳インタビュー 西本 逸郎

3
Shares
Pinterest Google+

片岡:  今月の右脳インタビューは西本逸郎さんです。本日は、サイバーセキュリティについてお伺いしたいと思います。

西本:  まずサイバー攻撃を仕掛けてくる人は大きく分けて3種類あります。① 金銭目的で、コソ泥から組織犯まであります。② 主義主張をしている人。③ 国家等がバックにいて権益の拡大を目的とするもの。平和維持を目的としている場合もあると推測されます。金銭目的、主義主張は理解しやすいのですが、権益拡大は、今の日本人にはわかりにくいものです。その例が年金機構の問題で、中国がバックにいる組織が暗躍したといわれています。こうしたスパイ関係の事件で、被害が明確になるということは珍しく、気が付いたときには国が滅んでいる…。明確な被害はわかりにくいものです。年金機構からは基礎年金番号と氏名の計約125万件が流出し、このうち約116万7千件には生年月日が、約5万2千件には住所と生年月日が含まれていました。極めて重要なことですが、これがなぜ事件として表に出て大騒ぎになったかというと、個人情報流出を、現実に警察が見つけたからです。勿論、年金機構に対しては再発防止を働きかけることも必要でしょうが、本来悪いのは犯人です。年金機構という組織そのものが色々な問題を抱えているという話と、サイバーセキュリティの問題は別です。それを年金機構だから、感染も含めて、一切まかりならんとするのは、おかしい。

片岡:  日本では慣習的に本人確認を住所、氏名、生年月日で行うところがまだ多くあります…。

西本:  そもそも、そうした事で本人確認をしている方が問題です。そんなことをやっているので、「消えた年金問題」や「なりすまし問題」が起こっている。だからこそマイナンバーを導入して、本人確認を厳格にやらないといけない。しかし、それを否定するように年金機構は基礎年金番号の方を変更してしまった。これからも氏名と生年月日と住所で本人確認をしますと日本を代表して宣言しているようなものです。そこが本当にお粗末なところだと思います。また8月20日に年金機構とサイバーセキュリティ戦略本部が、翌21日には厚労省が報告書を出ましたが、それを見ると年金機構はよく戦っています。5月8日に第一波の標的型メール攻撃、更に18日に第二波、そして第三波として18~19日の間に大量の攻撃メールを受け、それらも全部防いでいます。しかし、毎日のように「気をつけろ」「気を付けろ」と言っていたので、現場は「仕事にならない。いい加減にしろ」という状況になってきていたと推測されます。その為20日に来た第四波では、「もういいや」と注意喚起を特にやらなかったところ一人が感染して、そこから内部の他の端末に感染が広がり、結果個人情報が流出しました。今回は、第四波の波状攻撃で破られましたが、結構守っていたといえるでしょう。
このようなことから、攻撃者はやみくもにウィルスメールを送って、ただクリックするのを待っているのではなく、NISC(内閣サイバーセキュリティ センター)が見つけたかどうか、職員は気が付くのか気が付かないのか、警戒心はどうなのか? といったことを調べながら組織的に作戦を立てて波状的にやってきていると推測されます。しかも、同じ波状攻撃で勝利をもぎ取った話題のラグビーですが、攻撃に失敗すると攻守が入れ替わってしまいますが、サイバー攻撃にはそれはありません。また、ノーサイド、試合終了もありません。目的を達するまで永遠に攻撃は続けることができる。メディアは、年金機構は個人情報を扱っていながら感染するなんてけしからん…といいます。未だに感染を防げると思っている。しかし、そういう報道をするたびに、弱い日本を作っていると思わないといけない。そういう戦いを永遠としていかないとならないということが全く理解されていない。

片岡:  サイバーの攻防は極めて非対称で、攻めて側が圧倒的に有利ですね。

西本:  完全には防ぐことができない理由には大きく3つあって、一つ目は、フォールス・ポジティブ(見誤り)とフォールス・ネガティブ(見逃し)といいますが、見逃さないようにしようとすると、見誤りが増えて、逆に見誤らないようにすれば見逃しが増える。これは微妙なところで止めるしかない。二つ目は、今のコンピューターは、仕組み上、乗っ取った犯人が100%制御できるようになっている。なぜかというと、持ち主のものだからです。つまりコンピューターだけでは100%の安全は担保できない。外付けのICカードのように、コンピューター以外のところに安全のための何かを持たない限り担保できないのですが、日本人は、面倒だからと、それをやらない。且つ、根本的な問題としては、日本では、暗号化した個人情報が流出した場合も「個人情報流出」になるため、暗号化したデータにも厳格な管理が要求されている。でも本来は、きちんとした暗号がかけられている場合、鍵がなければ解くことはできない。つまり、より厳格に管理しないといけないのは、暗号化されたデータではなく、鍵の方であって、それが流出していなければ実際には個人情報は流出してないといっていい。しかし、前述のように暗号化していても同様の管理を求められるので、わざわざ暗号化することは費用対効果が悪くなるため、結果日本は他国に比べ暗号技術の利用が進んでいないと言われています。セキュリティ技術を利用することで管理コストも削減できなければ経営者も納得はしません。結果として、本当に漏れてしまうことになり本末転倒のところも散見されます。勿論、暗号といっても、パスワードで暗号化しているようなものではなく、例えば、秘密キーで担保されたような暗号でないといけません。また日本の歪さは、個人情報しかないことです。守らないといけないのは、個人情報で、後はいいとなる。

片岡:  実際は技術情報や営業情報などの流出は大問題ですね。

西本:  そうですが、社会的には問題にならないし、直ぐには会社もつぶれない。殆どの会社でも「いやいや我々の会社の持っている情報なんて大したことない」といいます。盗られると大変だといって、セキュリティ対策をやる会社は極めて少数です。ではなぜ個人情報は大変かというと、メディアに叩かれる「腫物」だからです。もう一つの腫物は人から預かっている情報で、例えば防衛情報を預かっている場合などです。また中小企業にとっては、マイナンバーと大手企業とやり取りしたメールが腫物となっています。なぜ腫物かというと、こうしたメールが悪用されて、他の標的型メールなどに使われたりすると営業停止となったり、預かっている情報を全部消せと言われたり、また取引一切を切られる可能性もあります。だから日本は腫物をケアすることしかせず、腫物以外の対策を自主的にやることが殆どない。日本では、情報に対して敬意が払われず、依然として情報はタダだという感覚があり、セキュリティに目が行かない。情報は命、情報は世界を制する、すべては情報から始まると思うようになれば、ちゃんとやる。尤も腫物であるということにすら気が付いていない人も多いのが現状ですが…。日本は、セキュリティが遅れているわけではなく、情報に対する理解、ITの活用が遅れている。つまりセキュリティ以前の問題です。ですから、まず腫物でもいい、一歩一歩でいい。勿論、相手は、ラグビーの波状攻撃のように突破するまで突いてくるうえに、ノーサイドもありません。これは覚悟しないといけない。ウィルス感染は止められなくても、肝心な情報が流出する前に、どう動くかなどということについては作戦を立てることはできます。

片岡:  肝心な情報を適切に区別できているということは、そもそも情報に関する感性が組織にあるということで、それがないのが日本企業では…。

西本:  まずシステム管理者、データベースの管理者のなどの特権をしっかり管理・監督しないといけないのですが、それができている企業は非常に少ないです。ITを如何に運用するかという話と、その中のデータを如何に管理するかという話は、実は全く違っています。プログラムを管理して、サービスをいつでもできるようにするというのが情報システム部門の基本的な役割で、この部分は丸投げしてもいいのですが、そこに流すデータは利用する側の責任下に置くべきです。ところが、日本にはその発想がなく、データも含めて情報システム部門に全部丸投げしているところも多い。このため情報システム部門が大切なデータをどう取り扱っているか、監督も監査もできません。そこができていれば標的型攻撃を受けて一年も二年も気が付かずに情報を盗られ続けているというような状況は考えにくい。実はやるべきところはそこで、それができていれば内部犯行や標的型攻撃に対しても、最悪の事態を避けることができる。しかしここでも日本特有の「事故はあってはならない」というものが独り歩きし、現実には無理なことばかりに注意がいって、結局大事件がおこってしまう。個人情報を扱うところでも感染はあり得る。被害を最小限にするためにも、特権をしっかり管理しないといけないという方向に行くのが本筋ですがそうなりません。これがやはり日本の現実です。なぜかというと、メディア対応や世間対応をすると、ウィルス感染だけでもたたかれるので、「いっしょじゃん」となって、本来守るべきものが守られない。
さて、マイナンバーが導入されますが、マイナンバーの流出は確実に起きるでしょう。なぜか。一つは紛失や誤操作などの過失です。次に内部告発。「うちの会社はちゃんと管理しているといっているが本当は甘いですよね。末端に押し付けて、これでやっているといっているんですよ…」と。或は、アノニマスのように主義主張する人たちが、「日本はマイナンバーを鳴り物入りで導入したけれど、全部とれちゃったぜ…」と。尤も、日本の国民の年金の記録、税の支払い記録などは、やろうと思えばマイナンバーがどうだという話とは関係なくもうすでに盗まれているはずです。ある面、巨大な日本国民データベースを他国が持っていても不思議ではありませんが…。今更脅威になる話ではなく、せめて、マイナンバーくらい導入して、世界に遅れないようにしましょうという程度の話です。

片岡:  実際、年金機構の事件は示威行動ともいわれていますね。「やろうと思えばいつでもできるぞ」「既に我々は情報を持っているぞ」と。さて、こうしたセキュリティの分野では世界中で熾烈な戦いが繰り広げられていますが、このマーケットでのヘゲモニーについてお聞かせ下さい。

西本:  その一番近くにいるのはグーグルだと思います。グーグルは、世界中で起きている事象を把握しています。グーグルは「探す」というのが本質で、攻撃を探したり、脆弱性を探したり、異変を探すというのもグーグルの範疇になるのだと勝手に思っています。「世の中の人は色々なことをやるでしょう。その色々なことは全部、我が見ていますし、色々なことの道具も我々が提供しますから、色々な事象は全部、私たちが抑えます」というのが、グーグルの基本的なシナリオでだと思います。仕掛けているモデルが全然違いますが、その次がアップルです。アップルはiPhone上のインシデントなどをすべて掴んでいるはずです。「サイバー空間を一つの安心安全な夢の遊園地にして、それをアップルが全部見ますよ」というのがアップル方式だと思っています。こうした部分が、一番大きなセキュリティの器であり、日本はその器の中でのセキュリティをやらざるを得ない。要するに、プラットフォーマ―には基本的にかなわない。更に日本はセキュリティをベースとした、ビットコイン、IOT、或はフィンテックなど、新しいビジネス、利権に発展するような話に全くついていけていない。ある面で国が崩壊しかねない…。一方、国内をガラパゴス化して、プラットフォーマ―の影響を少なくして、自分たちの世界を構築するというアプローチをとっているのがロシアや中国で、インターネットの標準化の領域でもインターネットも国家が制御しないといけないとしています。一方、日本は、アメリカと一緒に、インターネットでも自由を保障しようとしています。自由を保障するということは、結局、プラットフォーマ―と結んで、全体の、アメリカという警察の傘の中でやるということだと思います。

片岡:  セキュリティ産業の規模が、国の本当に大切な部分のセキュリティレベルをも規定するのでしょうか?

西本:  国の本当に大切なセキュリティが何かということです。海外と比較してみると、サイバー的な諜報能力及びサイバー的な攻撃能力を含めたサイバーセキュリティ産業という面からすると全然小さい。そこに入らない限り、日本はちょろちょろの予算しかない。国を防衛するという意味でのサイバーセキュリティのレイヤーに引き上げて、防衛予算でしっかりと国を守るのだとしていかないと無理な話です。そのためにも「抑止力となるようなサイバー上の攻撃力は必要か」というような議論がなされていないといけないのですが…。サイバーの世界ではアタックできないと話にならない。ラグビーでは最大の武器は攻撃的タックルといわれています。サイバーでも、攻めてきた相手に対する攻撃的なタックルを認める。そうすると相手がぼろを出す。そこから相手のディフェンスを切っていく…。例えば、そういう防衛を日本の防衛の基本とする。勿論、何もやっていない相手へのアタックはしない。だけど向こうがどういうアタックをするのかを調査するのは良い…等と基準を決めていかないといけない。それなのに、今、日本はどういうことをしているかというと、とんでくるミサイルに土嚢を積んで対抗しているようなものです。勝負になっていません。
その上、日本は、国自身が足かせをかけています。例えば不正アクセス禁止法は、目的を問わず、許可のないハッキングを基本的には禁止していて、厳密にいえば、中国から攻めてきそうだから、その海外拠点にハッキングして調べる、それも違反です。阿吽の部分で抑えられていますが…。そうした法的な面でも問題を抱えています。

片岡:  国家からの攻撃は、直接企業にも向けられることも多いのですが、国としてはどういったサポートができるのでしょうか?

西本:  今の企業は不幸です。相手が国だと思われる攻撃でも各々の企業が対応しないといけない。それで突破されれば、メディアは叩くし、国もしっかりしろという。攻撃してきたほうに「盗るな」というのがほんとのはずですが…。ですから、国の機関であるNISC或はGSOC(政府機関情報セキュリティ横断監視・即応調整チーム)が、攻撃してきた相手が誰かということを判定するから、明らかに国が相手だと思うときは届けてくださいというようなことを始めても良い。判定して、相手が国であろうとなれば、自衛隊のサイバー部隊を派遣して復旧をお手伝いしますとか…。そうやって自衛隊が出張っていけば、そこで使われている行為なども詳細に調査できます。

片岡:  企業は丸裸になりますね。

西本:  だから信頼関係が重要です。あくまでも起きているサイバー攻撃にのみ対応するという担保をしてくれないと誰も協力してくれません。あくまでも相手をプロファイルして、再発防止の立て付けをするに留めるべきです。だからこそ、自衛隊です。

片岡:  米国なども、そうした方式をとっているのでしょうか?

西本:  基本的には企業が対応することになっていますが、少なくとも企業に対して過剰な責任を、メディアを含めて煽ることはあまりなく、やった人間が明らかであるときは、その人物が悪いとなります。対策がきちんと行われていたかというようなことについては民事でやればいい。それは割り切っています。日本も国は国の仕事、せめて国民を守れるフレームワークを考えて欲しい。

片岡:  クラスアクトもないし、ディスカバリーもありませんので…。

西本:  昨年起きたベネッセ事件でもベネッセ自身の調査能力が低いと容疑者の特定もその後の刑事告発や情報流出の公表もなかったと思います。多くの場合、そこまでの対策を行っていないので容疑者の特定すら出来ません。その為、事件を確定できないために隠し通してきた一部上場企業もそこそこあります。正直にやる企業は損です。それを経営者はよく分かっていて、まっとうなセキュリティ対策はやりたくない。「やると、事件が増えてしまう。結局会社の危機になるので、そこそこにしておけよ」「後でわかるように、西本が、記録を取っておけといっているが、絶対にそんなことやるんじゃないよ」と。でもそういう世の中でいいのでしょうか? そうしたことが問われています。

片岡:  貴重なお話を有難うございました。

~完~
インタビュー後記

セキュリティ関係者が担う役割がますます重要になるとともに、当然、その人物の信頼性を如何に担保するかもテーマとなります。西本さんは「身元調査等は労基法上、基本的には無理です。だから特区を作って、こういう業界でこういう仕事に従事する人については、それをできるようにしていかないと難しい。今はどうしても阿吽でやるしかない…」と。情報が大きな力を持ち、世界がどんどんつながる中で、攻撃側は突破口となるあらゆる弱点を求めて動き回ります。特に法律や制度・慣習上の弱みは攻めやすいものです。
聞き手 片岡 秀太郎

 

Previous post

中国の農業政策の矛盾

Next post

「マハンで読み解く中国の海洋戦略」(その1) 仮説「マハンの門下生国家は激突する」を検証する