2023年度」カテゴリーアーカイブ

ZOOMセミナー「DXと情報セキュリティ」 松崎和賢中央大学国際情報学部准教授

開催日時:5月26日金曜日午後7時から1時間強
開催方法:ZOOMセミナー
参加定員:100名
講演者:松崎和賢(中央大学国際情報学部准教授)
司会:山田 肇(ICPF理事長)

冒頭、松崎氏は資料を用いて次のように講演した。

松崎氏の講演資料はこちらにあります。
松崎氏の講演ビデオ(一部)はこちらで視聴できます。

  • 電力網全体で供給と需要を一致させるため、需要が少ないときには風力・太陽光などの再生エネルギー発電所の発電出力を抑制する。この出力制御は自動化されている。米国では2019年に出力制御装置が導入され始め、2022年には義務化された。それに伴って、出力制御装置に対するサイバー攻撃のリスクが増加し始めた。
  • 米国では電力インフラへのサイバー攻撃への関心が高まり、経済安全保障の観点から、それまで太陽光発電シェア第一位だった中国企業Huaweiが市場退場を余儀なくさせられた。
  • サイバーセキュリティは国際的な関心事項となっている。システムにはセキュリティ機能を最初から装備すること(Security by default)と、システムを設計する段階からセキュリティ機能を組み込むこと(Security by design)が唱えられている。米国の情報関係機関CISA、NSA、FBIも、ファイブアイズの関連機関も原則として掲げている。
  • わが国でもデジタル庁が政府情報システムのセキュリティガイドラインを公表している。各省庁はシステムのユーザとして、システム調達の段階からセキュリティを求めていくSecurity by defaultを進める必要がある。
  • セキュリティという言葉はよく聞くが、具体性が伴わない混沌の中にある。この混迷の中でDXを進めるには、第一に惑わされない、第二に経済合理性の追求、第三に新スマートに注意の三点が重要である。
  • セキュリティ用語として横文字が氾濫している。いろいろな横文字(EDR、MDR、XDR、MXDRなど)が多用されているが、きちんと意味を知らずに使っている場合もあり、セキュリティ業界の大御所たちも警告している。古川氏の言葉を借りれば「顧客が何を求めているか」ではなく「セキュリティ企業が何を売りたいか」、「顧客の成長」ではなく「セキュリティ企業の成長」が優先される傾向がある。
  • 顧客はセキュリティ対策をセキュリティ企業任せにしてはいけない。本当に必要な対策を施すためには顧客が自らリスク分析を行う必要がある。セキュリティに関わるインシデントの統計が公表されているが、自らリスク分析を行うことで「観測可能な攻撃は怖くない」と気づくようになる。セキュリティ人材は全世界で340万人が必要という見積もりも出ているが、顧客が自らリスク分析をできるようになればその数は下振れするはずである。
  • 経済合理性の追求が重要である。許容可能なコストを越えてセキュリティリスク対策のコストをかけてはいけないというコートニーの法則がある。許容可能なリスクを調べるためにリスク分析を行う必要がある。
  • リスク分析をすると運用担当者を含め「人」が最大のリスクであると気づく。そこから、セキュリティ運用の自動化という対策が生まれてくる。Security by default、Security by designへと結びついていく。脆弱性の扱いの自動化は世界的な動向である。
  • 新しいサービスは攻撃対象になる。不正アクセスによってサービス停止に追い込まれた7Payのような事例も出てきている。コロナの蔓延でリモートワークが広く行われるようになり、社内システムとの接続にVPNを利用する場合がある。そうなると、古いVPN装置の脆弱性が攻撃される。
  • 冷蔵庫も洗濯機もスマート化したら、セキュアであることが要求される。ハイセンスのスマート冷蔵庫とスマート洗濯機は欧州のセキュリティ基準ETSI EN 303 645に沿って認証された。スマート冷蔵庫がセキュリティ認証を受けると聞くと違和感を覚える人もいるかもしれないが、新しいサービスは攻撃対象になるためである。
  • 欧州はIoT全般を規制対象として、その基準がETSI EN 303 645の1.1 (2020-06)である。ウェアラブル生体トラッカーもスマート冷蔵庫も規制に沿って認証が要求される。認証ビジネスも生まれている。
  • わが国でも電気通信事業法に基づく端末機器の基準認証に関するガイドライン(第2版)が公表されている。IoT機器について最低限のセキュリティ対策を備えることが技術基準に追加された。その中身は、パスワードをはじめとするアクセス制限、初期設定パスワードの変更を促す機能、ソフトウェアの更新機能、再起動後にソフトウェアが工場出荷状態に戻らないようにすることである。
  • 講演をまとめる。セキュリティの混沌に対処しDXに集中するために三点が求められる。第一は惑わされない。売る側も買う側も学ぶしかない。
  • 第二は、経済合理性の追求。セキュリティ維持に人の手を介在させないようにするのが正しい方向で、今は「自動運転」への過渡期にある。第三は新スマートに注意。Security by Designを進める必要がある。また、自分達の組織を一番よく知る人がセキュリティ考える必要がある。

講演終了後、次のような質疑があった。

IoTが広く利用される時代のセキュリティについて
質問(Q):高齢者の自立生活を支援するために生体センサを含めてIoTを用いる場合、これらのIoTのセキュリティをどう確保するか。エンジニアが家庭に訪問して設定するといっても、100万世帯、1000万世帯では不可能である。判断能力が低下した高齢者にアップデート作業は求められない。マルチベンダー環境での、セキュリティ設定と運用の自動化が必要ではないか。
回答(A):ネットワーク越しにアップデートしたり設定したりする機能を入れ、また、攻撃されていないと外から確認できる仕組みが必要である。なお、鉄道分野では現在情報セキュリティに関する国際標準を作成している。また、セキュリティに関する基準がいろいろな規格に散らばってるため、記載内容の平仄を合わせようとしている。高齢者自立生活支援でもセキュリティに関する基盤となる規格を作るとよいかもしれない。
Q:前の質問と同様だが、末端の操作者にさまざまな対応を要求するのはおかしいのではないか。セキュリティの更新をするとシステムが止まるというのもおかしいのではないかと考える。セキュリティの自動化を一層推進していくしかないのでは。
A:確かに、個々の末端の操作者にはセキュリティ機能をアップデートするインセンティブはない。自動でできるところは自動で対応するのが正しい。ただし、現時点ではセキュリティの更新をするとシステムが止まるといった恐れもあり、技術革新を進める必要がある。なお、サンフランシスコの地下鉄の発券・改札システムが攻撃を受け停止した際に、「今日は無料」として旅客サービスを続けた。システムが止まるから問題だで足踏みするのではなく、経済合理性に基づく割り切りも必要になる。

マイナンバーカードのトラブルについて:
Q:今、マイナンバーカードのトラブルが問題になっている。保険証との紐づけがおかしい、マイナポイントが他人に与えられた等など。これはセキュリティの問題ではなく、人が起こしたトラブルである。しかし、マイナンバーに反対する人々は、あたかもセキュリティ問題のように批判する。そもそもセキュリティの問題と考えるか。
A:セキュリティの脆弱性ではなく、ソフトウェアの作りの問題ではないかと思う。全体として経済合理的にシステムを作るべきだが、ちょっとしたトラブルにもうるさいのが日本である。
Q:マイナンバーについて、登録システムのユーザインタフェースが悪いなど、個々に見ると問題点は様々である。しかし、ミスが起こると大騒ぎになる。酷すぎると叩く問題なのだろうか。
A:個別の自治体の個別の問題であれば個別に直していけばよい。ただ、社会がまだマイナナンバーを受容していないから大騒ぎになっているのではないか。
コメント:ICPFでは昨年度「マイナンバーの呪い」というセミナーを開いた。そこで指摘した問題が今まさに起きている。「マイナンバーの呪いリターンズ」というセミナーを企画しようとしている。

セキュリティ人材の資格について:
Q:情報処理安全確保支援士という国家資格を持っているが、役に立っていない。名称独占資格だが、業務独占資格ではない。業務独占資格にすると人材不足が顕在化するのでやむを得ないとは思うが、人材育成という点でも資格が活かせるようにすべきではないか。
A:今の段階では資格のメリットは活かしづらい。一方で、セキュリティサービスを提供する側の品質をどう管理するかというのも経済産業省などで議論になりつつあるので、資格が問われるようになると思う。
Q:仕事と資格のマッチングが必要だと思うが。
A:ご意見の通りである。

ZOOMセミナー「DXとオールドメディア」 新田哲史株式会社ソーシャルラボ代表取締役

開催日時:4月24日月曜日午後7時から1時間強
開催方法:ZOOMセミナー
参加定員:100名
講演者:新田哲史(株式会社ソーシャルラボ代表取締役)
司会:山田 肇(ICPF理事長)

冒頭、新田氏は資料を用いて次のように講演した。

新田氏の講演資料はこちらにあります。
新田氏の講演ビデオ(一部)はこちらで視聴できます。

  • 大学卒業後、読売新聞に入社し、記者として和歌山支局、社会部、運動部などで取材活動に従事した。社会部時代には、村上ファンド事件で村上氏の人となりを明らかにするために、財界に夜討ち朝駆けで取材した経験がある。
  • 2000年代から新聞発行部数と新聞広告費が下がり始めたのに衝撃。ビジネスに興味を持ち始めたこともあって退職し、PR会社勤務、フリーランスの広報コンサルを経て、2015年から20年まで言論サイト「アゴラ」編集長を務めた。その後、2021年にSAKISIRUをローンチした。SAKISIRUは、ネット上の話題、マスコミが報じない経済や政治、社会の問題を積極的に取り上げることを方針として活動している。
  • ネット選挙運動解禁の2013年ごろからネットメディアが続々と台頭した。それまでのYahoo!ニュースに加え、ハフィントンポスト(現ハフポスト)日本版、東洋経済オンラインなどがそれで、既存メディアからの⼈材移転も起きた。スマートフォンとニュースアプリの普及で、情報の「質」に加え「量」も増えた。最近は人材流動化が加速し、既存メディアとネットメディアの間を行き来する人も出ている。
  • 週刊文春から電子版が派生した。最初は週刊誌発行直前の予告に用いられていたが、今ではネット媒体として半独立のマスメディア化している。これによって「文春砲のDX」が起きた。YouTubeなどの動画・音声メディアが台頭し、一方でYahoo!ニュースにはライバルも増えて陰りがみられる。
  • これら新しいメディアは、既存メディアよりもタブーが少ない。週刊誌や女性誌によるタブーのない報道が、Yahoo!ニュースから広く拡散されるようになった。このような「⾔論のDX」はもう止められない。Colabo問題や蓮舫氏の国籍問題など、SNSが「興論」となる時代が来た。
  • 2020年代、ポストコロナのメディアを展望する。言論のDXによって「報道しない⾃由」が通⽤しないという点が最も重要である。
  • 新聞販売はますます厳しくなるが、団塊世代全員が後期⾼齢者となる2025年までは既存メディアと新興メディアが併存すると想定できる。ただし、その間にオールドメディがネットメディアに置換されていくとみるのは単純すぎる。新興メディアの経営も苦境が鮮明になりつつある。広告を見せて無料で記事を提供するか、有料記事を提供するかという、今までのビジネスモデルに一工夫加えることが、ネットメディアに求められる。
  • 単に記事を作るというだけなら、AIで処理できる。そのような時代に、誰がジャーナリズムを担うかが、今、問われている。

講演後、多様な側面から質疑があった。

Q(質問):最近、オールドメディアに取材不足が目立つ。「報道しない自由」ではなく、調査をしないので知らないから報道しないのではないか。
A(回答):取材に投じられる経費が減ってきて、効率を重視する結果、きちんとした調査が省かれることがある。しかし、単に記事を作るというだけならAIで処理できるので、人にしかできない取材を行うべきだ。多くの取材は聞き書きベースで、資料を深く分析するという姿勢は確かに不足している。
Q:深い分析がない新聞記事は読みごたえがない。深い分析をするというのが、新聞の役割ではないか。浅い記事だけでは新聞も先が危ういのではないか。
A:深い分析をするには経費が掛かる。それをして閲覧数・購読数が増えるかが問題で、期待できないからと深い分析が省かれているのが現実である。閲覧数・購読数とは異なるビジネスモデルが求められるが、まだ見えていない。
C(コメント):オールドメディアもニューメディアも利用者が深い情報を求めていないから記者も調べることをしないのではないか。より情報量のある記事よりも、センセーショナルなタイトル付けをしてアクセスを稼ぐ方が利益になるからだ。
Q:全国に広げた取材体制も縮小しつつあるのではないか。NHK以外は取材できないが来るのではないかと危惧している。
A:支局の閉鎖は進んでいる。県庁所在地と第二の都市に支局を置くのが精いっぱいという社もある。大手新聞の中には支局を廃止して通信社に依存するという動きも出ている。米国ではローカルニュースが報じられない「ニュース砂漠」が問題になっている。同じことが日本でも起きている。その結果、小さな町の小さな腐敗は誰も報じないようになりつつある。しかし、小さな腐敗が積み重なって大きな腐敗が起きる。小さな腐敗の取材はコストパフォーマンスが悪い、と切り捨てていくのは問題で、SAKISIRUはできる限り頑張っているが、限界がある。NHK以外では報道されないようにならないように、だれがジャーナリズムを担うべきかを問い直す必要がある。
Q:取材を受ける側が自ら発信する例が増えている。また、画像や映像を添えるとバズり、それを利用した表面的な記事が増えている。社員があえて非公式情報をブログに書くというような動きも起きている。きちんと丁寧に文字で説明しないで、記事になればよいという風潮に危惧を感じているが、どう考えるか。
A:わが国では、メディアリテラシーの教育が不足している。バズることに振り回される原因の一つである。読者に媚びるのではなく、読者を意識してきちんとした記事を書くべきだ。繰り返しになるが、ジャーナリズムの担い手について問い直し、また、メディアのビジネスモデルを再考する必要がある。そうしないとメディア全体がオワコンになってしまう。