開催日時:5月26日金曜日午後7時から1時間強
開催方法:ZOOMセミナー
参加定員:100名
講演者:松崎和賢(中央大学国際情報学部准教授)
司会:山田 肇(ICPF理事長)
冒頭、松崎氏は資料を用いて次のように講演した。
松崎氏の講演資料はこちらにあります。
松崎氏の講演ビデオ(一部)はこちらで視聴できます。
- 電力網全体で供給と需要を一致させるため、需要が少ないときには風力・太陽光などの再生エネルギー発電所の発電出力を抑制する。この出力制御は自動化されている。米国では2019年に出力制御装置が導入され始め、2022年には義務化された。それに伴って、出力制御装置に対するサイバー攻撃のリスクが増加し始めた。
- 米国では電力インフラへのサイバー攻撃への関心が高まり、経済安全保障の観点から、それまで太陽光発電シェア第一位だった中国企業Huaweiが市場退場を余儀なくさせられた。
- サイバーセキュリティは国際的な関心事項となっている。システムにはセキュリティ機能を最初から装備すること(Security by default)と、システムを設計する段階からセキュリティ機能を組み込むこと(Security by design)が唱えられている。米国の情報関係機関CISA、NSA、FBIも、ファイブアイズの関連機関も原則として掲げている。
- わが国でもデジタル庁が政府情報システムのセキュリティガイドラインを公表している。各省庁はシステムのユーザとして、システム調達の段階からセキュリティを求めていくSecurity by defaultを進める必要がある。
- セキュリティという言葉はよく聞くが、具体性が伴わない混沌の中にある。この混迷の中でDXを進めるには、第一に惑わされない、第二に経済合理性の追求、第三に新スマートに注意の三点が重要である。
- セキュリティ用語として横文字が氾濫している。いろいろな横文字(EDR、MDR、XDR、MXDRなど)が多用されているが、きちんと意味を知らずに使っている場合もあり、セキュリティ業界の大御所たちも警告している。古川氏の言葉を借りれば「顧客が何を求めているか」ではなく「セキュリティ企業が何を売りたいか」、「顧客の成長」ではなく「セキュリティ企業の成長」が優先される傾向がある。
- 顧客はセキュリティ対策をセキュリティ企業任せにしてはいけない。本当に必要な対策を施すためには顧客が自らリスク分析を行う必要がある。セキュリティに関わるインシデントの統計が公表されているが、自らリスク分析を行うことで「観測可能な攻撃は怖くない」と気づくようになる。セキュリティ人材は全世界で340万人が必要という見積もりも出ているが、顧客が自らリスク分析をできるようになればその数は下振れするはずである。
- 経済合理性の追求が重要である。許容可能なコストを越えてセキュリティリスク対策のコストをかけてはいけないというコートニーの法則がある。許容可能なリスクを調べるためにリスク分析を行う必要がある。
- リスク分析をすると運用担当者を含め「人」が最大のリスクであると気づく。そこから、セキュリティ運用の自動化という対策が生まれてくる。Security by default、Security by designへと結びついていく。脆弱性の扱いの自動化は世界的な動向である。
- 新しいサービスは攻撃対象になる。不正アクセスによってサービス停止に追い込まれた7Payのような事例も出てきている。コロナの蔓延でリモートワークが広く行われるようになり、社内システムとの接続にVPNを利用する場合がある。そうなると、古いVPN装置の脆弱性が攻撃される。
- 冷蔵庫も洗濯機もスマート化したら、セキュアであることが要求される。ハイセンスのスマート冷蔵庫とスマート洗濯機は欧州のセキュリティ基準ETSI EN 303 645に沿って認証された。スマート冷蔵庫がセキュリティ認証を受けると聞くと違和感を覚える人もいるかもしれないが、新しいサービスは攻撃対象になるためである。
- 欧州はIoT全般を規制対象として、その基準がETSI EN 303 645の1.1 (2020-06)である。ウェアラブル生体トラッカーもスマート冷蔵庫も規制に沿って認証が要求される。認証ビジネスも生まれている。
- わが国でも電気通信事業法に基づく端末機器の基準認証に関するガイドライン(第2版)が公表されている。IoT機器について最低限のセキュリティ対策を備えることが技術基準に追加された。その中身は、パスワードをはじめとするアクセス制限、初期設定パスワードの変更を促す機能、ソフトウェアの更新機能、再起動後にソフトウェアが工場出荷状態に戻らないようにすることである。
- 講演をまとめる。セキュリティの混沌に対処しDXに集中するために三点が求められる。第一は惑わされない。売る側も買う側も学ぶしかない。
- 第二は、経済合理性の追求。セキュリティ維持に人の手を介在させないようにするのが正しい方向で、今は「自動運転」への過渡期にある。第三は新スマートに注意。Security by Designを進める必要がある。また、自分達の組織を一番よく知る人がセキュリティ考える必要がある。
講演終了後、次のような質疑があった。
IoTが広く利用される時代のセキュリティについて
質問(Q):高齢者の自立生活を支援するために生体センサを含めてIoTを用いる場合、これらのIoTのセキュリティをどう確保するか。エンジニアが家庭に訪問して設定するといっても、100万世帯、1000万世帯では不可能である。判断能力が低下した高齢者にアップデート作業は求められない。マルチベンダー環境での、セキュリティ設定と運用の自動化が必要ではないか。
回答(A):ネットワーク越しにアップデートしたり設定したりする機能を入れ、また、攻撃されていないと外から確認できる仕組みが必要である。なお、鉄道分野では現在情報セキュリティに関する国際標準を作成している。また、セキュリティに関する基準がいろいろな規格に散らばってるため、記載内容の平仄を合わせようとしている。高齢者自立生活支援でもセキュリティに関する基盤となる規格を作るとよいかもしれない。
Q:前の質問と同様だが、末端の操作者にさまざまな対応を要求するのはおかしいのではないか。セキュリティの更新をするとシステムが止まるというのもおかしいのではないかと考える。セキュリティの自動化を一層推進していくしかないのでは。
A:確かに、個々の末端の操作者にはセキュリティ機能をアップデートするインセンティブはない。自動でできるところは自動で対応するのが正しい。ただし、現時点ではセキュリティの更新をするとシステムが止まるといった恐れもあり、技術革新を進める必要がある。なお、サンフランシスコの地下鉄の発券・改札システムが攻撃を受け停止した際に、「今日は無料」として旅客サービスを続けた。システムが止まるから問題だで足踏みするのではなく、経済合理性に基づく割り切りも必要になる。
マイナンバーカードのトラブルについて:
Q:今、マイナンバーカードのトラブルが問題になっている。保険証との紐づけがおかしい、マイナポイントが他人に与えられた等など。これはセキュリティの問題ではなく、人が起こしたトラブルである。しかし、マイナンバーに反対する人々は、あたかもセキュリティ問題のように批判する。そもそもセキュリティの問題と考えるか。
A:セキュリティの脆弱性ではなく、ソフトウェアの作りの問題ではないかと思う。全体として経済合理的にシステムを作るべきだが、ちょっとしたトラブルにもうるさいのが日本である。
Q:マイナンバーについて、登録システムのユーザインタフェースが悪いなど、個々に見ると問題点は様々である。しかし、ミスが起こると大騒ぎになる。酷すぎると叩く問題なのだろうか。
A:個別の自治体の個別の問題であれば個別に直していけばよい。ただ、社会がまだマイナナンバーを受容していないから大騒ぎになっているのではないか。
コメント:ICPFでは昨年度「マイナンバーの呪い」というセミナーを開いた。そこで指摘した問題が今まさに起きている。「マイナンバーの呪いリターンズ」というセミナーを企画しようとしている。
セキュリティ人材の資格について:
Q:情報処理安全確保支援士という国家資格を持っているが、役に立っていない。名称独占資格だが、業務独占資格ではない。業務独占資格にすると人材不足が顕在化するのでやむを得ないとは思うが、人材育成という点でも資格が活かせるようにすべきではないか。
A:今の段階では資格のメリットは活かしづらい。一方で、セキュリティサービスを提供する側の品質をどう管理するかというのも経済産業省などで議論になりつつあるので、資格が問われるようになると思う。
Q:仕事と資格のマッチングが必要だと思うが。
A:ご意見の通りである。