セキュリティはタダではない
2018年3月 9日 00:35

 先日、英国大使館でサイバーセキュリティに関するラウンドテーブルが開催された。英国政府のサイバーセキュリティや機密情報分野の第1人者の一人で、機密情報局長も歴任したJamie Saunders氏(図1)が来日、サイバーセキュリティの重要性を説くことを日本政府や産業界と協力しながら進めていきたいとしている。

 

DSCN8451.JPG

1 英国のサイバーセキュリティの第一人者のジェイミー・サウンダーズ氏

 

 日本企業や日本人の多くはいまだに安全と水はタダだと思っている節がある。あるセキュリティを専門とする外国企業が日本企業を回った時、セキュリティの重要性を認めながらも余分なコストはかけないという。同様に電子回路が壊れないように保護する回路の部品メーカーも同様に、電子回路の性能に関係ないのになぜ余計なコストをかけるのか、と言われたという。セキュリティは悪意のある攻撃を万が一受けた場合の対策であり、保護回路は雷やサージのような大きな電圧や電流が加わった時に本来の電子回路を守るための部品である。万が一のリスクを想定しない企業はやはり"能天気"と言わざるを得ない。

  万が一のリスクを想定し、もし肝心な回路が壊れたりサイバー攻撃を受けたりする時の被害額を想定し、原価計算の中に組み込む外国企業は多い。リスクを回避しておきさえすれば万が一の時にも余計なコストがかからない。身近な例が福島第一原発の事故だ。万が一を想定し、ローカル電源が止まらないように設計することをコストに織り込んでおけば済んだ話だ。ただ単にコストが上がることを言い訳にしてきたが、万が一の被害のコストも組み込んでコスト比較するという態度がなければ、同じ過ちを必ず繰り返す。

  セキュリティにコストを支払わない日本企業の話をサウンダーズ氏に意見を求めると、セキュリティは、テクノロジーも大事だけどそれだけでは駄目だ、という。セキュリティの重要性を啓蒙していかなければ、いつかは攻撃を許すことになるのだ。それも英国だけでもダメで、日本政府や産業界とも協力してエキュリティの重要性を共通認識として持たなければセキュリティは担保されないとする。

  英国では政府がNCSCNational Cyber Security Centre)を1年前に立ち上げ、サイバー攻撃に対処するための様々な方策に取り組んできた。その一つが組織変更だ。NCSCは、これまで政府内の各部署やMI5Military Intelligence Section 5:ちなみに007のジェームズ・ボンドの所属は隣の部門のMI6)、GCHQGovernment Communications Headquarters)などに分かれていたサイバーセキュリティ部門を一つにまとめ、GCHQの傘下に置いた。

  このGCHQは第2次世界大戦当時、ナチスドイツの難解な暗号「エニグマ」を解いたAlan Turingが在籍していた長い歴史を持つ組織。Alan Turingは、命令とデータをメモリに蓄えて演算する方式の計算機の概念、つまりコンピュータシステムそのもののコンセプトを創出した天才数学者だ。ただ、彼は同性愛好者(ゲイ)であり、政府の弾圧を受け自殺したが、最近のLGBTを認めるダイバーシティ(多様性)への見直しから、Alan Turingが今は見直されるようになった。

  機械式の計算機しかない時代に、メモリと演算機でプログラムできるコンピュータを生み出した彼のような天才が今、求められている。米国のIEEERebooting Computingと呼ぶ新しいアーキテクチャを模索している。AIや量子コンピュータのような超並列コンピューティング技術はその一つ。英国にはAlan Turing Instituteと呼ばれる大学院大学がロンドンのキングスクロス駅近くにできた。

  サウンダーズ氏によると、NCSCは、5年間で19億ポンドを投資するプログラムであり、(1)英国を守る、(2)テロ攻撃を抑制する、(3)サイバー攻撃に対処できるスキルを身に着ける教育、などを実行することを掲げている。昨年からの1年間の成果として、Active Cyber Defence(積極的サイバー防衛部門)を立ち上げ、数千もの攻撃を食い止め、フィッシングサイトの有効時間を従来の27時間から1時間未満に削減した。重大な590以上のインシデントに対応した、などを挙げた。また、世界的に猛威を振るったWannaCryにも英国としての対応策を提供した。また、啓蒙的なウェブサイトを構築、わかりやすいアドバイスや情報を用意した、などの実績がある。

  同氏は現在、国際通商省の戦略的サイバーアドバイザ(顧問)という立場で啓蒙活動を行っている。「セキュリティを高めるにはテクノロジーだけではダメだとして、政府と民間の産業界なりビジネス社会なりが一緒に対策・啓蒙していかなければ効果はない。ハードウエアやソフトウエアといったテクノロジーの仕組みだけではセキュアにはならない」と語った。

  かつて、Infineon Technologiesのセキュリティの専門家が来日した時も、「うちの重要な部署はインターネットから切り離しているから大丈夫、という企業がいたが、ウィルスに侵されていた」と述べている。隔離していてもなぜウィルスに移されたか。もし誰かが大事な隔離された部屋に入り、わざとウィルスの感染したUSBメモリを落としていくだけでよい。それも誰もが見たくなるようなタイトルをUSBメモリにつけておく。内部の人間がそれを拾ってパソコンに差し込めばそれで感染する。要は、セキュリティは一つではない。いろいろな手段が必要であるだけではなく、啓蒙活動も重要なのである。

  だからこそ、セキュリティフォーラムを開催したり、英国だけで行ったりするだけではなく、技術に強い日本との連携も必要だと彼は述べる。テクノロジーが最も重要なことは言うまでもない。その上で、トレーニングや教育の重要性を認識することも重要だとしている。2019年のラグビーワールドカップや2020年の東京オリンピックには民間との運営協力だけではなく、サイバーテロ対策も協力していくべきだと主張する。 

 英国は、007の物語で代表されるように、古くから諜報機関を持ち、セキュリティに強い国である。とはいえビジネスの世界では、5年前は英国でもセキュリティの重要性を認識している人が少なかったという。経営者の意識を高めるため、企業の経営層やリーダーにアンケート調査を行い、セキュリティの高い企業トップ35社を公開した。このことによって、経営会議レベルでのセキュリティの認知度が上がったとしている。同じことを日本でも提案し経営者の意識を上げていきたいと語った。

2018/03/09