「サイバーセキュリティ」が重要な時代に

現在、世界の財産の多くはサイバー空間上をさまよい、その多くの「富」は明らかに「データ」である。そのデータは、銀行などの金融機関であれば、「データ」として、その銀行のシステムのサーバーの中に存在する(つまり、サイバー空間とは言うものの、一番重要なのはサーバー上のデータである)。そのデータの存在を国家機関などのより強大な力を持つ組織が、その地域の国民の合意形成のもと、価値を認めている。だから「それ」が「紙切れ」だろうが「データ」だろうが、「価値」を持つのだ。

となると、国民の富を守る、というのは明らかに「データを守る」ことである。国の財産も、全てデータである。であれば、データを守ることはそのまま国を守ることであり、侵略とは富のいっぱい詰まったデータを奪取することであり、戦争に勝つ、ということは冨の沢山詰まったデータを自分のものにすることである。

第2次世界大戦前までは「冨」とは土地のことであり、土地を耕し衣食住を直接支える資源のことであった。であるから、より多くの冨を得るために、その土地の人間を脅し、働かせ、国の政府がそれを手に入れることがそのまま「冨の奪取」であった。しかし、今は蓄えられた冨はデータであり、そのデータは国の政府などの支えによって、価値を認められている。結果として、データを守ることができない国や地域は滅びる。第2次世界大戦以前の価値観では現代を生きることはできない。データが毀損すれば、それはそのまま国富の毀損である。

結果として、サイバー空間での「攻撃」「防衛」が国防として重要なポイントにならざるを得ない。

しかし、いま、日本に限らず、どこの国の政府も、旧来の価値観に縛られているから、「データを守る」という考えになかなか至らないのだろう。それが至らないうちに、世界の状況は変化をしている。

「サイバー戦争」は現代のメインの戦争である。

 


サイバー戦争の本、2冊め

サイバー戦争を「ショート・ショート」のフィクションでわかりやすく解説した「サイバー戦争が始まるとあなたの生活はこう変わる」の二冊目を上梓しました。今回は「仮想通貨」「自動運転車」「掃除ロボット」などがサイバー戦争でどう使われるか?などについても、具体的に「このようになるだろう」という物語で、わかりやすく解説しました。

こちらです。


【サイバーセキュリティ】「仕事納め」の前にやっておくこと

今や、PCを使わない職場はない。そんな職場にも年末年始がやってくる。今年は、土曜日が30日、日曜日が31日の大晦日。おそらく、早いところで4日から、遅いところでは5日あたりから仕事始めだろう。そして、年末年始が「かきいれどき」、という少数派の企業以外は、多くの企業は今週いっぱいで休みに入る。

数日でも会社を休みにする、週末の会社を休みにするとき、必ず以下のことをしておこう。休み中にハッキングされて、年明けから大変です、なんてことを防ぐのが重要であることは言うまでもない。

  1. 基本は全てのPCの電源を完全に落としておいたうえ、ACコンセントも抜いておくこと。
    ノートPCの場合は、電池も外しておこう。これで完全に外部から個人が使っているPCへの侵入はなくなる。
    また、ネットワークを有線でやっている場合は、ネットワークケーブルも外しておこう。
    →事務所荒らしなども考慮して、裸にしたPCは、金庫などにまとめて入れておけば更に完璧だ。
  2. 社員や部署で共有している「ファイルサーバー」は電源を落としたうえ、金庫などに入れておこう。
    ファイルサーバーに入っているものは、会社の「財産」である。つまりお金と同じだ。そういう認識が必要だ。
    →電源ケーブルを抜くことも忘れないように。
  3. 社内で使っているルーターなどの外部と接続する機器も同様に電源を落としておこう。
  4. 社内で使っている無線LANアクセスポイントも電源を落としておこう。
  5. 新年に出社したとき、誰がファイルサーバーの電源を入れるか?などの役目を決めておこう。
    休みに入る前の電源を切る日時だけでなく、新年の電源を入れる日時などをみんなに知らせておこう。
  6. 休み中、もしもの時の連絡網を作っておこう。
    A.毎日朝一番で自社のWebサーバーがちゃんと動いているかどうかを調べる役目を決めておく
    Webサーバーの回復をする業者の連絡先を社員に周知しておいて、もしもの時に備えてもらう
    ことを業者にお願いしておこう。
    B.Webサーバーが動いていない場合の社長をはじめとした連絡網を決めておく
    C.休み中のメールの受け取りは新年になるなどの告知を客先にしておこう
  7. 日本と外国の年末年始は違う。外国の取引先などにも会社の休日を周知しておこう

とまぁ、これだけしておけば、休み中に会社のPCがハッキング被害、などということはないだろう。もしあったとしても、これだけのことをしておけば、ほぼ問題はない対処が可能だ。

※次にトラブルが起きやすいのは、新年の仕事始めのときである。このときはトラブルが多発する事例が多い。そこで、仕事始めでは、「ルーター」「ファイルサーバー」「無線LANアクセスポイント」「個人使いのPC」の順序で、5分くらいの間を置いて次々に電源を入れて起動するとトラブルは減る。同時に電源を入れると、トラブルが増えることがあり、無用なストレスを感じることもあるだろう。もしもトラブルが出たときの業者の連絡先なども、社員や部署長がわかるようにしておこう。

 


「ホワイトハッカー」とは?

最近はサイバーセキュリティについて、様々な話が流れている。特にこの1年くらいは、日本では政府機関、企業などが続々と狙われ、「落ちて」いる。そして、これに対抗する「サイバーセキュリティを主な仕事にする技術者」も、「人数が足りない」ということで、あちこちで引っ張りだこ、という話もよく聞く。政府も「サイバーセキュリティ」のための組織を作ったり、後押ししたりしている。

このサイバーセキュリティを推し進める人員は、当然のことながら、一定以上の高い技術が求められる。攻撃する側の「犯罪者」のことを、一般的に「ハッカー」というが、「ハックする」というのは、コツコツとなにかする、という意味であって、昔からシステム屋の間では、こういうことをする人間を「クラッカー」と呼んでいた。しかし、一般的には「ハッカー」というほうが通りがいいようだ。そこで、あらためてシステムを守る方のハッカーを「ホワイトハッカー」と呼ぶようになった。「悪いことはしないハッカー」という程度の意味ではある。

ホワイトハッカーは「守る」方ではあるが、攻めてくるほうがどうやって攻めてくるか、ということを知る必要があるから、当然知識などは、攻撃側のハッカーと同じかそれ以上のものが求められるうえ、「こういうことはしてはいけない」という法律なども知って置く必要があり、なかなかハードルが高い。ホワイトハッカーになるのは、あるいはそういう技術者を作るのは、なかなか大変だ。お金もけっこうかかる。

 


純国産サイバーセキュリティの必要性。日本でのサイバーセキュリティ機器認証機関の必要性

最近は、ミサイルの話とか、いろいろ聞こえてくるのだが、なによりも、これからの「戦争」は明らかに「サイバー戦争」に移行する、せざるをえない。そうである以上、日本国全体のサイバーセキュリティは喫緊の課題であることはいうまでもない。しかしながら、日本のサイバーセキュリティに使われている様々な機器のほとんどが外国製であり、国産のものは非常に少ない。かつての「IT王国」だった日本は今や世界に見る影もない、という嘆きの声があちこちで聞こえている。まず、ハードウエアだが、現時点ではハードウエアはほとんどが中国製だ。ただし、世界的にハードウエアは台湾、中国のものがほとんどであって、それ以外のものを探すのは難しい。だから、ハードウエアは米国製であっても、イスラエル製であっても、あるいは中国製であっても、構わないだろう。

しかし、その上に乗るセキュリティソフトは、ベースになるものが外国製であったとしても、その中身をいつでも検証できる必要がある。外国製のソフトウエアで、かつ中身がどういうものであるかを見られないのであれば、それはセキュリティを放棄しているのと同じだからだ。必要なのはサイバーセキュリティを担う日本人の技術者をいかに育成していくか、ということ、そして、日本人技術者によるサイバーセキュリティ機器やソフトウエアをいかに多く作り、日本国内でそれを使っていくか、ということではないだろうか?

セキュリティ製品は外国製のものでも良いが、それを、日本人技術者が中を見て、漏れては困る情報を外部に漏らすなどのことをしていないか?などを検証できるようにすることが大切だ。そのためには、日本人の日本人によるサイバーセキュリティがなによりも重要になる。日本で作り日本国内で利用されるセキュリティソフトは、重要な日本の国のセキュリティのポイントだが、それだけのことができる高い技術を持った日本人技術者は非常に少ない。今やそういう人は大企業にはいなくなった、というのは、この業界にいる人間にとっては周知の事実だ。

これからは

サイバーセキュリティ機器・ソフトウエアの日本国での認証機関(日本人のみで構成される)などを作り、重要な場所ではその機関の認証を得た機器でないと、使ってはいけない、などの制限を設けることも必要になるだろう。あるいは、防衛省あたりで認証機関を作り、その機関の認証を得たセキュリティ機器でなければ、他の省庁でも使ってはいけない、などの基準を作る、などの方策が必要になるだろう。

実はある外国製のサイバーセキュリティ製品を検証したことがあるのだが、暗号化された不明なデータがサイバー空間上の全く未知の場所に送られている、というのを見つけたことがあり、当時は関係者のあいだで大問題となった。こういうものは、たとえば、大企業や防衛産業では使えない、ということはいうまでもない。

日本のサイバーセキュリティはこれからだが、すでにサイバー空間では世界戦争が始まっている、と言ってよい。

 

 


 



自衛隊の重点戦略は「サイバーセキュリティ」でないとまずいなぁ

P1170771最近、国家公務員については人事院がこのような動きを示した。このところ問題となっている日本の領土問題などもそうだが、これらはごくごく近い将来、日本の役所とか自衛隊などで「サイバー戦略」の重要性がもっと高まっていくし、高まらないと、この国は守れないだろう。

最近の「戦闘」はほとんどが「サイバー戦争」なんだな。当然、それは、ネット上で行われているわけで、たとえば、ハッキングで水道や電気が止められたら、とてもじゃないが従来武器だって維持できないわけですよ。自衛隊の武器が維持できたとしても、周辺の住民がみな降伏してしまえば、自衛隊の意味もなくなっちゃう。サイバー戦争ってのは、そういう戦争なんですよ。ましてや原発の制御システムが狙われたら、核兵器を運ぶのより安価に核攻撃ができてしまう。

「サイバー戦争」ってのは、「ゲリラ戦」のさらに先を行くのですね。「そういうことはありえない」と自分勝手に考えると必ず失敗して戦争には負けるんですよ。だから、自衛隊にお金をかけるときはサイバー戦を中心に置いて、サイバー戦向けの人員を多く用意し、強化しないと、弱い軍隊になっちゃうんだよ。実質的なサイバー戦力をちゃんと用意できるかどうか。そこに、これからの時代の戦争の「勝つための戦略」があるんだな。

だから、これからは「徴兵」ではなくて「徴ハッカー」が非常に重要な意味を持つ。スタンディングオベーションなんてカタカナを使っている場合ではないですよ。

事実、これまでの10年くらいだけを見ても、ぼくが聞いたところだけで、こりゃえらいこっちゃ、というサイバー戦の負け戦の実例が、日本にはたくさんある。

まずは、インターネットの出入り口のセキュリティルーターには、中身も含めて、純粋に日本人だけの技術者チームで作った、完全日本製(せめてOSを含めたソフトウエアだけでも – 外国製もでいいが、日本の技術者がその中身をスクリーニングして、バックドアなどがないことがわかっているもの)のものを必ず使うことから始めないと、「鉄壁の守り」にはならない。セキュリティルーターのメーカーからすれば、日本国産の外国人技術者完全フリーの(←変な言い方だよな)、それでいて価格が安いものをいかに安定して供給できるか、が最初の勝負になる。

であれば、役所としては、JISなどの規格で「完全日本人チームでスクリーニングして作れるセキュリティルーター開発業者」なんかを認定する、という制度も当然必要になる。例えば「セキュリティルーター開発業者認定」は、その会社の資本の100%が日本国内企業や組織からのもので、というところから、認定の基準を作らなければならない。日本の政府の政策として、まずはこのあたりの法整備から始めないと、日本のサイバーセキュリティは「鉄壁」とはほど遠いものになることだろう。

既に世界のサイバー空間は「戦場」である。

 


日本のサイバーセキュリティを考える人たちが早急にやらなければならないこと

RaspberryPi2

日本は政府が全く関心を示さないために、サイバーセキュリティでは明らかな後進国になっている。

法整備も十分ではなく、技術も十分ではない。当然だが、日々仕事でPCやインターネットを使わざるを得ない社会が到来しているにもかかわらず、日本の守りの要たるサイバー空間と組織内の接続には、純国産の機器は使われず、どれもこれも内容がわかっていない外国製である。実は、裏側ではなにをされているかわからないのは、関係者の話でよくわかっているにもかかわらず、それしか選択肢がないのだ。

技術立国日本の(←皮肉ね)、名だたる一部上場のIT企業の中には、これらのセキュリティ機器を扱う部署はあるものの、その部署から公的な機関などの組織に提案されるバカ高いセキュリティ機器は中身が外国製のものばかりだ。また、日本国産のものであっても、中身が外国製であったり、その開発チームに外国人がいたりするのは当たり前のこととなった。日本のサイバーセキュリティのレベルは現在、非常に低い。

おそらく、現在地球の裏側から日本の電力の供給を止めたり、などの「サイバー攻撃」はやり放題の状況だろう。時代はそういう時代に変わったのだが、そういう意識がない公的な組織やそれに関わる組織がほとんどだからだ。

世界的な資源の枯渇や、膨れ上がった人口を養うための食糧不足や水不足なども言われはじめており、アジアの富を集めた日本も、アジア全体で見るともはや「N.o.1」でもない。ここに具体例を挙げるのはいささか憚られるところもあって、そこまでは書きにくいのだが(守秘義務もある)、サイバー空間での世界戦争は既に始まっている、というのが本当のところだろう。

他のものはどうあれ、本当の国や地域というレベルの安全保障には、その国の国籍を持つ、信頼できるITの技術が高い人員をいかに集められるかが勝負である。そういう人間を育てて来なかった日本では、いま、サイバークライシスが始まろうとしているのではないか?と、ぼくはそう思う。