Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

もしかして、テロ?サイバー攻撃?

 今週中国で、ちょっとした異変が起きている。まず13日に湖北省十堰市の市場でガス漏れが原因とされる爆発があり、25人以上の死者、120名以上の負傷者が出たという。

 

市場でガス爆発、25人死亡 中国湖北省:時事ドットコム (jiji.com)

 

 この記事によれば、広い中国本土では2020年には615件の事故、92名の死者、560名の負傷者が出ているとのことだが、それらとは規模の違う事件のようだ。習大人は負傷者救助、原因究明を指示したようだが、ひょっとすると事故ではなくテロではないかと考えてしまう。

 

 都市戸籍農民工の「戸籍アパルトヘイト」や、激しくなる格差、宗教にすがる市民とそれへの弾圧、競争疲れで「横たわり族」の急増といった社会課題が充満していて、何かのきっかけで騒動につながるかもしれないとの危惧がある。

 

 加えて15日には広東省台山市の台山原子力発電所から、放射性希ガスが漏れたとの報道もあった。この発電所はフランス企業の技術を入れて運用されているものだが、フランスの基準では原子炉停止にあたる濃度の2~3倍の放射能が含まれていたという。福島第一の「処理水」放出などとは次元の違った「放出」である。

 

中国原発 希ガス濃度、仏上限2倍超: 日本経済新聞 (nikkei.com)

 

        f:id:nicky-akira:20210616161627j:plain

 

 この件については中国当局は問題ないと言っているし、各社の報道はまちまちだ。安全は保たれているとの記事があれば、フランスの運営企業は米国への支援を求めたとする記事もある。当面は各種の情報が乱れ飛ぶだろう。

 

 うがった見方をすれば、何者かのサイバー攻撃の可能性もある。当局の発表によれば2020年上期には重大サイバーインシデントは7,000件を超えていて、攻撃の発信元の半分以上(57.4%)が米国発だという。G7の「中国包囲網」に中国が反発、これに対しての「警告」かもしれない。少なくとも習大人側近はその可能性を考えるだろう。

 

 あるいは先日中国側が流した「エリザベス女王の訃報」に対して、女王の崇拝者たちが仕掛けたものかもしれない。習大人は「愛される中国になる」と言っているが、現時点でやっていることは真逆の方向へ向かうものだ。

 

 もちろんこれらは全部偶然の事故なんだろうと思いますが、最大の敵は「疑心暗鬼」。これに囚われて過激な反撃になどに出ないよう、習大人には自制をお願いしますよ。

<eシール>がもたらす信頼

 先日WEFのDFFTに関する白書を紹介したのだが、確かにいろいろな技術が続々出て来て、一般人には理解できないことも多い。そんな従来型の「Trust&Governance」が使えない時代には、新たしいフレームワークがいるというのは確かだ。今回そのひとつの候補になる「認証制度」について、霞ヶ関の人から聞く機会があった。その制度とは<eシール>、簡単に言えば電子署名の法人版のようなものだ。

 

 電子署名とは、暗号化の技術で自分の文書にカギをかけ、読んで欲しい人にはカギで開けてもらうシステムのこと。日本では電子署名法という法律によって、運用が定められている。これはあくまで個人利用を想定したもので、例えば遺言書を暗号化して保管するというような用途を考えている。

 

 今回教えてもらったのは「組織が発行するデータの信頼性に関する検討会&eシールに関する指針」というテーマ。霞ヶ関では、2019年のDFFT宣言以来「トラストサービスWG」で具体策を検討、その中で欧州が提唱する<eシール>についての検討が必要との結論を得た。そこで「組織が発行するデータの信頼性を確保する制度の検討会」で方向性を検討し取りまとめようとしている。また関連実証実験もベンダー主体で行われた。

 

    f:id:nicky-akira:20210524172726j:plain

 

 ポイントは、

 
・事実、情報の発行元(自然人・組織・機器)の証明が必要
・eシールは発行組織を電子署名同様、公開鍵・秘密鍵方式で証明するもの。
・検討会では以下の6項目について議論した。
 - eシールに求められる要素
 ー eシールを発行できる組織の範囲
 ー 組織等の実在、申請意思確認手段
 ー eシール証明書の記載事項
 ー 暗号化やシール発行の設備の基準
 ー 運用含むその他の基準
・課題としては、電子署名法上の電子署名との位置付け、国際標準化動向、利用普及促進策
・実証実験では、データ受領側における真正性確認コストの削減効果は大。利便性と信頼性の確保向上が必要
 
 とのこと。意味は分かるが、現時点で一般企業がどこまで「真正性確認」にコストをかけているかが分からない。普通の企業間取引文書は、それなりのルーチンの確認作業でそのあたりを担保しているはず。それが相応に便利になるということでないと、普及は難しいように思う。今の段階では、こうやれば「信頼」を作ることができるよというくらいですかね。

データに関する権利

 時代は「DATA Driven Economy」になっていると、何度か申しあげてきた。データというと個人情報の話ばかりが先行し、GAFAが僕らのデータを勝手に使って儲けているとか、デジタル庁はマイナンバーを使って市民のデータを集めようとしているなどという議論ばかりが目立つ。

 

 ただデータは誰のもの論議も、一向に収束しない。データの権利といったところで、抱くイメージは十人十色である。今回憲法個人情報保護法に詳しく、データの流通・利用と保護のバランスを研究している法学者とお話する機会があり「データに関する権利」の基本的な整理を教えてもらった。

 

 データそれ自体に対する権利というのは、まだ定まっていないのが専門家の間の定説。しかしその周辺の権利は、大部見えてきた。

 

1)データの利用により影響を受ける権利:人格権や営業秘密

2)データの利用そのものを対象とする権利:表現の自由、営業の自由

3)データの利用に関する道具的権利:損害賠償請求権、利用停止・削除請求権

 

    f:id:nicky-akira:20210603105602j:plain

 

 我々が目指しているのは、データの流通・利用による利益と保護による利益のバランスだが、いずれにしても複合的なアプローチで解を見つけていくしかないと彼は言う。どんなアプローチの複合かと聞くと、

 

・所有権的アプローチ:デジタルの特性上、限定されたケースしかない。

・財産権的アプローチ:適切だが、個々のデータ単一では価値が低い。

・人格権的アプローチ:人格権そのものが明文化されていない恨み。

・基本権的アプローチ:例えば、政府やGAFAなど相手の自己情報コントロール権。

 

 などがあり、加えて契約も当事者間には大きな影響力を持つとのこと。自由で民主的な社会においては、データに関する権利と同時に3つの自由もある。

 

1)データによる自由

 市民の知る権利や、メディアの報道の自由がこれにあたる。

2)データへの自由

 アクセス権が代表的、取材の自由・情報公開、個人としては自己情報コントロール権。

3)データからの自由

 プライバシー保護、通信の秘密、あるいは「忘れられる権利」など。

 

 法理論からするとこのような整理になるのだが、実際に上記のバランスをどうとるべきかという議論になり、結論は、

 

「どのデータを誰がどのように使って効果を産むか」

 

 というモデルを早期に公表し、マルチステークホルダーで議論することに収まりました。これには僕も納得です。

株式会社は誰のもの

 先月石油メジャーのひとつ「エクソン」が、ヘッジファンドの薦める3人の取締役を加えることになった。この3人が環境活動家であったことから、石油メジャーが変ったのかと思いきや、株主たちの意向が大きかったことが分かった。普通なら、

 

・企業は儲けること、儲けて株主に配当することが使命。

・環境配慮などに過度な負荷をかければ、利益が減って配当が減る。

・だから株主はそれに反対し、株主の代表たる取締役は反対の意向を表明する。

 

 という流れが考えられる。しかし、今回は株主の投票結果としてこの3人の参加が決まったわけだ。これは株主たちが中長期的に、石油メジャーでも環境配慮を十分した方が有利だと考えたということになる。企業はこれまで「株主価値最大」を目指していたのだが、儲けるだけではなく社会の維持や改善への尽力も「株主価値」に加わってきたとも考えられる。大げさに言えば、株式会社は株主のものだったが、社会の公器でもあることが表面に出てきたということだ。

 

    f:id:nicky-akira:20210613082158j:plain

 

 そんなことを考えていたら、ちょっと変わった事件が起きた。それは昨年の東芝株主総会が「公正に運営されたものとは思えない」という調査結果が出たこと。昨年7月の株主総会に「物言う株主」が提案しようとした取締役選任議案を、経済産業省東芝経営陣が圧力をかけて取り下げさせたという疑惑である。調査に当たった弁護士らが「不公正」との報告を挙げたことで、今年の株主総会がどうなるか懸念される。

 

東芝の社外取締役4人、連名で取締役会と経営陣の刷新を要求 | 会社四季報オンライン (shikiho.jp)

 

 来週の総会に向け、社外取締役4名が「反旗」を翻したというのがこの記事。どうしてこんなことになったかと言うと、東芝という株式会社が、ある程度の比率で「政府のもの」だったことが疑われる。確かに東芝という企業は高い技術力やインフラ構築・運用の実績を持ち、ここに何かがあれば市民生活に影響が生まれたり、安全保障に影を落とす可能性がある。株主、社会全体に加えて日本国も、オーナーシップを持っているということかもしれない。では、それらの利害が対立した場合はどうなるのだろうか?

 

 この事件が今後どうなるか、「株式会社は誰のもの」視点で見ていこうと思います。

暴露型ランサムへの対応(5/終)

 種々の問題はあるにせよ、少しでもリスクを低くするにはどうしたらいいか、最後の論点はそれになった。つまり事前準備ということ。パネリストは各々の立場から多くのヒントをくれたが、僕がそれを自分なりに整理すると以下のようになる。

 

◆社内の体制整備

 海外子会社も含めて、従業員やデータ、アプリケーションなどの整理は必要だ。例えば「ゼロ・トラスト」のための6要素は、見えるようにしておくべきである。

 

ゼロ・トラストって何?(前編) - Cyber NINJA、只今参上 (hatenablog.com)

 

 その前提でだが、事案が起きた場合対処する中心人物(危機管理担当役員)を決め、その人物に情報が集まるパスを構築する。大企業グループならすでにCISOもいるだろうが、子会社等にもCISOはいる公算が高い。グループCISOと事業部門、子会社等のCISOとの役割分担・指揮命令系統・権限なども決めておくべきだ。

 

◆訓練の実施

 額面だけ役割分担や情報パスをつくったところで、火急の際には役に立たないことが多い。まずは具体的な想定シナリオを置いて、シミュレーションをやってみることだ。例えば米国連邦政府機関は、毎年異なった想定で「事業継続」の訓練を実施する。その課程で問題点があぶりだされ、ベストプラクティスが積み重ねられ共有されていく。

 

        f:id:nicky-akira:20210605125510j:plain

 

◆外部ネットワークの構築

 社内の体制以外にも、危機管理のための関係構築は重要だ。あるパネリストは「かかりつけ医」を決めておく方がいいと言っていた。事実確認や事業復旧には外部機関(SIer、セキュリティベンダ、コンサル、監査法人等)の力も必要だが、いざ事件ですといって頼んでも、自社の事を知らない外部機関では立ち上がりが遅く間に合わない。サプライチェーンセキュリティとしては、最重要なお取引先を巻き込んだ訓練ができれば安心できる。法執行機関などの当局やメディアとも事前に十分な意思疎通ができていれば、いざという時に慌てないで済む。

 

 100分という長いセミナーだったが、あっという間に終わってしまった。セキュリティセミナーというと、技術的な話に終始したり、ソリューションの売り込みだったりするものですが、今回のセミナーは一味違いましたね。こういう企画が今後も増えて行ってくれることを期待しています。