サイバーテロが日常に潜む時代に、社会や事業をどう守ればいいのか?山口英教授が語る情報セキュリティの現在・未来

東京オリンピック開催に向けてセキュリティ分野ですべきこと

――東京オリンピックが開催される2020年に向けて、情報セキュリティの分野ではどのようなことが話されているのでしょうか?

サイバーテロが日常に潜む時代に、社会や事業をどう守ればいいのか?山口英教授が語る情報セキュリティの現在・未来

山口 やっぱり皆、オリンピックのことをすごく話題にしています。特にサプライヤーとしてオリンピックに入りたい企業は情報セキュリティがとても心配だと言っています。

2020年は1つの目標点であるのは事実ですが、ロンドンオリンピックの開催期間中のレポートを読むと、オリンピックをやるには、そのための研究開発も必要になりますし、セキュリティ対策をやらないと開催自体ができないということがわかります。現状では皆が「オリンピックに向けてセキュリティ対策をやらないといけない」と口で言っているばかりで、現実には技術がありませんし、オペレーションを回せる人材がいませんし、それをやったところでお金がちゃんと払われるかわからない。そう考えると技術も人もお金も足りないと言わざるをえない状況です。

それから、オリンピックを理由にして何事にも予算がつくと皆が考えがちなことも問題です。しかし、財務省はもうセキュリティに関しては、単に「2020年〜」と書いて提出してくるものは受けつけないと言っています。要は、オリンピックに関係するプロジェクトが多過ぎるので「もっと内容を練ってこい!」と要求しているんです。裏を返せば、皆がいかにザルなことばっかりやっているかという証です。この点について、財務省は良いことを言っていると思いますし、皆がもっと本質的なことを考えるべきだと思います。そもそも、セキュリティを整備する以前の問題として、オリンピックは今のままじゃ開催できない状態だ、ということです。

――確かに…できる、誰かがやってくれるとほとんどの人が思っているだけかもしれません。

山口 オリンピックのような巨大イベントのオペレーションの面について言うと、行政が一番下手なんです。ですから、2020年に向けてどういうふうにセキュリティ機能を行政に組み込んでいくかを考えるのは頭の痛い問題です。ただ、目標があるというのはとてもいいことだと捉えています。

時代や社会の変化を認知し、自らがきちんと変わっていくこと

――オリンピックまであと5年ある、といってもあっという間ですよね。その短い時間の中で準備していくステップが幾つかあるのではないでしょうか?

山口 その準備は計画経済じゃなく、目の前に迫る現実であり、常に我々が変化し対応しなくてはいけないということです。やるべき準備をしながら、世界の環境が変わっていくことを認知し、それに自分たちが対応していくことです。自分たちが変わるっていうことを認めるかどうかっていうところが課題だと感じます。特に行政にはそういう意識が足りません。

――どのようにして変化を受け入れ、変化に踏み出していけばよいのでしょうか?

山口 技術は変わっていくということが前提として一つあります。それを認めること。それから、そこで働くスタッフが変わることと、スタッフにそれを受け入れるマインドセットがあるかどうか。情報セキュリティ補佐官をやっていたときに体験しましたが、役人は変わることを嫌がるんですね。「時代の変化を受け止めろ」と言うのは簡単ですが、彼らはなかなか受け止められない。だから変えていく仕掛けを持ってないといけない。それがシステムや統一基準だったりするわけです。役所、役人は社会の変化に対して自分を合わせていくっていう発想を持たない。とにかく変わらないことが彼らにとっては幸せですから。

――情報セキュリティだけでなく、今の日本の根本的な構造の問題のような気がします。

山口 でも、組織も人も変わるんですよ。おそらく、オリンピック期間中にも変わってしまうでしょう。ロンドンオリンピックのレポートを読んでわかるのは、押し寄せる現実の問題に対応してどう「乗り切るか」なんです。ところが、どうしてもいかに「計画どおりにやるか」っていうことばかりを言いがちなんです。準備と計画は必要だけど変化に修する仕掛けっていうのはちゃんと持たないといけない。その点は大きな課題だと思います。

良い耳と良い目を持ち、現実を正しく認知すること

――情報セキュリティ分野の人材の部分に関して、若い人がどういうモチベーションや志を持ってこの分野で成長すればよいとお考えですか?

サイバーテロが日常に潜む時代に、社会や事業をどう守ればいいのか?山口英教授が語る情報セキュリティの現在・未来

山口 1つに、良い耳と良い目を持つことですね。人間っていうのは変化の兆候や変化の実体っていうのはやっぱり見たくない、聞きたくないから覆うんです。認知しないっていうことですが、外界が変わっても自分で変化を気付ける目と耳を持っているっていうのはすごく重要だと思います。

2つ目はその目で被害が出ている現実をしっかり見て、損害を最小化するための知恵を出すということです。これは誰にでもできることだけど、損害が出ることを認めたくない人はたくさんいる。それをやるということです。

3つ目は世の中にどうやって伝えるかという、パブリケーション。それが伝えることがうまくないから、実際にはきちんとやっていても、うまくできていないってみんなに思われたりするんです。

情報は資産であり、取り扱い方があるということ

――政府や大企業のような巨大な組織において、最新の情報セキュリティ技術やシステム、思考に対応する突破口はどこにあるとお考えですか?

サイバーテロが日常に潜む時代に、社会や事業をどう守ればいいのか?山口英教授が語る情報セキュリティの現在・未来

山口 答えるのは難しいですが、まず「情報は資産」ということを認識することです。情報を資産だと捉えていない経営者が多いですね。そこを直さないといけません。資産取り扱いというのは企業の中で決まっていることですが、情報を取り扱うっていうことも同じなんです。2つ目に、組織の中で情報を取り扱う人というのは誰かというのを明確にすること。しかし、今はそれが分からないまま情報を触らせているメーカーはたくさんあることは問題です。

あるメガバンクはこの数年で情報の取り扱いというのを全部変えました。それまでは紙とマイクロフィルムが彼らの情報ツールでした。そこから、オンラインの情報を情報と認めることで全てが変わったんです。例えば、口座情報も顧客情報もオンラインバンキングも組み立てが全て変わった。でも、普通の企業はそこまで行けていないのが現状です。

よりわかりやすい例を言うと、全日空です。彼ら月間何百億円もの航空券を売っているんですが、その85%がオンラインでの売上なんですね。実際にそのシステムが止まると飛行機は飛ばない。世の中はすでにそうなっているのに経営者が「コンピューターはサブスタンス(実体)じゃなくてアディショナル(追加)なもの」みたいな言い方をするのはおかしなことです。なぜ全日空の話をしたかというと、彼らはシステム化を通じて業態を変えたんですよ。チケットの売り方、予約の仕方、運行情報のマネジメントの仕方を変えることでそれまでとは全く違う会社になっていった。そういうことをやれる会社ってどのぐらいあるか分からないですが、これから大企業には不可欠な考え方だと思います。しかし、日本の場合は98パーセントが中小企業で、7000万社ある中小企業をどうするかということを考えないといけません。まだ中小企業対策ができていないのが現状です。

――中小企業が変わっていくっていうのも誰がどういうふうにそこにメスを入れればいいのでしょうか。

山口 経産省と話してもやっぱり中小企業は難しいと聞きます。やはり小さい会社はお金がないですから。個人情報の漏洩などの被害額というのは青天井で請求できるわけではないですが、1回被害が出ると何百億円という損失になるので、そこで中小企業がどう対応するというのは、中小企業を下請けに持つ大企業にとっても大きな問題で逃げて通れないところです。

保険にお金を払うように情報セキュリティにもコストをかけるべき

――日本の情報セキュリティに関して、今一番訴えたいことは?

サイバーテロが日常に潜む時代に、社会や事業をどう守ればいいのか?山口英教授が語る情報セキュリティの現在・未来

山口 みんながもっと賢くなることです。トラブルをよくよく見るとみんな信じられないようなイージーミスをやっている。例えば、システムのテストする際に実際の個人情報でテストしないといったことです。結果、本運用で個人情報を全部盗まれるなんてことをやられている。あまりにもずさんです。

そして、セキュリティを整備するためのお金がどこもないという問題ですね。人も企業も保険にはお金を払っても、情報セキュリティには払わない。セキュリティはお金を生まないという固定概念がありますから。災害対策は企業がやるけど同じような災害対策をやりません。そこで、私が行政や企業にお勧めしたのは、「サイバーセキュリティ対策」と言うとおかしくなるから、「災害対策にサイバーセキュリティを入れてくれ」と言ったんです。実際「サイバーセキュリティ災害」と呼びだしてから対策をやるようになった組織もありました。情報セキュリティというのはずっと終わりなきゲームで、これで十分ということはないので、災害対策としてもっとお金をかけるべきなんです。

変化するライフスタイルの中でどう安全を守りながら、規制せずに産業を伸ばしていくか

山口 もう一つは制御システムについてです。どんどん違う種類のソフトウェアが出てきますよね。例えば、自動車の自動走行は、規制を含めてどうするのか。ソフトウェアの品質も見ないといけませんし、もちろんセキュリティも考えないといけません。

――IoTやウェラブル、ドローンやロボットの普及とそのセキュリティやトラブル対策も難題が山積みです。

山口 それらの対策を行ってはいますが、想像以上に世の中が変わっています。ネットにつながった人々のライフスタイルを一体誰が管理していくのか。自動車、テレビ…あらゆる電気機器の安全を誰がどう考えるのか。例えば、ビルのエレベーターなんかいくらでもハッキングしてイタズラできるわけです。でも、その問題を官に言ったところで、「これは民の問題だ」って言われてしまう。ですから、情報セキュリティやネットの危機管理に関しては、共助や自助という力が企業や個人についていかないと社会全体は良くならないということなんです。

text:米田智彦(ライフハッカー[日本版]編集長)

山口英

やまぐち・すぐる
山口英

1964年生まれ
1986年 大阪大学基礎工学部卒業
1988年 同大学院基礎工学研究科博士前期課程修了
同年5月 WIDEプロジェクトボードメンバー、現運営委員
1990年 同大学院基礎工学研究科博士後期課程を中退し、同大学情報処理教育センター助手
1991年 工学博士(大阪大学)論文の題は 「Studies on Interprocess Communication Mechanism for Wide Area Distributed Computing Environment(広域分散処理環境におけるプロセス間通信機能に関する研究)」。
1992年 奈良先端科学技術大学院大学情報科学センター助教授
1995年 Asian Internet Interconnection Initiatives (AI3) メンバー、現代表
1996年 サイバー関西プロジェクトメンバー、現幹事長
1996年 JPCERT/CC 運営委員会委員長 (〜2003年)
2000年 奈良先端科学技術大学院大学情報科学研究科教授
2003年 JPCERT/CC の中間法人化に伴い代表理事就任 (2004年5月に退任、以降は理事)
2004年 内閣官房情報セキュリティ対策推進室情報セキュリティ補佐官(2005年に内閣官房情報セキュリティセンター)
2005年 第1回情報セキュリティ文化賞(情報セキュリティ大学院大学)受賞
2015年 平成27年度 科学技術分野の文部科学大臣表彰受賞


Sponsor Content Presented ByIBM

※日本IBM社外からの寄稿や発言内容は、必ずしも同社の見解を表明しているわけではありません。


12