【連載リレーコラム】
「サイバー旅行記「GCCS2015レポート」」
（アルテア・セキュリティ・コンサルティング代表／JNSA幹事 二木 真明）

GCCS2015（Global Conference on Cyber Space:サイバー空間に関する国際会議）は、国境のないサイバースペースに関する諸問題を国際連携で解決するための話し合いの場として、2011年のロンドン会議、2012年のブダペスト会議、2013年のソウル会議に引き続いて、オランダ・ハーグで4月16日、17日の日程で開催されました。インターネットの自由でオープンな状態を維持しつつ、安全に利用するための諸課題をどう解決していくかということの議論が主な目的です。インターネットが自由かつオープンであることは、それを利用したビジネスや社会的なサービスの継続にとって不可欠です。一方、その自由さ故に様々な犯罪やテロリズム、不正の温床にもなり得ます。インターネットのメリットを最大限に享受しながら、いかにリスクを減らしていくかという議論は、バランスの議論でもあります。ロンドンでは、基本的なスタンスとしてインターネットに対する規制、検閲に反対する立場を明確にしています。一方で、インターネットを使った犯罪などを防止、摘発するために国際的な連携の重要性も強調されました。以後の会議では、こうしたスタンスのもとで、多くの課題が挙げられ、解決に向けた議論が行われています。

それでは、今回の会議の様子を紹介しましょう。メルマガ字数の関係から、すべてのトピックを書けませんので、面白そうなものをご紹介して、あとは私のブログの記事を参照いただく形にしたいと思います。

会場は緑の多い閑静な場所にあるワールドフォーラムコンベンションセンターです。しかし、VIPも参加する国際会議のため、周辺は立ち入りが規制されるなど、ものものしい厳戒態勢でした。

オランダ首相の開会挨拶に続いて、会合全体のコンセプトに基づき、各分野からの代表による課題整理のパネルディスカッションが行われました。

セキュリティ分野からは、日本のJPCERT/CC伊藤さんが登壇し、サイバーセキュリティの課題についてのプレゼンテーションを行いました。

インターネットは、いまや現実社会と切り離せないインフラとして機能しており、サイバースペースはどんどんリアルスペースと融合しつつあります。もはや、サイバースペースの課題はそれ固有のものではなく、現実の課題に融合、直結するものです。ビジネスや社会サービスもさることながら、犯罪やテロリズムにとっても、インターネットは重要なインフラになりつつあり、これまで現実社会を基盤としていたこれらの勢力が、どんどんサイバースペースに流れ込んでいる現実もあります。一部にはインターネットの治安を維持する名目で、規制や検閲といった動きに走る国もありますが、一方でインターネットの自由さやオープンな環境を損なうことで、他の目的、とりわけビジネスにとってはマイナスの影響が出てしまいます。また、インターネットが政治的に管理されることで、様々な問題も生まれます。こうした規制や検閲といったインターネットのメリットを損なう方法にたよらず、可能な限り自由さを維持した上で、様々な脅威に対抗していくためには、国際的な協調、連携が欠かせません。それがこの会議の大きなテーマでもあり、各分野の参加者ともに、そうした面を強調しています。一方、アフリカの代表からは、貧困問題が取り上げられ、経済的な理由からインターネットを十分に利用できない貧困層が取り残されていく経済的なデジタルディバイドの問題の指摘がありました。あらゆる人が、あらゆる時間に、自由に使えるインターネットの必要性を訴える内容でした。

午後からは、ドラマ風のシナリオをもとにサイバー犯罪への対応を考えるパネルセッションがありました。ハリウッド映画ばりの映像でストーリーを流しながら、様々な局面での対応の方法を議論するという斬新なものですが、少々できすぎ・・・という印象も否めません。

ストーリーは悪の組織がハッカー集団を雇って、銀行をハッキングし、不正送金を試みるというもので、こんな感じです。

ハッカーは、銀行の女性ITマネージャを割り出し、そのフェイスブックアカウントからソーシャルエンジニアリングの情報を得る。あるブランドの靴に興味を持っていることを割り出して、そのブランドのWebサイトをクラック。CEOの情報を入手してバーで接触し、まんまとそのブランドの新作ハイヒールを入手する。そのハイヒールに無線装置を仕込み、（ここからがちょっとうさんくさいのですが・・）女性マネージャに贈る。そして、女性がサーバルームに入ったところで、装置から無線でアクセスし、サーバにマルウエアを感染させる。（無線で・・・というのが？？ですが、そこは目をつむることにして）目くらましの大規模DoSを仕掛けたところで、国のCERTがそれを検知して動き始める・・・・

技術的に見れば、ちょっと疑問の多いシナリオですが、犯罪組織がプロのハッカー集団を雇って、銀行から不正送金を・・・というシナリオは現実にもありそうです。会場からスマホでアンケートをとりながら対応方法を探るという方法も面白かったのですが、犯罪対応という意味合いでの捜査機関だけではなく、（たとえば日本ならば）金融庁や金融分野のISACなどが連携して、同種の事案に備えることや、DDoSの状況を把握したり影響を緩和したりするために、ISPと連携するというような総合的な対処が必要だというのが、パネリストたちの意見でした。こうした考え方は、この会合全体に流れています。

さて、結末は、というと、じわじわと捜査の手が伸び始め、証拠隠滅のために消される可能性を感じたハッカーたちが、捜査官と接触し、自分たちの身の安全と引き替えにおとり捜査に協力し、悪の女ボスが特殊部隊によって逮捕されるというこれまたドラマチックなものでした。作り話ではあるものの、捜査情報をうまく流しながら犯人たちを追い詰めていく警察の動きは従来型の犯罪捜査と同じ切り口で、こうしたタイプの犯罪解決には不可欠である点が描かれていたことは興味深かったと思います。

初日の午後はちょっとセキュリティを離れて、新技術が社会に与える影響を議論するセッションを二つほど聞きました。

最初のセッションは、新技術と倫理の話です。最近、いわゆるターゲット広告のように、ユーザの情報を収集して、そのユーザに合わせた広告などを表示するような技術が多用されていますが、これを一歩進めて、提示した情報に対するユーザの反応を先読みするような試みも始まりつつあります。いわゆるビッグデータを応用して、多くの人の反応を類型化し、ある人の反応を推測しながら与える情報を変化させることで、その人を望む方向に誘導するようなことも考えられます。議論は、こうしたことがどこまで許されるかというあたりにフォーカスしています。

技術の発展が加速していて、こうしたポリシーの議論はどうしても後手に回りがちになってしまいます。また、倫理問題の議論は、文化、宗教などの価値観に依存する部分が多く、絶対基準がありません。どうしても議論は長期化するので、その間、新技術の足を縛ってしまえば、技術の発展を阻害してしまう可能性が有り、大きなジレンマとなっています。この切り口でよく対立するのが米国と欧州です。どちらかといえば保守的な欧州に対し、多くのネットベンチャーを抱える米国はそうした規制には基本的に反対の立場です。この両者の落としどころを探るのは容易ではありません。ただ、ともすれば暴走しがちな米国のベンチャー企業が自らそうした倫理的要素を意識したビジネスに舵を切り、一方で必要以上の規制を行わず、迅速に倫理面の検討を進められるように、各国のポリシーメーカーの側も、もう少し技術に対する理解を深めるといった歩み寄りが不可欠かもしれません。もちろん、これは簡単なことではなく、特に伝統的な宗教観などがからめば議論は平行線に陥りがちです。しかし、とりわけ国境が存在しないネットの世界では、そうした地道な努力を、オープンに進めていくことが不可欠だろうと思います。

二つ目は、今まさに議論の的となっている「ドローン」に関するものです。先日の首相官邸事件で一気に注目を浴びたドローン野放しの問題ですが、これも先の議論と同じような根を持つものです。放っておけば、どんどん開発や普及が進む一方で、うまく活用できれば多くのメリットを国の経済や国民の生活にもたらす技術であることから、利活用と安全のバランスをどう取っていくかという点が重要です。

さて、そのものの是非論議もままならないところへ、このセッションではさらに先に進んだ技術も紹介されました。思考でドローンをコントロールするという技術です。このセッションでは、実際に人の頭に脳波をピックアップするセンサーを取り付けて、その信号をコンピュータ処理により、ドローンを制御する信号に置き換えて制御するデモが行われました。

PCで、センサーが拾った脳波を処理するソフトを動作させ、たとえば物を持ち上げる場面を想像した際の脳波などを学習させることができます。そうした脳波を学習する時間はほんの数秒。そのあと、その脳波を自分でうまくコントロールするために簡単な訓練を行います。訓練は、画面上に表示されたキューブ（立方体）を念じて持ち上げるというもので、先に学習させた脳波パターンを検知するとキューブが動くようになっています。

つまり、今度はその脳波パターンを自分で意識的に作り出せるようトレーニングを行うわけです。それが出来るようになったら、その動きをドローンの制御信号に反映させると、ドローンが浮き上がります。（会場は大騒ぎでした）

ドローンとセンサー、ソフトを含めた値段は個人でも手に入れられるもので、すべて市販品。もちろん、きちんと飛行させるにはかなりの訓練が必要ですが、もし、未熟な人間がこうしたことを、町中で試みてしまえば、間違いなく事故を起こすでしょう。このセッションの議題はまさにそこにあります。問題は、こうした技術が次々と世の中に出てくることです。そこには経済原理が強く働いています。いわば自由主義経済の宿命とも言えるでしょう。

その昔、自動車も免許不要で、買えば誰でも乗ることができました。交通ルールもありませんでした。しかし、当時とは技術の進み方も、社会の様子もまったく異なります。こうした技術に対してどう社会が対処していくのかが大きな課題となっていることは間違いありません。

GCCS2015では、こうしたサイバー、近未来技術全般について様々な課題を持ち寄り、議論することに主眼をおいています。もちろん結論が簡単に出るわけではありませんが、各国が問題、課題を共有するところがスタート点になります。

二日目も午前中、いくつかの議論がありましたが、こちらは併せて私のブログ（以下のＵＲＬ）でご覧ください。

その１　http://altairsecurity.blogspot.jp/2015/05/gccs2015.html
その２　http://altairsecurity.blogspot.jp/2015/05/gccs2015_9.html

課題は多く、解決に時間がかかるものも多いですが、こうした国際連携による「オープンな」議論で解決をしていくことが必要でしょう。次回のGCCSは17年にメキシコで開催の予定です。

【部会・WG便り】

★「JNSA 2014年度活動報告会」の申込受付中です。
　　日時：2015年6月9日（火）9：30〜15：30
　　場所：秋葉原UDXギャラリーネクスト

　JNSAの部会・WGの活動報告と今後の活動計画などの発表を行います。
　多くの方々のご参加をお待ちしております。

★JNSA調査研究部会に新たに発足する「マイナンバー対応情報セキュリティ検討WG」準備会の参加メンバーを募集中です。
準備会合を5月27日（水）10時より開催しますので、ご興味ある方は事務局までお問合せ下さい。

★セキュリティ理解度チェックWGでは新規問題作成にあたりWGメンバーを募集中です。ご興味ある方は事務局までお問合せ下さい。

★JNSAセキュリティしんだん「（16）受託したシステムの脆弱性と賠償責任問題を考える」を公開しました。
　https://www.jnsa.org/secshindan/

★JNSA教育部会では「情報セキュリティ講師紹介」ページを公開しました。
　ぜひご活用下さい。
　https://www.jnsa.org/edu/koushi/index.html
　
　JNSAの部会・WGは会員企業の方でしたらどなたでも参加できます。
　部会・WGへの参加申し込みは事務局までご連絡ください。

【事務局からの連絡、お知らせ】

★2015年度JNSA定時総会のお知らせ
　6月9日（火）に秋葉原UDXギャラリーネクストにてJNSA総会を開催します。ご出欠のご返信を事務局までお願いいたします。
同会場でJNSA活動報告会も同日開催です。

★JNSAインターンシップに参加していただける企業様を募集しています。インターンシップの実施に興味がある会員企業様は事務局までお問合せ下さい。
　JNSAインターンシップ　　https://www.jnsa.org/internship/

★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第61号　
発信日：2015年5月22日
発行：　JNSA事務局　
*************************************