HOME >  公開資料・報告書をお探しの方 > JNSA セキュリティ十大ニュース

セキュリティのプロが選ぶ! JNSA 2018セキュリティ十大ニュース〜価値観のすり合わせや合意形成の難しさが表面化〜


2018年12月26日
セキュリティ十大ニュース選考委員会委員長 大木 榮二郎

今年の十大ニュースの特徴は、合意形成に苦慮するニュースのA群(2,6,7,9,10位)が、相変わらずの被害拡大ニュースのB群(1,4,8位)と、新たな枠組みに関するニュースのC群(3,5位)に比して大きくクローズアップされている点にある。

合意形成に苦慮するニュースの筆頭格を、海賊版サイトブロッキング問題に見ることができる。この問題を検討する委員会の運営が異例の迷走を呈した背景には、すり合わない価値観の問題が横たわっている。Coinhiveで逮捕者が出た事件についても、新たな技術が社会秩序にどう影響するかについて、立法府での検討の課題とともに、法執行の運用面での適用についても立場に応じた価値観の違いがあり、関係者に疑問や戸惑いが生じている。サプライチェーンのセキュリティ対策が進まない背景には、このような合意形成が一筋縄ではいかない実情がある。
 さらに卑近な例として、パスワード更新ルールの変更のニュースにしても、異なる立場からの様々の意見があり、立場に応じた価値観がぶつかり合っている。
 おりしも、データ改ざん事件などで行政や企業経営におけるガバナンスやコンプライアンスの課題が噴出し、日本企業の強みであった高品質のラベルが色あせる事態に陥っている。情報セキュリティのインテグリティの課題が、企業自体のインテグリティの課題に広がっていると言わざるを得ない。これも価値観の相違に端を発する課題に違いはあるまい。

昨年のセキュリティ十大ニュースでは、「特異な年2017、停滞が始まったのか」として、ニュースに大きな変化がないことを指摘し、その底流を紐解く鍵の一つが「情報革命のひずみ」にあるとしたが、このひずみが被害の増大につれて価値観の衝突として現れ始めていると考えなければなるまい。

この見方の延長でとらえれば、情報セキュリティの被害が続くという停滞を抜け出すには、様々な立場からの意見を踏まえて価値観をすり合わせ、合意を形成していくというプロセスに汗をかかなければならない段階に入ったということになる。

このような合意形成には、情報セキュリティの検討の視点をさらに一段と上にあげて、従来とは異なるレイヤーでの発想や施策の検討が求められるであろう。人文科学や社会科学の知識をさらに活用して取り組む必要に迫られている。

2018セキュリティ十大ニュース

【第1位】4月4日 米Facebookは8700万人の個人情報流出を発表
〜 FBから不正取得した個人情報で「情報戦」、米大統領選に影響か 〜



【第2位】3月1日 パスワード更新ルールの変更に議論百出
〜 パスワードの定期的変更をやめて本当に安全か? 〜



【第3位】5月16日 IoTセキュリティの懸念にNICT法改正など進む
〜 今、あなたの家にも脆弱性スキャンがかけられているかもしれない 〜



【第4位】1月29日 コインチェックで仮想通貨流出による大規模被害
〜 狙われた仮想通貨取引所、甘い管理で大量流出 〜



【第5位】5月25日 GDPR施行さる、日本企業の対応やいかん?
〜 厳しい罰則規定に怯える?備える? 〜 



【第6位】10月15日 海賊版サイトブロッキング問題、通信の秘密で異例の迷走
〜 さらなる地道な議論による、今後の合意形成に期待 〜 



【第7位】6月14日 Coinhive等のマイニングツール設置で16人が逮捕・書類送検
〜 マイニングはイノベーションか犯罪か 〜 



【第8位】7月9日 ついに日本語のBEC着弾
〜 被害総額なんと125億ドル以上 〜 



【第9位】3月2日 財務省、決裁文書の改ざんが明らかに
〜 揺らぐコンプライアンス、これじゃ統治がガバガバなんす 〜 



【第10位】4月26日 ますます深刻化するサプライチェーンリスク
〜 リスクの連鎖で課題は過大に 〜



【番外】10月9日 東証のシステム障害の波紋広がる
〜 トウショから合意できていたか否か 〜


<2018セキュリティ十大ニュース>選定委員・解説
委員長・大木榮二郎/織茂昌之/片山幸久/唐沢勇輔/岸田 明/小屋晋吾/
小山 覚/杉浦 昌/下村正洋/高木経夫/竹内和弘/丸山司郎/持田啓司


【第1位】4月4日 米Facebookは8700万人の個人情報流出を発表
   〜 FBから不正取得した個人情報で「情報戦」、米大統領選に影響か 〜

フェイスブックの情報流用が8700万人規模に拡大と発表された。 情報漏洩事案が十大ニュースの1位となったのは、2015年「日本年金機構の情報漏洩」以来3年振りである。食傷気味の話題だが、漏洩の原因が従来の「過失・不正・攻撃」から、我々が最も恐れていた「組織的な悪用」に変質した点が見逃せない。
 今回の事案は、Facebookで提供された性格診断クイズアプリをダウンロードした約27万のユーザと、その友達の合計8700万人(推計値)の個人情報を、アプリの開発者を通じて、英選挙コンサル会社のケンブリッジ・アナリティカが不正に取得し、2016年の米大統領選でトランプ陣営に有利になる「情報戦」が行われたという。まるで映画の世界のような話である。個人情報の「組織的な悪用」が、世論操作など社会生活に暗い影を落とした事案である。

Facebookは危ない!と警鐘を鳴らすことは簡単であるが、本質的な問題の解決に繋げなければ、単なる大量情報漏洩事件として風化してしまう恐れがある。
 まず重要なことは、利用者の意識を高める普及啓発である。しかし迂闊に個人情報を渡してしまう利用者をゼロにすることはできない。今回の事案の再発防止にはFacebookなどのSNSや、SNSで提供されるアプリ側が行う「個人情報の利用実態」にメスを入れる必要がある。

既に日本では個人情報利用時の匿名加工情報のガイドラインが制定されビジネス利用が始まっている。またGDPRは欧州以外でも個人情報の目的外利用を厳しく制限することに奏功しつつある。しかし、これだけでは不十分である。
 法制度や世論のメスがFacebookのような巨大IT企業に本当に届くかどうか、特に罪と知りながら行われる「組織的な悪用」の対策はもう一段踏み込む必要である。
 12月12日には、政府の巨大IT企業への規制のあり方を検討する有識者会議が、専門家による監視組織の創設や、巨大IT企業に重要な契約情報の開示を義務づけることを柱とした規制強化を打ち出した。公取委も1月から大規模な実態調査を始め、来年の6月にはGAFA(Google、Apple、Facebook、Amazon)を念頭に置いた具体的な規制案が公表されるとの報道があった。
 まだ予断を許さぬ状況ではあるが、個人情報の「組織的な悪用」の対策に繋がることを期待しつつ見守っていきたい。



【第2位】3月1日 パスワード更新ルールの変更に議論百出
   〜 パスワードの定期的変更をやめて本当に安全か? 〜

3月1日に総務省の「国民のための情報セキュリティサイト」で、「問題(インシデント)がなければ、パスワードを変更する必要はありません。」と従来の指針を180度変更した。この公表を受け、新聞を始めとする各種メディアだけでなく、様々な個人サイトでも話題になり、一時『パスワード定期変更は悪』論が展開された。
 その一方で「パスワードの定期変更は意味がある」、「必要だ」とするメディア、サイトも数多くあり、組織のシステム担当者は、経営層を含むエンドユーザからいろいろ(文句を)言われて、少なからずその対処に苦慮されたのではないだろうか。
 総務省がパスワード定期的変更の指針を方向転換した背景を確認することで、今後どう対応すべきかが見えてくる。

総務省の公表はNIST(米国国立標準技術研究所)が2017年に出したガイドライン、SP800-63B(電子的認証に関するガイドライン)に基づいている。このガイドラインは、電子認証方式とその管理要件をセキュリティ強度別に示している。パスワードも認証方式のひとつとして書かれていて、その中に『ユーザにパスワードの(定期的)更新は要求しないことが望ましい(Should not)』とあり、その論拠も付録として記載されている。ここで重要なのは、『してはいけない(Shall not)』となっていない点である。
 パスワードを定期的に変更する意味は、もしそれが流出してしまっても一定期間で使えなくなる点にあり、追加対策もなしにパスワード定期変更をやめたら、リスクが増大するだけであるのは明白であろう。
 SP800-63Bには、先の文章に続いて次のように書かれている - 『パスワードが危険にさらされている証拠を得た場合には、強制的に変更させなければならない(shall)』。これは『インシデントを早期に発見する仕組みを整備しないでパスワード定期変更をやめるのは危険』との警告でもあろう。

世界の人口70億人に対して90億個のID/パスワードがブラックマーケットで流通しているといわれている時代に、パスワードだけに認証強度を求めるのは時代遅れである。パスワードの『ワード』から『フレーズ』への変更、多要素認証やリスクベース認証との併用、さらにはパスワードに頼らない認証方式の採用等が認証強度を高めることには重要となる。これらの総合的な検討の中での『パスワード更新ルールの変更』となることを期待したい。



【第3位】5月16日 IoTセキュリティの懸念にNICT法改正など進む
   〜 今、あなたの家にも脆弱性スキャンがかけられているかもしれない 〜

国の研究機関であるNICT(情報通信研究機構)に関する法律(NICT法)の改正が、5月16日に成立し11月1日に施行された。この法改正によりNICTは、広域の脆弱性スキャンを行い、パスワード設定等が脆弱であるIoT機器を調査する業務(特定アクセス行為)を、2024年3月までの間実施することになったのだ。その事前調査として、ポートスキャンやバナー情報の取得がすでに開始されているようだ。通常では不正アクセス行為となり得る無許可の脆弱性スキャンを、指定公的機関に実施させることを法律で定めるという、ある意味サイバーセキュリティに関するこれまでにない法整備がなされたのである。
 また上記NICT法改正は、「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」として、「電気通信事業法」の改正と同時に実施された。この「電気通信事業法」の改正にもとづき、NICTによる調査結果はICT-ISAC等の第三者機関を通じ電気通信事業者に共有される。電気通信事業者は、その情報を元に利用者に直接注意を呼びかけることが可能になる。

2016年に発見されたマルウェアMiraiによる大規模なDDoS攻撃はまだ記憶に新しいが、その亜種の活動はいまだに継続しているという報告がある。また、サイバー攻撃の半数以上がIoT機器を狙ったものという観測結果もある。2020年の東京オリンピック・パラリンピック期間における大規模なサイバー攻撃の発生が危惧される中、IoT機器に対するセキュリティの維持の要請は高い。先んじた予防の取り組みとして上記法改正は評価されるものだろう。

一方で、この取り組みはIoT機器に対するサイバー攻撃への対策の一つにすぎない。スマートシティ、コネクテッドカーといった取組みが益々活発になっており、社会基盤を構成するあらゆるものがネットワークにつながりサイバー空間と物理空間の融合は日々深化している。社会基盤を構成するIoT機器自体を麻痺させるような攻撃に対する防御の取組みも、あわせて進めていく必要がある。



【第4位】1月29日 コインチェックで仮想通貨流出による大規模被害
   〜 狙われた仮想通貨取引所、甘い管理で大量流出 〜

被害拡大ニュースのカテゴリとして、相変わらずの個人情報大量流出(第1位)、ビジネスメール詐欺による巨額被害(第8位)に加え、第4位として仮想通貨大量流出事件が選出された。仮想通貨取引所であるコインチェックが1月に不正アクセスを受け、顧客から預かっていた仮想通貨「NEM」を不正送金され、その被害額は日本円に換算すると約580億円にのぼるという事件である。これは2014年2月に全取引を中止したビットコイン取引所Mt.Goxの流出事件での被害額約390億円を超える額であり、世の中に衝撃を与えた。さらに9月には、仮想通貨取引所Zaifで約67億円が流出する事件が発生した。一方海外でも、2月にイタリアの仮想通貨取引所ビットグレイルで約204億円相当の流出、6月に韓国の仮想通貨取引所コインレールで約44億円相当の流出が発生している。

1月の事件におけるコインチェックの説明では、被害に遭った「NEM」では、インターネットから操作できる「ホットウォレット」で管理、また、不正送金のリスク低減を図る技術である「マルチシグネチャ」についても未対応のまま運用しており、人的リソース不足や技術的な問題で対応できていなかったとのことである。これら一連の事件が示すのは、ブロックチェーンという技術のもとで構築・運用されている仮想通貨システムの中で、大量に仮想通貨を保管する取引所がターゲットとして攻撃され、そのうち脆弱性を持つ取引所が大きな被害を被ってしまったという状況だ。

2018年7月27日に閣議決定されたサイバーセキュリティ戦略では、目指すサイバーセキュリティの基本的な在り方の3つの観点の最初に「サービス提供者の任務保証 〜業務・サービスの着実な遂行〜」が示されている。組織が、自らが遂行すべき業務やサービスを「任務」と捉え、係る「任務」を着実に遂行するために必要となる能力及び資産を確保することを求めたものである。今年の一連の事件では、情報革命の中で脚光を浴びている仮想通貨という新しい枠組みにおいても、この当然の取組が必要であるということを改めて認識させられたと言えるであろう。



【第5位】5月25日 GDPR施行さる、日本企業の対応やいかん?
   〜 厳しい罰則規定に怯える?備える? 〜

5月25日にEUで発効したGDPR ( General Data Protection Regulation:一般データ保護規則 ) を対岸の火事的に物見をしてはいられない事は周知のとおりである。特に最大で2000万ユーロまたは前会計年度の全世界年間売上高の4%までのより高い金額を制裁金とする罰則規定の衝撃は大きい。
 正確には2016年4月14日、欧州議会での承認を得て法的には成立していたが、2年の猶予期間を経ていよいよ効力を持つ規制となったのである。

既にGDPRに抵触する個人情報漏えいの事例も出始めている。その傾向から見えてきたインシデント発生の事前・事後にとるべき対応としては、@保護されるべきデータの管理責任を自覚しているか? Aデータの管理者として予めGDPRに対応をした保護施策を打っているか? Bそのうえで当該インシデントの発生状況に関して72時間以内に報告義務を果たしているか? といったポイントがあげられる。これらの対応いかんでは制裁金の適用有無も変わってくるが、GDPRに対応した施策を予め打つ為には保護対象のデータを明確化しなければ有効な対策を施すことができない。

では、GDPRが「守るべきデータ」と規定しているものとは何なのか?

GDPRでは @氏名 A(個人)識別番号 B位置情報 Cオンライン識別子 D個人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的アイデンティティに特有の要素 の5点について、一つもしくは複数の要素を参照することで直接的または間接的に識別されるものを個人データとして定義している。@ADは国内の個人情報保護関連法のガイドラインでも同様の見解がみられ、既に対応を取られているケースが多いが、BとCについてはどのような事案が対象になるのか分かりにくい。

Bは既にわが国でも注目されはじめている。一例をあげると企業が資産保護の目的から従業員に支給するスマートフォンの位置情報を監視する事に関して企業側と従業員(個人)側で見解が分かれる。例えば従業員が休憩時間を病院や教会等で過ごした場合Dに関連するデータを企業が入手し得る。この様な想定が成り立つ以上、企業による位置情報取得には対象の従業員の同意を得るプロセスが必要になる。
 Cが最も曖昧さを残している。GDPRの前文ではインターネットプロトコルアドレス、cookie、無線周波数識別tag等の識別子が、個人のデバイス、アプリ、ツール、プロトコルにより提供されるオンライン識別子と関連付けられる可能性を示唆しており、たとえ各々が断片情報であってもそれを分析することで個人のプロファイルを作成したり特定したりすることに使われ得ることを想定している。例えばブラウザ上に表示される広告が最近の閲覧情報に関連しているとお気付きの方も多いと思う。これはCookie情報が分析されていることを意味し、この分析結果は個人の嗜好を示している可能性が有る。その情報を悪意ある第三者が利用すればリスクとなり得ると想定しているのである。

位置情報やオンライン識別子等は、デジタルトランスフォーメーションやIoTといった我々の暮らしを豊かにする為のテクノロジーやサービスに欠かせない情報であり、それをスコープに入れたGDPRの遵守については益々細心の配慮が求められる。ヨーロッパと日本の物理的な距離を「ゼロ」にしてしまうIT技術の利活用において、そこで扱われるデータが「守るべきデータ」であるかどうか、また断片的なデータであっても関連性をもった他の断片データとの突合で「守るべきデータ」になってしまわないかどうかを吟味しておくことをお奨めする。




【第6位】10月15日 海賊版サイトブロッキング問題、通信の秘密で異例の迷走
   〜 さらなる地道な議論による、今後の合意形成に期待 〜

政府の知的財産戦略本部・犯罪対策閣僚会議は、4月13日、「漫画村」「Anitube」「Miomio」等のサイト名を例に挙げ、運営管理者の特定が困難で侵害コンテンツの削除要請すら出来ない海賊版サイトの出現によって著作権者等の権利が著しく損なわれていることを指摘した。そして、侵害コンテンツの量、削除や検挙など他の方法による権利の保護が不可能であることなどの事情から、海賊版サイトに限定してこれらのサイト上のコンテンツへのアクセスを妨害する「ブロッキング」を行うことが適当であるとの意見をまとめた。この措置は、法制度整備が行われるまでの間の臨時的かつ緊急的な措置として、民間事業者による自主的な取り組みであることが適当であるとしている。

これに対し、国内ではさまざまな議論が沸き起こった。ブロッキングを行うためには全ての利用者のアクセス先を特定することになり、これは憲法で保障された国民の「通信の秘密」を侵害することにもなりかねないという意見や、将来の検閲やプライバシー侵害につながる危険性を危惧する意見、ブロッキングは根本的な解決にならないという意見、政府の進め方のプロセスに問題があるという意見、また、海賊版サイトの収入源となっている広告の規制や広告主への情報提供の仕組み造りの提言、事前に利用者の同意をとるという提言など、さまざまな観点からの議論と意見表明がなされた。
 結局、10月15日、知的財産戦略本部・犯罪対策閣僚会議は、中間報告書を取りまとめることが出来ないまま次回の開催予定日を決めることなく終了し、会議は事実上、無期限の延期となった。

今回の問題は極めて複雑な上、非常にセンシティブな内容も含んでおり、国民感情も勘案する必要がある。利益相反や価値観の衝突もある。これが正解という明快な結論はないため、今後もさまざまな観点からの議論と検討が必要である。そしてそれらの議論を通して、価値観のすり合わせと合意形成を図り、その中で解決策を見いだすしかないと思われる。

面倒なようでも、それが民主主義の証、それが法治国家の証であると前向きに捉え、今後も地道な議論が進むことを期待したい。




【第7位】6月14日 Coinhive等のマイニングツール設置で16人が逮捕・書類送検
   〜 マイニングはイノベーションか犯罪か 〜

警察庁は6月にマイニングツール設置に対して「不正指令電磁的記録作成・保管・供用罪等」(いわゆるウイルス作成・保管・供用罪)を適用し16人を検挙したと発表し、同日にマイニングツールの利用について注意喚起を行った。5月頃から情報を得た個人がネット上にCoinhive使用を犯罪とすることについて反対意見を表明し、6月に入ってから徐々にニュースとして取り上げられている中での一斉検挙であった。直後から賛否両論が噴出し(ネット上では逮捕を問題視する意見が多かったように見受けられる)、まさに合意形成が難しい問題として横たわっている。
 反対意見の中に「検挙の前に注意喚起すべきでは?」というものがある。マイニングツールの多くはPUP(Potential Unwanted Program, 不審なプログラム)等としてウイルス対策ソフトに検知されつつあったが、ツール自体は出てきたばかりの新しい技術であり、正当なものか不正なものか社会的に合意形成されているものとは言いがたかった。また諸外国でも逮捕事例というのは寡聞にして知らない。そんな事案に対して、違法と合法の境目が曖昧なウイルス保管罪を適用していきなり検挙するというのは、果たして適切な対応だったと言えるのであろうか。
 また、「日本の警察はレベルが低い」「他にもっと捜査すべき事案はある」といった意見も見られた。もし仮に我が国のサイバー犯罪捜査が、ネットでいわれているように個人や青少年しか逮捕できないのだとしたら、それは確かに残念なことである。サイバー犯罪捜査能力を向上させるためには当然予算等の手当や、もっと広範囲な捜査手法が必要であろう。何でもありのサイバー犯罪者と対峙するには、警察がネットワークの盗聴やサーバーへの侵入を行わなければ対抗できないかもしれない。それを我々は許容できるだろうか?捜査当局の能力について問題視するのであれば、捜査当局にどの程度武器を与えるのかという点についても議論が必要であろう。




【第8位】7月9日 ついに日本語のBEC着弾
   〜 被害総額なんと125億ドル以上 〜

ビジネスメール詐欺(Business E-mail Compromise)は2013年位から世界的な流行が始まり、米連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)の報告によれば、2013年10月から2018年5月までの期間において、BEC及びメールアカウント侵害(EAC)の被害件数は78,617件、被害総額は125億3694万8299米ドルにものぼっている。
 日本でも昨年12月国内航空会社が3.8億円の被害に遭い、広く知られる様になった。ただこれまでのBECは、この国内航空会社の例を含めて、日本語以外の言語で書かれたメールだったが、本年7月ついに日本語のメールが送られて来る様になり、日本の国内企業も広く攻撃の対象になる時代になってしまった。
 BEC対策としは、経理部門担当者への教育や啓発、或いは送金時のチェック体制強化を先ず思いつくが、BECは攻撃者による「詐欺」メール送信前に、何らかの方法でその経理担当者のメアドや取引先のメアド、更にはメールそのものが窃取されている可能性がある点に注意し、標的型攻撃と同様に原因究明や対策の強化が必要なことを忘れてはならないだろう。ただこれらの情報窃取には攻撃者は手間と技術力が必要で、最近ではより簡単な組織の幹部、CEO(Chief Executive Officer)を語る手口(外国では「CEO詐欺」とも呼ばれている)も増加傾向にある。これは心理的な揺さぶりをかける、いわゆる民間における「振込め詐欺」の企業版と言う事ができるかも知れない。いずれにせよ手口は常に変化するので、経理部門担当者への継続的な教育が必要だろう。
 そしてこのまま被害が継続する様であれば、BEC対策としてはドメイン認証や、かつてセキュリティ対策の重要技術を言われつつ普及しなかった電子署名付きメールの必要性が再度認識されるかも分からない。

IPA:ビジネスメール詐欺「BEC」に関する事例と注意喚起(続報)




【第9位】3月2日 財務省、決裁文書の改ざんが明らかに
   〜 揺らぐコンプライアンス、これじゃ統治がガバガバなんす 〜

今年の3月、昨年から世間を騒がせ自殺者まで出した森友学園の問題で、財務省が決裁文章を改ざんしていたという驚くべきスクープが発表された。
 行政機関が作り、決裁印を押した文章を改ざんすることなど「あり得ない」と多くの人が考えたが、財務省から公表されたフォレンジック調査の結果により文章の書き換えや破棄が明らかとなった。ただしその処分は財務省職員20名の停職や減給という拍子抜けするものであった。

一方、民間企業においても、スルガ銀行のシェアハウス投資の融資データ改ざんKYBの免震データ改ざん日産自動車の排ガスや燃費の測定データ改ざんなど、様々なデータ改ざんが明らかとなり、書類送検されたり、多額の賠償金、和解金を支払ったりしている。

明かになったこれらの事件は明確な法令違反であるが、これらの背景には法令違反とまでは言えないデータ改ざんが数多く行われているのではないかと心配になる。データ駆動型社会ともいわれるこれからの社会は、このような状況ではやっていけない。本来コンプライアンスとは、法令を守るだけではなく社会的な規範を守るという意味であり、社会を誤解させたり社会から批判されたりするようなことをしてはいけないという事である。

今までの情報セキュリティ対策は、情報漏洩対策などの機密性(Confidentiality)の確保や、サービス継続などの可用性(Availability)の確保が主要なテーマだったが、これからはデータの完全性(Integrity)の確保も重要なテーマになり、データの完全性は、企業や団体の誠実性(これもIntegrity)にかかっている。
 デジタル署名や、ブロックチェーンによる完全性の担保などトラストに関わる情報セキュリティがますます進み、ウソや誤魔化しがきかなくなる中、構成員一人一人が周りの空気に流されず、規律ある意識を持ち行動できるようにするなど、誠実な企業としてのコンプライアンスとガバナンスの課題に取り組んでもらいたい。




【第10位】4月26日 ますます深刻化するサプライチェーンリスク
   〜 リスクの連鎖で課題は過大に 〜

例年になく早く咲いた桜を追いかけるようにツツジも満開になった4月下旬、サプライチェーンのセキュリティ課題が英政府のレポートとして紹介された。
 商流の中での取引先が攻撃され、そこから自組織に被害が及ぶパターンが多かったが、今年は自組織内で利用しているIT機器やソフトに脆弱性が仕込まれて被害が発生するという事象が多く見受けられた感がある。
 そもそもサプライチェーンとは、原材料や部品の調達から、生産、物流、販売を経て、顧客までつなぐ、広範囲のプロセスすべてを含む。各組織はこのサプライチェーンにおいて総合的に効率性を高めて組織力強化を図り、企業業績向上につなげていくわけだが、セキュリティ課題としてみたときには、有効な対策が取りづらいともいわれている。自組織が相当な対策を施していても、サプライチェーンからの二次的な攻撃で被害を受けることがあるからだ。

ところでサプライチェーンを有機的に動かしているのは人間であり、人間が行動する際には感情バイアスが働く。科学的に正しい情報であったとしても、自分にとって好ましくない情報よりも、心地よい肯定的な情報を信用しがちであり、「自組織は大丈夫」と根拠のない自信ともいえる感情を持つことで、自組織のセキュリティリスクに見合った適切な対策がなされない状況が生まれる余地がある。ここでサプライチェーン上の調達から顧客までの広範囲のプロセスでの価値観の相違が発生することになる。
 さらにはデジタルトランスフォーメーション(DX)という言葉が盛んに聞かれるようになり、ビジネスモデルが大きく変わり、そこで動く組織や人間も変革を求められている時代である。組織やそこに存在する人々の間で価値観は今まで以上に乖離して行く傾向にある。自組織だけを意識してセキュリティ対策を行っていては、「情報革命のひずみ」としてサプライチェーンにおけるセキュリティの課題は大きくなっていくばかりだろう。

経済活動で必須であるサプライチェーンが、一つのインシデントで切れてしまわないように、サプライチェーン上のすべての組織や人間が自分事としてとらえ、価値観をすり合わせることで、セキュリティ対策に対する合意を形成していくことが求められているだろう。



【番外】10月9日 東証のシステム障害の波紋広がる
   〜 トウショから合意できていたか否か 〜

https://www.sankei.com/economy/news/181009/ecn1810090011-n1.html
可用性を大きく損なう事案として複数の編集委員から投票があり、当ニュースを番外として扱うこととした。

10月9日、取引開始前にメリルリンチが接続確認のために送った「確認電文」は同一のIPアドレスを使った2つのサーバーから送信された。東証のシステムは複数サーバーからの同一アドレスをエラーとしてはじく。はじかれたメリルリンチはすぐさま再接続を試みる。この繰り返しによる負荷は平常時の千倍となり、4系統ある回線の内1系統がダウンした。東証は証券各社に回線の切り替えを促す連絡を行ったが、約90社ある取引証券会社の内40社弱が1部の取引で影響を受けたと報道されている。10月には東証の社長の引責減給や再発防止策が提示されたが、責任の所在や補償に関する内容についてはいまだくすぶっているとも聞く。これもまた合意形成が行われていなかったことによる事案ではないか。
 国内証券会社の中には東証との接続をシステム会社に「丸投げ」しているところも多いようだ。システム会社の再接続がうまく行かなかったため、発注ができなかったとの報道もある。証券取引という大きなシステムの中には多くのステークホルダーがいる。今回の事案はそのステークホルダーがそれぞれシステムに対する価値とリスクに対して合意が取れていなかったことを示唆するものなのではないか。
 東証は原因である接続確認のエラーについては想定外としている。しかし回線を4系統用意していることを見れば回線がダウンする想定はしていたはずだ。接続するシステム会社はどうだったのだろうか。そのリスクを想定し対策の準備はしていたのだろうか。そのシステム会社を使っていた証券会社はそのリスクにどう備えていたのか。外部からは知りえる術はないが、結果としての障害発生は、共有ができていなかったことの表れであろう。
 システムオブシステムが当たり前の現代、関係するすべてのステークホルダーの価値観、あるいは理解に合意がとれていない事が大きなリスクになるのである。難しい課題だが、取り組んでいかなければならないと再認識した次第である。


編集後記                                        JNSA事務局長 下村正洋

今年もセキュリティ十大ニュースを発表できることとなりました。これもひとえに大木委員長の鋭い指摘と執拗な鞭撻を受けつつ、年末の忙しいかもしれない委員の方々の頑張りのおかげです。いや、大変忙しかったのではないかと思われます。その証拠に原稿の集まりが、遅れ気味でした。せっかく2017年より初回の会合を10日ほど早めたのですが、かえってそれが仇になったのかもしれません。人とは仕方がないものですと書いている私が一番油断していたのではないかと・・・。とは言え、今年も例年通りの日に発表することができました。大木委員長ならびに委員の方々に心より感謝申し上げます。
 選考会議の模様ですが、今年の十大ニュースの選出はスムーズになされました。もしかしたら、今まで最短の時間ではないかと思います。短いからと言って手を抜いていたとか、いい加減なところで妥協していたとかではないと、現場にいた私が保証できないこともありませんが、考えられる理由は、選外になったものも含めて提案された出来事は40件、投票の結果は票数で8位までが決まり、残る9位10位を同じ票数を集めた後述する1件を含め3件から決定するのみであったことが大きいのではないかと考えます。(選考方法について分からない方は昨年の編集後記を参照してください。)
 さて、恒例となりましたので、選外になった候補の中で私の独断で気になったものをいくつか紹介します。「人材不足は本当か!」は10位を争いました。「本当か!」は本当?になり、結論が出ず、選外になりました。また、「クラウドサービスの安全性評価検討会開始」もありましたが、結果に期待しようではないか、とのことではないでしょうか。(大木委員長、頑張ってください!!)他には、「セキュリティ担当大臣PC使用せず」、「北朝鮮サイバー攻撃」、「サマータイム騒動」、「福岡IT講師刺殺」、「ファーウェイ問題」、「著作権法改正」などがありました。「関西空港孤立、北海道全域停電、台風などの災害」というのもあり、今年は本当に災害の多い年でした、被災された方々にお見舞い申し上げます。

それでは、いつものことですが、来年の10大ニュースには明るいニュースがもっともっと多く入ることを願い、そして平穏な年になることを祈りつつ、編集後記を終わります。


◆本内容は、必ずしもNPO日本ネットワークセキュリティ協会(JNSA)の見解を示すものではありません。

JNSAソリューションガイド