では、総務省のサイバーセキュリティタスクフォースにおいて取りまとめられた「IoTセキュリティ総合対策」の後半の部分を検討していきましょう。
(2)は、「研究開発の推進」です。
①基礎的・基盤的な研究開発等の推進
②広域ネットワークスキャンの軽量化
ここでも、「脆弱な IoT 機器のセキュリティ対策のため、膨大な IoT 機器に対して広域的なネットワークスキャンを実施する必要がある。このため、広域ネットワークスキャンの軽量化など、その効率的な実施のために必要な技術開発を推進する必要がある。」という調査計画にもとづいて活動がうたわれています。
③ハードウェア脆弱性への対応
「膨大な数の回路設計図をビッグデータとして収集・蓄積し、これを元に脆弱性が存在する可能性のあるチップを、AI を活用して類型化し、ハードウェア脆弱性を発見」だそうです。このような「脆弱性」の概念と製造物責任、また、これを購入した人の「瑕疵」の概念の研究の依頼お待ちしています。
④スマートシティのセキュリティ対策の強化
⑤衛星通信におけるセキュリティ技術の研究開発
「宇宙産業の急速な発展に伴い、今後、衛星へのサイバー攻撃(衛星回線の傍受やデータの窃取など)が増加することが懸念される」まさに、宇宙法の問題ですね。とりあえず、来年の4月、5月あたりは、宇宙法の勉強でもしたいなあ。そのための軍資金を稼がないと。
ちなみに、CODEBLUEのキーノートのパトリック・オキーフさんは、もとは、スペースエンジニアです。サイバーセキュリティのイシューが、ネットワークから国家・主権の問題へ、また、陸の物理ネットワークから無線・宇宙への広がる様子を俯瞰してくれるとおもいます。みなさま、ぜひともおいでください。
(ちなみに、私は、実行委員*ステマは、禁止されたというニュースがあるので、利害関係の表示と-このニュースの分析は、駒澤綜合法律事務所で)
⑥AI を活用したサイバー攻撃検知・解析技術の研究開発
「AI を活用したサイバー攻撃検知・解析技術の研究開発にも取り組む必要がある」。はい。ただ、いまある実用的なAI技術のYaraiもよろしくです。
そもそも、AIというのは、まだ、実用化されていない子供の技術をいうというのが私の説です。Yaraiの機械学習エンジンは、まさに今、実用化されているAI技術です。(機械学習エンジンがメインになります)
(ちなみに、社外取締役をしています これも利害関係の表示)
(3)民間企業等におけるセキュリティ対策の促進
具体的には、
① 民間企業のセキュリティ投資等の促進
これについては、「高レベルのサイバーセキュリティ対策に必要なシステムの構築やサービスの利用に対して、税制優遇措置を講ずる方向で検討していく必要がある」ということですね。これは、いいですね。このように経済的インセンティブを考慮するようになったのは、本当にいい方向性だとおもいます。(本当に、お題目を唱えると、防護できるかとおもっていたかのような政策もおおかったですからね)
② セキュリティ対策に係る情報開示の促進
「企業のセキュリティ対策に係る情報開示に関するガイドラインの策定」があげられています。これもいいですね。実際に現在も、情報セキュリティリスクについては、結構、開示されているような気がしますが、対策まで開示ということで、これも望ましい方向ですね。
あと、サイバーセキュリティ保険の普及のあり方とも合わせて検討ということですね。このような製品をいれて、このような評価を得ていると保険料が低くなるとかあるといいですね。そのような製品にどうやって食い込むか、というのもセキュリティ業界関係者の一つの動きになるかもしれません。
とにかく、経済的なインセンティブの設計こそが、ネットワークの平和の鍵というのは、「ハンソロが借金の棒引きをもとめて宇宙平和の旅にでた?」というのを例に出すまでもなく、重要なことです。
③事業者間での情報共有を促進するための仕組みの構築
これについては、将来は、「共有された情報に基づき、サイバー攻撃に応じた自動防御を目指すことも考えられる」だそうです。
そのようなために、
「情報提供元及び共有される情報自体の信頼性を担保する仕組み」
「様々な事業者から提供された大量の情報の分析、情報の重複の排除、情報の重み付け、サイバー攻撃の全体像の把握を行った上で、入力フォーマットの標準化などの情報共有を実施する仕組みを検討」
ということです。
5年ほど前ですが、情報共有のための枠組みを調べたことがありました。米国でも非常に複雑な仕組みになっていました。もっとも日本の場合は、業界的には、相互の信頼関係が構築しやすいようにも思えます。
ただ、このような仕組みは、情報共有を妨げるいろいろな事情によって実現されなくなるので、それをできる限り減少させて、共有できるようなインセンティブを含めた仕組みが構築されるべきですね。
「④ 情報共有時の匿名化処理に関する検討」は、このような文脈で考えられるといいでしょうね。
詳細は、米国のサイバーセキュリティ法の分析とかと合わせて、別の機会にすることにしましょう。
あと、情報といっているのですが、データのレベルなのか処理された情報なのか、はたまた、さらに意味づけが加わったインテリジェンスレベルの共有か、という問題もありそうです。サイバー情報/諜報機関をどうするのかなんてのもちょっとおもったりします。
⑤ 公衆無線 LAN のサイバーセキュリティ確保に関する検討
これは、本当にそうですね。どのようなバランスをとるべきなのか、実際の進展を見守りたいです。
(4)人材育成の強化
毎度おなじみ、人材育成です。
具体的な話としては、実践的サイバー防御演習(CYDER)の充実、2020 年東京大会に向けたサイバー演習の実施、若手セキュリティ人材の育成の促進、IoT セキュリティ人材の育成などが含まれています。基本的には、堅実なオブジェクトかとはおもいます。が、
METIもMICも、いつも、これではありますが、セキュリティ人材のために、経済的待遇がよくなるようなインセンティブを考えない「人材育成」論は、ガソリンのないエンジン、電気のない電気自動車のようなものです。
おまけに、セキュリティの三要素よりも、量子暗号を先に教える大学のカリキュラムに触れない人材育成論は、ナンセンスなので、個々のお題目は、電気自動車の充電の方式を語っているようにしかおもえないので、評論はパスします。
(5)国際連携の推進
「平成 31 年には G20 が我が国で開催されることを見据え、サイバーセキュリティ分野における国際協調に向けて主導的な役割を果たしていくこと」
多分、平成31年は、別の元号になっているだろうというツッコミはさておくとして、大事なことなので、ぜひとも関係者の方々には、頑張っていただきたいですね。
でもって、
ASEAN 各国との連携
国際的な ISAC 間連携
国際標準化の推進
サイバー空間における国際ルールを巡る議論への積極的参画
が具体的な項目として上がってきています。
これらは、本当に重要なので、ぜひとも実現してもらいたいとおもいます。サイバーノームズのコミュニティに日本の関係者が、コミュニティの顔としてはいってこれるような日がくるのをお待ちしています。
コミュニティとしては、すごく狭いので、日本で、きちんと、国際法がわかって、しかも、国内の努力を世界に説明できる人がいれば、すごく世界で存在感がでるのにとおもっていたりします。ただ、この問題はアジア共通かもしれません。韓国も、も存在感は、いま一つですね。他の国ですと、サイバーノームのコミュニティの人は、ほとんどいないような気もします。(なんといっても、タリンレポートが自腹というのは、いい加減にしてほしいです)
結局、サイバーセキュリティにおける法と政策というのは、日本においては、ビジネスとしては、厳しいのでしょう。それでも、自分としては、97年に最初の講演をしてから、いい経験をたくさんしてきたとはおもいます。ただし、後輩におすすめできるかとか、この世界に誘えるかというのは、ためらってしまうのが現実ですね。そこらへんが、日本におけるサイバーセキュリティの国際連携や人材育成の最大の問題だとおもいます。