米中サイバー規制が企業に強いる〝変革〟とは
急速なクラウドシフトが進むワケ
2018年2月20日 http://wedge.ismedia.jp/articles/-/11694
2017年に大手の金融機関や商社などの基幹システムに相次いでアマゾンやマイクロソフトなどの米国系クラウドが導入された。一方、2017年6月に、中国政府が施行したインターネット安全法は、日本企業を大きく動揺させた。中国国内の情報の持ち出しが制限されるだけでなく、中国政府が認証したサイバーセキュリティ技術や製品の利用が義務付けられる可能性もあり、中国市場で成長を目指す日本企業にとっては事業の前提条件を根底から覆すルールである。一見関連のないように見えるこの2つの事象の裏には米国と中国との間のサイバーセキュリティを巡る標準争いがあるとみられる。この両大国が主導するルールの理解を誤ると日本はビジネス面でも大きな痛手をこうむる。
安全保障のため知的財産の保護を図る
ことは2010年にさかのぼる。2010年11月、オバマ大統領は大統領令(Executive Order 13556)を発行し、CUI(Controlled Unclassified Information)と呼ばれる「取扱注意情報」を扱う米国内の官民全ての組織に対して、米商務省国立標準技術研究所(NIST)が策定したサイバーセキュリティのガイドラインに沿った管理を義務付けた。CUIとは、機密情報そのものではないが、これらを広範囲に集めれば機密が特定される可能性がある情報である。2016年9月には連邦規則で、CUIを「処理、格納、通信」する民間企業に対して、情報システムを特定の技術体系で構築して、CUIの保護を義務付けた。
各業界の中で最初に対応を迫られたのは防衛産業だ。国防総省から、2017年12月31日までに同省と契約する企業とその全てのサプライヤーに対応を求める通達が出されたからだ。その他の業界は実施時期を検討しているが、多くの業界が2019年上期までに対応することになると、米国では予測されている。問題は米国政府が指定するCUIが軍事外交に関する国家レベルの情報にとどまらず、幅広い産業の企業秘密も含まれていることである。例えば自動車業界であれば試験走行データ、電力業界であれば燃料の輸送ルートや設備情報、ヘルスケア業界では個人の健康診断記録までもが該当する。
出所)米国国立公文書記録管理局などの資料を基に筆者作成
なぜこのような情報がCUI指定されるのか? それは、米国政府が民間企業の知的財産を中心としたデータの保護を、安全保障に不可欠な米国経済の強さを維持するうえで重要視しているからだ。企業秘密であっても、米国企業がサイバー攻撃によって競争力を失わないように、徹底した管理を促しているのである。これは日本にも多大な影響を与える。米国政府はCUIを取り扱う場合はサプライチェーン全体において当該の情報システムでの管理を求めているからだ。もちろん、それには中小企業も含まれる。米国企業のサプライヤーとなっている多くの日本企業は米国企業のCUIを無意識に保有している。そうした企業も、どの部門がCUIを取り扱っているのかを特定し、米国政府の基準に適応したシステムへの移行を迅速に行わなければ米国企業と取引ができなくなる。
当該システムの構築には、クラウドへの移行が必須だ。要件を満たそうとすると、クラウドの利用なしでは膨大なコストがかかるからだ。ちなみに、日本のITベンダーでこの基準を満たすクラウドを有しているのはまだ1社しか存在しない。その理由はITベンダーにとって、クラウド化はビジネスモデルを破壊する「イノベーションのジレンマ」そのものだからだ。彼らはハードをクライアントに販売し、SEを現場に張り付けて異なるスペックの大量のハードウェアとソフトウェアをつなぎ合わせ、クライアント独自仕様のシステムを構築して儲けている。
米国にはCUIに関する規則とは別に機密情報を取り扱うために必要な技術体系も存在し、米国はこれをISOにしようとしている。この基準では、クラウドの仕様を決め、データを処理するCPUや格納するメモリー、ディスクの物理的な場所をリアルタイムで特定し続けられることを求めている。推奨商品例としてNISTはインテルのTXTチップが搭載されたクラウドをあげている。こうした推奨製品には米国企業のものが多い。
米国がクラウドシフトをする背景には、サイバーセキュリティ人材を企業ごとに集めることが困難な事情がある。そのためサイバー攻撃に対処する人材をクラウドサービスの提供会社に集約し、セキュリティレベルの高いサービスを普及させることで民間企業への攻撃にも対応できる体制をつくろうとしている。
これらを認識して対抗したのが中国だ。中国は法律で中国国内で事業展開する企業が利用する情報機器や情報サービスは中国の国家安全審査を受けることを義務付けた。つまり、中国政府の定めた規格でなければ審査が合格しない仕組みを法的に確立したのである。中国は今後、AIIBの投資対象国に対し、資金力を梃子にして中国の審査基準を認めさせ、中国IT製品の普及を目指すと見るべきである。
これらを認識して対抗したのが中国だ。中国は法律で中国国内で事業展開する企業が利用する情報機器や情報サービスは中国の国家安全審査を受けることを義務付けた。つまり、中国政府の定めた規格でなければ審査が合格しない仕組みを法的に確立したのである。中国は今後、AIIBの投資対象国に対し、資金力を梃子にして中国の審査基準を認めさせ、中国IT製品の普及を目指すと見るべきである。
米国系クラウドベンダーが活況を呈する理由
これに対して欧州の動きはどうか。16年7月、欧州情報ネットワークセキュリティ庁がNIS Directiveを施行。内容はEU市場で活動する企業が前述の米国基準に事実上準じた標準で指定された技術体系の採用を義務付けるものだ。期日は2018年5月10日までであり残り時間は少なく、欧州でも情報システムのクラウド移行を加速している。アマゾンをはじめとする米国のクラウドベンダーが活況を呈しているのはこのためだ。冒頭の日本企業がクラウドに移行したこともこれに追随した動きだと思われる。一方、多くの日本企業のCIO(最高情報責任者)はいまだにクラウド不信を持つことに加えてサイバーセキュリティの観点からの有効性の認識が低い。そのため、日本企業はクラウド化が遅れてしまっている。
確かに現段階ではクラウドでは実現できない技術課題は残っているが、安全保障目的で米欧が進めているルール形成の潮流を理解すればクラウドに移行せざるを得ないだろう。
問題は、このような文脈でルール形成していることの認識を日本政府、民間企業の双方で行えていなかったことである。実はいまだにこうしたサイバーセキュリティのルールを統合的に説明している文書を米国政府は発信していない。日本の場合、経済産業省に米国防総省の調達基準をフォローする義務はなく、防衛省は米国防総省の動向が日本の一般的な民間企業に与える影響を考慮する義務がない。内閣サイバーセキュリティセンターは国内の官庁と重要インフラのサイバー攻撃への対応力の向上が義務であり、管轄外である。つまり、官庁には安全保障政策を起点としたルール形成が日本企業に及ぼす影響を分析し、対応をリードする機能がそもそも存在しないのだ。
WTOやISOという国際標準を作る場で公然と話し合われる状況にならない限り、他国の政府調達基準には内政干渉となるため意見が言えない。さらに言えば、今回の米欧の政策連携は諜報機関同士での協議も行われてきた。こうした情報はそれと同様の組織ではない日本の省庁ではキャッチできない。この構図は深刻である。
今後、この手のパターンで米欧主導のルール形成に、中国がカウンタールール形成で打ち返すという安全保障政策起点のルール形成の応酬が続くだろう。サイバーセキュリティは安全保障を大義名分とした保護主義を促し、特定陣営間の標準争いになる恐れがある。
日本においては官民が連携して、この米中を中心としたルール形成の動きを察知し、対応しなければならない。解決策は、まず民間企業が安全保障政策の情報収集能力を高めることだ。各社には安全保障政策研究者の採用、安全保障政策を研究している各国シンクタンクへの出向や研究プログラムへの参画を勧める。これらは欧米企業においては経営判断に必要なインテリジェンス能力を獲得する手段として常識である。
また日本政府も企業活動に影響を与える安全保障政策動向を捉え、日本の調達基準に戦略的に反映させることが必要だ。それが官民双方の各国のルール形成に対する意識を変え、その動きに対する牽制を行う能力を培うことにもつながるだろう。
【進むアメリカのサイバー対策】
米、電力インフラへのサイバー攻撃に専門部署 原発や送電網の安全確保
2018.2.15 19:36更新http://www.sankei.com/life/news/180215/lif1802150032-n1.html
【ワシントン=塩原永久】米エネルギー省は2018年2月14日、原子力発電所や送電網へのサイバー攻撃に対処する専門部局を新設すると発表した。電力供給の重要施設に対するサイバー攻撃を、エネルギー安全保障上の重要課題と位置づけ、対策を強化する。
新設するのは「サイバー安全保障・エネルギー安全保障・緊急対応局」で、次官補級がトップに就く。電力インフラに対するサイバー攻撃や、テロなどの物理的な攻撃への対応に加え、ハリケーンや「爆弾低気圧」などの気象急変のもとで、電力供給を維持することなどを任務とする。
同省は、トランプ政権の2019会計年度(18年10月~19年9月)の予算教書で、部局の新設に9600万ドル(約102億円)の予算要求を盛り込んだ。
同省のペリー長官は声明で、「新部局によって新たな脅威に最善の対策を採れるようになる」と述べた。
米メディアによると、国土安全保障省と連邦捜査局(FBI)が昨夏、ハッカー集団が、米原発や電力産業の基幹施設を狙っているとの警告を発するなど、米国内で電力インフラに対するサイバー攻撃の脅威が高まっていた。
米、サイバー攻撃対策本部を設置 ロシアの選挙介入を警戒
2018/2/21 15:52 https://www.nikkei.com/article/DGXMZO27192630R20C18A2FF1000/
【ワシントン=川合智之】セッションズ司法長官は2018年2月20日、サイバー攻撃対策本部を司法省に設置するよう指示したと発表した。2016年の米大統領選に介入したとして、モラー特別検察官は2月16日にロシアの個人・企業を訴追したばかり。2018年11月の議会中間選挙でもさらなる攻撃があるとみて、対抗策の検討を急ぐ。
対策本部には同省と米連邦捜査局(FBI)、連邦保安官局、麻薬取締局などの治安当局が参加する。個人情報や企業の機密情報の盗難のほか、インフラへの攻撃や過激思想の流布・勧誘などのテロ対策にも対策を講じる。
「技術の悪用がわが国に前代未聞の危機をもたらしている」。セッションズ氏は省内の指示文書で、サイバー攻撃への警戒感をあらわにした。ロシアの国名は明示しなかったが、「選挙への介入」などを優先課題に挙げ、報告書を6月末までにまとめるよう対策本部に求めた。
16日公表された起訴状によると、ロシア企業は16年の大統領選中に数百人を雇用し、人種や移民間の対立をあおる偽情報などをツイッターやフェイスブックに大量に投稿。一部の投稿にはトランプ大統領自身も「いいね!」と肯定していたという。こうした選挙工作で米国を分断し、国際的な指導力を低下させるのがロシアの狙いだ。
セッションズ氏は「捜査妨害技術の使用」も課題に掲げた。米アップルなどによるスマートフォン(スマホ)の暗号化が司法当局にも解けず、捜査に影響していると問題視する。
〈管理人より〉電力インフラと民主主義国家にとっては、国政を左右する選挙へのサイバー攻撃への対策はアメリカだけではない課題といえるでしょう。
【北朝鮮、共産中国、ロシアの脅威】~ただサイバー攻撃によるもの~
2017年6月のサイバー攻撃はロシア軍が実行
トランプ政権が断定「国際的な報い受けるだろう」
2018.2.16 07:37更新http://www.sankei.com/world/news/180216/wor1802160013-n1.html
【ワシントン=黒瀬悦成】米ホワイトハウスは2018年2月15日、ウクライナを中心に世界各地で甚大な損害を引き起こした昨年6月のサイバー攻撃について「ロシア軍が実行した」と断定する声明を発表した。
声明は、問題のサイバー攻撃は「歴史上、最も破壊的で多大な損失をもたらした」と指摘。また、攻撃は「無謀かつ無差別的で、国際的な報いを受けるだろう」として報復を示唆した。
ホワイトハウスは「ノットペトヤ」と呼ばれるウイルスが攻撃に使われたと確認。このウイルスは、マイクロソフトの基本ソフト(OS)であるウインドウズの欠陥を悪用して攻撃を仕掛け、専門家によると最初はウクライナの会計ソフトの更新プログラムに感染し、ネットを介してウクライナ政府機関や銀行、企業などに感染が広がった。
声明は、サイバー攻撃の狙いについて、ウクライナ南部クリミア半島を編入したロシアがウクライナ情勢をさらに不安定化させるためだったと指摘した上で、「ロシアがウクライナ紛争に関与している実態をこれまで以上に明確に示すものだ」と強調した。
ホワイトハウスによると、攻撃による影響は欧州やアジア、北米と南米にも拡大し、総額で数十億ドル(数千億円)の被害が出たとの見方を明らかにした。
〈管理人より〉どうして誰がやったのか?が特定できるんだろう?
北ハッカー集団、サイバー攻撃対象に日本も
2018年2月21日 17:25 http://www.news24.jp/articles/2018/02/21/10386217.html
北朝鮮のハッカー集団が、国連の制裁などを扱う日本の国連関連団体にサイバー攻撃を行っているとの分析をアメリカの情報セキュリティー会社が2018年2月20日、発表した。
アメリカの情報セキュリティー会社「ファイア・アイ」は、北朝鮮のハッカー集団を「APT37」と名付け、2014年から主に韓国政府や軍に集中してサイバー攻撃を展開し、軍事関連の情報などを盗んでいたと分析している。
アメリカの情報セキュリティー会社「ファイア・アイ」は、北朝鮮のハッカー集団を「APT37」と名付け、2014年から主に韓国政府や軍に集中してサイバー攻撃を展開し、軍事関連の情報などを盗んでいたと分析している。
さらに、このハッカー集団が去年、北朝鮮への制裁や人権問題を扱う日本にある国連の関連団体にもサイバー攻撃をしかけていたと新たな分析結果を発表した。また、ベトナムや中東にも対象を広げ、標的とする分野も化学や電気、医療産業などに拡大していると指摘している。
その上で、これらの活動は「北朝鮮政府のためだ」と結論づけていて、北朝鮮が自国をめぐる情報を探ろうとした可能性もある。
中露、サイバー攻撃にAI活用 北も能力獲得か 手口を学習、標的選定も
元在日米軍司令部サイバーセキュリティー長が証言
2018.2.14 05:00更新http://www.sankei.com/world/news/180214/wor1802140004-n1.html
中国とロシアがAI(人工知能)を活用して自動的にサイバー攻撃を仕掛ける技術を取得したことが2018年2月13日、わかった。AIを活用すれば、人材の省力化でハッキングの効率を高められる。AIが自ら攻撃手法を学んで技術を短期間で向上でき、大規模な攻撃を仕掛けることも容易になるという。北朝鮮も同様の技術を獲得した恐れがあり、AIを悪用した攻撃の脅威が世界に広がりそうだ。(板東和正)
元在日米軍司令部サイバーセキュリティー長のスコット・ジャーコフ氏が産経新聞の取材で明らかにした。ジャーコフ氏は現在、米セキュリティー企業「マカフィー」のサイバー戦略室シニアセキュリティアドバイザーを務め、攻撃動向などを調査。欧州警察機関(ユーロポール)などと情報を共有し、昨年、中露のAI技術取得の情報を入手したという。
ジャーコフ氏によると、中露が獲得したAI技術は自動的に膨大な数のパソコンやスマートフォンにウイルスを送れる機能を持つ。添付ファイルを開封すればウイルス感染するメールを世界中に一斉送信し、「ハッカーが関与しなくても情報窃取やシステムを破壊する攻撃などが可能」という。また、ジャーコフ氏は「標的にする組織のシステムの欠陥を調査したり、金銭を奪える標的を探したりするAI技術も獲得した」と指摘。北朝鮮については近年、判明した同国のサイバー犯罪を分析し「AI技術を取得している可能性がある」とした。
ジャーコフ氏は、中露がAIの使用で攻撃を強化できる点について「睡眠を取る必要がないので攻撃の効率が大幅に上がる」と分析した。AIが大量のデータを基に自ら学習する「ディープラーニング(深層学習)」を行うことで「攻撃の技術や手口が自動的に上がり、育成しなくても優秀なハッカーが誕生する」という。人間のハッカーであれば手法や攻撃を仕掛ける時間帯で犯行を特定されやすかったが「AIでは調査が難しく、攻撃側は追跡から逃れやすい」とした。
中国には、日本の官公庁の情報を盗むサイバー攻撃を仕掛けるハッカー集団が存在。ロシアでも、米大統領選で民主党全国委員会(DNC)に攻撃した集団が確認されている。「中露のハッカー集団がAIを使うことで、さらに重大な被害が起きる」と強調した。また、防衛省がネットワークを守るシステムにAIを導入する方針にも触れ「今後のサイバー戦争はAI同士の戦いになる」とした。
〈管理人より〉「AI+サイバー攻撃」の図式。いずれは予想できることでしたが、いざリアルな形になってみると怖いものがあります。大量破壊、大量殺戮の戦争の時代は、経済の相互関係の深化によって時代遅れになりましたね。これからは「ステルス戦争」の時代で周辺国をコントロールしていく時代といえるでしょうか?
【我が国の戦略】
【電子版】英サイバーセキュリティー専門家「対策にもっと経営陣の関与を」 東京五輪など視野に日英の連携を促進
(2018/2/17 18:30) https://www.nikkan.co.jp/articles/view/00462377
英国の国家犯罪対策庁(NCA)で国家サイバー犯罪局長などを歴任したサイバーセキュリティーの専門家、ジェイミー・サウンダーズ氏は、都内で開かれたサイバーセキュリティーに関する意見交換会で、日本のサイバーセキュリティーの課題について「ガバナンスやリスク管理の領域で、日本は英国から学べるところがある」と指摘した。サイバーセキュリティーは本来、経営陣が考えるべきであるにもかかわらず、日本ではIT部門が解決すべき課題とみなされがちという。その上で、英国がこうした課題に対して「手助けできることがあるはず」とし、今後、サイバーセキュリティー分野で日英両国が連携をさらに深めることを促した。
ラグビーW杯のサイバー攻撃対策などにも協力
サウンダーズ氏はこの分野での日本との協力関係を深めるため、2月半ばに来日。これまで日本の政府や産業界の関係者らとサイバーセキュリティーについて意見を交わしてきた。
「サイバーセキュリティーに関するテクノロジーの領域で日本が世界のリーダーであることは疑う余地がない」と評価。ただ、意見交換を通じて「サイバーセキュリティーをテクノロジーという観点からしか捉えていないことが気になった」とした。
日本では、2019年にラグビーW杯、20年に東京五輪と国際的な大規模イベントが相次ぎ、開催時期を狙ったサイバー攻撃への懸念も持ち上がっている。サウンダーズ氏がこうしたイベントのサイバー攻撃に対する戦略や計画を見たところ、とてもしっかりした内容だったという。
その上で、サウンダーズ氏は「今後、イベントが開かれるまでの時間で、策定した戦略や計画を実際にテストすることが重要。万が一、テクノロジーにトラブルなどが発生した場合のフォローアッププランなども含めた包括的な演習を行うべきと関係者にアドバイスした」とし、こうした動きに英国も協力する意欲を見せた。
サイバーセキュリティー分野の日英両国による連携をめぐっては、17年8月にメイ英首相が来日した際、安倍晋三首相と会談し、この分野での課題に連携して取り組むことをあらためて確認した。英国はサイバーセキュリティーの分野に先進的に取り組んでいる。
2016年から5カ年のサイバーセキュリティ―国家戦略では、5年間で約2800億円(19億ポンド)を投じる計画。英政府通信本部(GCHQ)内に設置したサイバーセキュリティ―の専門知識を集中的に管理する「国家サイバーセキュリティ―センター(NCSC)」も、この一環だ。サウンダーズ氏は英国の国家犯罪対策庁(NCA)で国家サイバー犯罪局長のほか、機密情報局長などを歴任。英国大使館によると「サイバーセキュリティ―と機密情報分野の世界的な第一人者のひとり」。
〈管理人より〉いいですね。日露戦争に勝利した「日英同盟」が静かに、着実に復活していく感覚があります。あの幕末の時代にアングロサクソン以外で世界帝国イギリスと軍事同盟関係にあったのは我が国だけでしょう。
宇宙・サイバー空間で司令塔
防衛省「陸海空に次ぐ戦場」
2018/2/17 23:21 https://www.nikkei.com/article/DGXMZO27056650X10C18A2EA3000/
防衛省がサイバー防衛や宇宙監視の分野の能力向上を急いでいる。防衛省内に司令部機能を持つ専門組織の新設を検討するほか、サイバー防衛に従事する人員も2018年度に約4割増やし150人体制とする。宇宙やサイバーは陸海空に次ぐ「第4、第5の戦場」とも言われ、各国の攻防が激しさを増す。18年中に見直す防衛大綱の議論でも焦点になる。
宇宙やサイバー分野の対策を急ぐ
司令部機能を持つ組織は、陸海空の3自衛隊から要員を集め、早ければ20年にも発足させる。各部隊を統括する海自の自衛艦隊、空自の航空総隊などと同格の扱いとすることを想定。サイバー攻撃への対処にあたる専門人員「サイバー防衛隊」や宇宙監視の部隊などを束ねる。
人員の増強も進める。2018年度にサイバー防衛隊を現状の約110人から150人に増やし、19年度以降もさらに拡充する方針だ。宇宙分野では、22年度に宇宙状況を監視する専用部隊を新設。デブリなどを監視できる専用レーダーを海上自衛隊の山陽受信所跡地(山口県山陽小野田市)に配備する。
こうした体制を整えるのは、各国の宇宙やサイバー分野での攻防が激しくなっているためだ。
最近では2017年6月に、ウクライナを中心に身代金要求型ウイルス(ランサムウエア)による激しいサイバー攻撃を受け、クレジットカードの決済システムや地下鉄の支払いシステム、空港の電光掲示板などが機能停止した。米ホワイトハウスは15日に一連の攻撃はロシア軍によるものと断定する声明を発表した。
宇宙空間では、中国による衛星破壊実験や、人工衛星の衝突などによりデブリが増加している。衛星が衝突すれば、損傷して機能を失う危険があるため対策の必要性が高まっている。
各国はこうした現状を踏まえ対策を強化している。米国は18年9月までにサイバー攻撃に対応する部隊を15年比で3倍の6200人規模に拡大する方針だ。多国間の連携も進む。北大西洋条約機構(NATO)は今後、サイバー攻撃への防衛力向上に向けた司令センターを新設する。
日本は海外と比べて対応が遅れているとの指摘は多く、サイバーや宇宙分野の先進国との連携も進め対応を急ぐ。
安倍晋三首相は1月中旬にバルト3国を訪問。エストニアのラタス首相と会談し、サイバー防衛などの情報を共有する「日バルト協力対話」を立ち上げることを提案した。宇宙分野では、1月下旬の日仏の外務・防衛担当閣僚協議(2プラス2)で協力を進めると確認した。
自衛隊、宇宙監視防衛
0 件のコメント:
コメントを投稿