1995年前後から始まったネットワークとコンピューティングの融合の流れは、20年の時を経る中で、ASP/SaaSからクラウドといった新たなバズワードを作りながら社会基盤として大規模化してきた。いまや、人間の情報活動の細部に浸透している。
トライポッドワークスの代表取締役社長、佐々木賢一氏
日本で「クラウド」という新たな動きをリードし、現在は経済産業省などのコンサルティングを手掛ける研究者、NCRIの津田邦和氏が、今後クラウドを軸に生まれる新たな付加価値について、「トップガン」と呼ぶ各分野のキーマンと対談する。クラウドの世界で起きているが、まだあまり知られていない「発見」や「気付き」を紹介するのが狙いである。
「Dr.津田のクラウドトップガン対談」と題する連載企画の1回目は、「マイナンバーと年金機構問題でクローズアップされるITセキュリティとクラウド対応」をテーマに、トライポッドワークスの代表取締役社長、佐々木賢一氏と対談した。
ファイルの情報漏えいと外部からの攻撃
津田氏 2015年から導入され、2016年から本格運用されるマイナンバーは、民間企業や自治体にとって、従来から整備されるべきITセキュリティに対して、さらなる強化を求めるものとなりそうです。偶然ですが、同時期に発生した年金機構における標的型メール問題によっても、さらにITセキュリティ問題はクローズアップされてきました。
津田邦和氏。最近では青森の雪氷冷却型データセンターの考案などで、国や自治体を交えたコンサルテーションをしている
今回は、セキュリティソリューションを展開し、急速に顧客に受け入れられているトライポッドワークスの佐々木社長に話を聞きます。佐々木社長は、セキュリティに関連するクラウドについて、第一線で活躍していますが、どのようなビジネスをされているか簡単に説明してください。
佐々木氏 トライポッドは、11月21日にちょうど創業10年を迎えた会社です。現在の売り上げは10億円ほどで、9割が情報セキュリティのクラウドキットの販売が占めています。その分野に大きく2つの製品があります。
1つは電子ファイルや電子メールのセキュリティ、いわゆるコンテンツセキュリティ製品。もう1つはファイアウォールやUTMといわれるようなプロダクトに代表されるネットワークセキュリティです。
コンテンツセキュリティでは、企業向けのオンラインストレージがあります。オンラインストレージという言葉が出回る前、既に9年前から提供しており顧客数は3000に迫っています。
また、電子メールにはメールを受ける側と送る側の2つの側面があります。受ける側のスパム対策と、送る側の情報漏えい対策です。この情報漏えい対策製品を提供しています。さらに、スマートデバイスから社内のファイルへのアクセスに対応するセキュリティのソリューションがあります。コンテンツセキュリティは、この3つを柱にして展開しています。
ネットワークセキュリティにおいては、先ほどお話ししたファイアウォールやUTMですが、今回のテーマであるマイナンバーにおいては、ファイルの情報漏えいと外部からの攻撃の双方の要素が求められています。そういう意味では、マイナンバー絡みで提案機会が急増しています。
津田氏 マイナンバーが求めるセキュリティの特性と、年金機構問題におけるセキュリティの特性には、重なる面とそうではない面があります。マイナンバーはファイルに関する課題と外部からの攻撃から身を守るという2つ。一方で、年金機構問題の対策は、外部の攻撃からの防御ですね。
お客様は、同時に2つのことを頭に描いています。例えば、自治体や放送局などは必ずこの両方をみているわけです。
佐々木氏 最近の情報漏えい事件を見ると、攻撃側が非常に巧妙になっていることが分かります。以前のように愉快犯が、無差別にいろんなウイルスをばらまくといったような単純な攻撃から、標的型攻撃に代表されるような、ターゲットを絞って、時間をかけて、巧妙に痛いところを狙うといった攻撃方法に移り変わってきています。
背景には、情報がお金になるという事情があります。昔は愉快犯が自分の技術を誇示するためにウイルスをばらまいていたのに対して、今は情報が売れるので、ブラックビジネスとしての攻撃が増えてきたわけです。ですから当然攻撃者はプロです。プロの攻撃を防ぐのは、防ぐ側も周到な準備が必須になります。その面においては2つとも同じだと思います。
国民全員が絡む怖さ
私が大きく違うと感じている点は、1つは年金機構に代表されるような企業や団体のセキュリティの話とマイナンバーは、完全に国民全員が絡むセキュリティであることです。システムとして置き換えられるところと、規定や法律を定めて、その運用できちんと情報漏えい対策をしなければいけないということの両方の比率の度合いが違うということでしょう。
昨年マイナンバーの配布が始まったばかりのころ、一部の地方では早くも郵送の過程で漏えいが発生しました。危険性がさまざまな形で知られていたにもかかわらず、実際には初日から起こってしまっているわけです。その運用が非常に難しいのがマイナンバーではないかと思います。
年金の方は、きちんとポリシーを決めてそれを順守してシステムとして防御すれば、完全ではないもののかなりの確率で防げると思います。一方で、マイナンバーの方は、大勢の人が絡んでしまうので、漏えいを防ぐことが非常に難しい。ですから逆に、漏えいしたときに犯罪に使われないような仕組みを作るといった議論をもっとすべきであると考えています。
標的型添付ファイルのウイルス問題
津田氏 今話が出たように、実はマイナンバーも標的型メールも「攻撃」されることが1つの大きな問題であることが分かります。ただ、マイナンバーにはそれ以外に、もう少し広くて奥が深い話があるということもわかりました。
ここで、年金機構問題でも焦点になった、標的型添付ファイルのウイルス問題に絞って議論してみたいと思います。
私はかねがね、これは攻撃者が「特別な相手」を狙うものだと思います。狙われる相手はマイナンバーの重荷も背負っているわけですから、マイナンバーと情報漏えいの双方が関係します。その組織はというとみなさんご存じのように、公的な会社や団体、もしくは個人情報を沢山もっているような種類の企業になります。放送局、新聞社、自治体、政府の外郭団体、それから民間企業でも教育分野や金融分野、病院、その他ECなどの顧客情報を沢山もってるような企業、こういう特性を持つ企業は非常に狙われやすくなるわけです。
そうすると、佐々木さんが今展開している1つの手法があります。簡単にいうと、メール添付ファイルはまず禁止すべきだというものです。もともとインターネットは、ウェブサイトを見ることとメールを送受信すること、この2つが古典的な機能だったわけです。それがいよいよ、50年ぶりにメールにファイルを添付する行為を禁止するという、インターネットの歴史上、初めて別の手法を取ろうという主張を、佐々木さんはされていると見受けられます。
私が感じている問題点は、メールで送った添付ファイルは取り戻せないということです。送信したメールはサーバに収まりますが、そこには手を出せません。うっかり間違えて送信しても、それを消すことは人間はもちろん、システム的にもできないのです。人間の操作ミスを想定していなかったところに決定的な欠陥があるわけです。それを今、年金の事件を契機に大きく変えようという歴史的な動きが出てきていると僕はみているのですが、佐々木さんはどうですか。
相手が分からなくても受け取れるというリスク
佐々木氏 電子メールというのはUNIXの成長とともに使われるようになりました。私も電子メールを業務で使うようになり始めたのが1990年のはじめぐらいでした。電子メールは、これまでの電話とか手紙による情報伝達と比べて、即時性があるし相手が不在でも伝わるという、非常に便利な機能を備えています。ビジネスを進める上でも不可欠になっていますが、浸透し過ぎたことでリスクも増えています。
添付メールが使われている中で、スパムメールが急増しています。スパムメールには、本当に悪意のあるものと単純な宣伝のものの2種類があります。でも、受け取る人にとっては全部スパムなんですね。特に、宣伝メールは大量に送られてくるので、警戒心が非常に薄れています。標的型ハンターメールというのはそういう部分を突いてきます。
例えば、何度も安全なセミナーの案内メールを送って、いざというときに偽装した攻撃メールを送ります。PDFなどのファイルに偽装した、EXEやZIPの危険なファイルを送り込むわけです。それは電子メールの歴史も踏まえた巧妙な仕掛けで、かなり心理的なところに作用していると思います。
添付ファイルでもう1つの問題は、相手が分からなくても受け取れるということです。とはいえ、課題があっても電子ファイルの受け渡しをデジタルでできなくしてしまっては、ビジネスは成り立たなくなってしまいます。
ファイルの受け渡しはメールの役割なのか
津田氏 では、添付ファイルのウイルス問題に対応するために提供している仕組みをもう少し具体的に説明して下さい。
佐々木氏 電子ファイルの受け渡しはデジタルでないといけません。ただ、それが電子メールが担うべき役割なのかという見方はできます。スパムの問題や、認証されない相手からも届くというところからすると、逆にそれらがきちんと担保されているような伝達手段が必要です。
確かに自分が取引している相手であると認証された状態で、電子ファイルをやり取りするということ。それから、地域とそのネットワーク経路も含めて、例えば暗号化などでセキュリティが担保されている安全な経路で情報をやり取りすることが必要です。
1つの解決策がオンラインストレージの活用です。行政にしてもプロバイダー企業にしても、非常にセキュリティに厳しい企業や団体でも毎日われわれの製品を使ってもらっていることからも、そういった装備が必要になってきていると感じます。
スタンフォード大学に閉じた世界ならばOKだが…
津田氏 今の話を、これまでやってきた情報化の歴史の過程の言葉でひも解いてみます。私たちはコンピューターを使い、便利に低コストで実施できるように情報化を進めてきました。電子化で可能になることのひとつが、保管して再利用するという知的活動の支援システムです。これはDouglas Engelbart(D・エンゲルバート)というスタンフォードの学者が論文を書いています。1962年の「Augmenting Human Intellect: A Conceptual Framework」という論文です。
2つ目はコミュニケーションです。情報というのは自分で持っているだけでは情報になりません。いつかは人に伝えます。保管して再利用しようが、必ずどこかで誰かに伝えるのが情報というものです。情報化の根幹である「保管して再利用する」という知的支援のほかに、「コミュニケーション」というものが必要です。そのため、当然ながら、昔の人たちはインターネットの技術について、ウェブサイトの閲覧と電子メールという2つを最初に手掛けたのです。
ところが、コミュニケーションというのは、スタンフォードを中心とした4つの大学にインターネットが払い下げられたときの「UNIX People」だけでやっていれば全く問題なかったわけです。しかし世の中は当然、都市化します。大都会には見ず知らずの人が多くいますから、警戒して生活するのが当たり前になります。今のインターネットはここで言う大都会になったのです。これは悲しむべきことではありません。つまり現在のインターネットは、インフラになって社会的なツールになったのですから、その中に危険なものが混じるのは当たり前です。例えるなら、飛行機事故が起こる可能性があるからと言って、飛行機に乗らないということにはならないということです。
インターネットにおいても、便利なところを使いながらリスクに対応するというのは当たり前のことです。では佐々木さんのおっしゃった、標的型メール添付ファイルへの対応というのは、1つは認証、2つ目は安全な経路かどうか、3つ目が中身をチェックできるという特性を持っているという意味でのオンラインストレージですね。直接メールで届くのではなく、間にオンラインストレージを介することで、危険なファイルかどうかをチェックできるわけです。
