All posts by whsaito

T

This is how to prepare for a cyber attack

Cybersecurity is only in the spotlight when it fails. After high-profile, large-scale data breaches, it takes a beating. But cybersecurity provides critical layers of infrastructure in our modern, cyber-dependent society. Rehearsing for potential failures is always worthwhile. Executives tend to relegate cybersecurity to the IT department. That is a mistake, because cyber incidents affect the entire organization. We should conduct regular cybersecurity drills, as we do fire and safety drills. That’s where tabletop exercises can play a big role. At last month’s Cyber3 Conference Tokyo 2017, international stakeholders from academia, industry, government and civil society gathered at Keio University for

C

Cybersecurity lessons for 2020 and beyond

Good cybersecurity has tremendous potential to improve society, business and services we use every day. Because of its very nature, though, it involves discussion of bad actors and defensive measures, which can easily skew public perception. Indeed, big breaches seem to be occurring more and more frequently, and the bad guys are always in the headlines, making it all the more important to pause and take stock of the situation. In October, international stakeholders from academia, industry and government gathered in Japan for the third annual Cyber3 Conference Tokyo 2017. The two-day event was held at Keio University in conjunction

私たちは本当にインターネットから離れられるのか – 斎藤ウィリアムの緊急講義(最終回)

Sorry, this entry is only available in Japanese. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language. 「インターネットはサイバー攻撃の可能性がある。重要な情報は遮断しよう」という動きがある。しかし、日々のビジネスシーンで、私たちはインターネットから離れた環境で本当に過ごせるのだろうか。連載最終回となる今回は、「セキュリティーと生産性を同時に上げることは可能」という強いメッセージで締めくくる。 ■ネットを遮断し、紙に戻すリスク  サイバー攻撃の報道が過熱するなか、「インターネット環境は危険だ。遮断した環境で情報を守ろう」という動きもちらほら見かけるようになりました。厳重にカギをかけ、入れる人間の数を制限した「特別室」を作ったり、重要情報は紙で回覧したりする対策です。非常に残念な動きです。「紙」は、セキュリティーの観点から本当に安全でしょうか。紙は、どこかに整理され、しまいこまれた資料がどこかで抜き取られても気付かないかもしれません。誰がコピーしたかも、わかりません。社内のネットワークから制限し、特別な部屋を作っても、一民間企業が絶対に破られない完璧なセキュリティーを作ることは残念ながら無理です。  それだけではなく、生産性も下がります。結果、仕事しづらいからと、特別室から必要な情報だけ自分のUSBメモリーや自分のパソコンに移して作業したくなります。2015年に発覚した、日本年金機構の情報流出もそうでした。権限が必要な基幹システムから抽出データをCD―ROMに保管し、そのデータを職員がパソコンでファイル共有サーバーに移して作業していたのです。はじめから、利便性がよく、セキュリティーの安全なしくみを作っていれば起きなかったトラブルです。この部屋は「インターネットにつながっていないから」と、監視の目から漏れてしまい、セキュリティーの製品も機能せず、逆に弱くなります。ハッカーに「ここに情報がある」と伝えているようなものです。 ■ここまでネットにつながっている  すべてのモノがネットにつながるIoTの時代、不安が増すのはわかります。まさか、これもインターネットにつながっているなんて――。たとえば、発光ダイオード(LED)電球です。可視光通信といい、LEDを高速明滅させることで信号を作り通信できるしくみが普及し始めています。医療機器で囲まれる病院など、電磁波の利用が制限される場所で使われています。この通信をハッカーが応用し、電球から侵入するケースが懸念されています。  これはレベルが高いケースですが、もっと身近な例でいえばコピー機を使ったハッキングは様々な企業で見られています。今のコピー機は、情報をハードディスクに蓄積して印刷しているものが多いので、コピー機にマルウエアを仕込むのです。「インターネットから遮断した特別な部屋にあるから」と思い、ログも取っていなければ侵入経路も分からず、被害も大きくなってしまいます。  だからといって、今から「紙」に戻って、生産性を失うことは、得策でしょうか。 ■「二律背反」こそ日本の得意分野  今、利益を生んでいる場所は、どこでしょうか。10年前、世界でもっとも時価総額の高い上位5社の多くが、石油関連産業に属していました。2017年現在、上位5社は米アップル、アルファベット(グーグル)、マイクロソフト、アマゾン・ドット・コム、フェイスブックとすべてがIT(情報技術)企業です。  石油は20世紀の世界を奇跡的に変革した立役者ですが、今日も環境や政治など、多くの頭痛のタネを抱えています。まったく同じことが、「ネクストオイル」とも呼ばれるITの世界でも起きようとしています。私たちはスマートフォンを使って、膨大な量のデータを消費する一方、意識しないうちに自分のデータを提供しています。  このデータの所有権はだれにあるのか、使用するルールはあるのか。こうしたデータをもとに商品が開発され、爆発的なヒットを生んだとして、利益は誰に配分されるべきか、あるいはプライバシーをどう守るか。明確な答えが定義されているわけではありません。  サイバーセキュリティーに正面から向かい合うことは、こうした問題を解決に導き、過去10年で培ったIT技術の進展にもう一度ドライブをかけることにつながります。サイバーセキュリティーを「ネットの副産物」とか「必要悪」などと考えるスタンスでいると、日本は大きなハンディを負うでしょう。  「生産効率を上げる」「安全性を担保する」。この2つは二律背反的に見えるかもしれませんが、そこにビジネスチャンスがあります。連載の最初に指摘させていただいたように、課題先進国である日本こそ、この分野で抜きんでる潜在力を持っています。すぐれたクルマで「安全性」を評価された日本が、いまだ道なかばの情報セキュリティーで一歩踏み出す可能性がある。私は、今がチャンスだと強く信じています。 日本経済新聞で掲載されました

パソコンは無くすもの 間違った研修をしてませんか

Sorry, this entry is only available in Japanese. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language. パソコンがウィルスに感染した従業員に始末書を提出させたり、強く叱責したりしていませんか。しかし、その対応は逆効果です。今回、マネジメント層、特に経営層に強くいいたいのは、「人間だから間違える」「携帯電話は落とすもの」という事実です。「間違えても大丈夫」なセキュリティーを前提にした環境を整えることが基本です。  私は、2012年、国会に設置された東京電力福島原子力発電所事故調査委員会(NAIIC)のITインフラ設備を担当することになりました。この仕事は、私がサイバーセキュリティーとは何か、リスクを適切に管理するシステムとはどのようなものか考える機会となりました。  数十台のパソコンや携帯電話を準備しました。しかし、関係者のインターネットリテラシーにはばらつきがあり、「インターネットやメール、ワードは使ったことがある」程度の人もいました。私は、「配布した情報機器のいくらかは、期間中に紛失・破損するだろう」と予想しました。  そのため、配布した情報機器はすべて安全性を重視した設計にしたのです。電子メールを外部に送っても、自動的に暗号化される。二層、三層、四層のフィルター構造でセキュリティーを構築し、最初の層が突破されても、すべての層を突破する間に最初の層で正常な機能を取り戻せるネットワークも作りました。万一、パソコンやスマートフォンを盗んで、ハードディスクを無理にはずし、中のデータを読み取ろうとする人がいても、暗号をかけて読み込めないようにしました。  結果はどうだったか。調査期間中、やはり用意した情報機器の紛失・破損がありました。調査関係者が怠惰だったわけでも、悪意があったわけでもありません。 ■叱責や始末書は逆効果  私は、紛失の報告を受けても「問題ない、代わりの機器を用意するから」と伝えました。もしここで、ミスを犯した人に始末書などを書かせ、厳重に叱責するなどの厳しい処置を取ったらどうなるか。それを見ている人たちは、自分が失敗したらどうするか。「携帯電話をなくしたら、まず自分で探して見つかってから報告しよう」「変なメールを開いたことは黙っていよう」。そういった心理が働くはずです。  報告せず、電話を自分で探す――。このロスタイムがサイバー攻撃では命取りになる可能性があります。幸いなことに、限られた時間で設計したにもかかわらず、資料が外部にもれることもなく、サイバー攻撃で業務が滞ることもありませんでした。何より、厳しいスケジュールにもかかわらず、発足から半年で、調査の報告書を発表することができたのです。  トラブルが発生すると「なぜ早くいってくれなかったのか」と悩む経営層の声も聞きます。しかし、「すぐに報告する空気づくり」はできているでしょうか。ウィルスに感染したことを報告した社員がいたら、まず「報告したことを評価」する。この、コミュニケーションを取れるかどうかが惨事を防ぐ肝です。管理責任を問うスタイルの「セキュリティー研修」は逆効果です。また、「研修」としてわざと添付ファイルつきのメールを社員に送り、「この添付ファイルを開いたら危機意識が薄い」と警告するやり方も、やりすぎはリスクです。「怖いからメールを開かないようにしよう」という心理が働き、本来の業務ができなくなります。 ■対策は、ミスを前提にした「レジリエンス」  この心理は、非常に根深いものです。サイバーセキュリティーから少し視点が変わりますが、福島第1原発事故、スリーマイル島の事故など、さまざまな惨事において、現場のエンジニアは上司に異常の発生を警告していました。しかし上司は「完璧な状態」が「維持されていてほしい」と願望して、現場の警告を却下していたのです。  ひどいことだ、と思われるかもしれません。しかし、災害心理学の研究では、危機の緊急性や危機が発生する可能性を認知したくないという心の働き「正常性バイアス」は誰にも起きうると考えられています。たとえば、2001年9月11日、米国の世界貿易センターに航空機が衝突したテロ事件では、ビル内にいた人の多くが、やりかけの仕事を終えるためにコンピューターをシャットダウンしたり、洗面所に行こうとしたりするなど、危機の程度を把握しきれていなかった現実が知られています。  サイバーセキュリティーに話を戻すと、人間は、トラブルが発生したとき、常に正しい行動が取れる生き物ではありません。さらには、家の鍵をかけるのを忘れ、スマートフォンを終電に落とし、電子メールの悪質なリンクをうっかりクリックする生き物です。セキュリティーは不完全な人間が失敗をしてしまう前提で、それでも防御力を再生できる「レジリエンス(免疫力)」を備えるように設計する。これは、経営層の責任なのです。 日本経済新聞で掲載されました

残り1年 日欧EPAの影で日本企業に新たなリスク

Sorry, this entry is only available in Japanese. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.  日本と欧州連合(EU)が6日、経済連携協定(EPA)の締結で大枠合意した。チーズや自動車などの関税撤廃・削減で折り合い、貿易の活発化が期待される。だが斎藤ウィリアム氏は、EUに関わる企業は今後、セキュリティー面で大きなリスクに直面する、と指摘する。2018年5月25日に施行予定のEUの新しい個人情報保護法、「GDPR」だ。  今、欧州の多くの経営者が、施行まで1年を切った「GDPR」により、ビジネスがどう変わるか熱心に議論しています。GDPRとは、「General Data Protection Regulation」の略で、直訳すると「一般データ保護規則」という意味です。EUには以前から企業が個人情報を扱うことに関する規則がありましたが、成立した1995年から20年以上過ぎており、時代にあわせた新たなルールが生まれようとしています。  日本人の経営者層のほとんどの方が、GDPRの言葉自体をまだ知りません。GDPRは国際法です。この新しい規則の適用範囲はEU内に所在している企業だけでなく、(1)EUに子会社、支店、営業所を有している企業(2)日本からEUに商品やサービスを提供している企業(3)EUから個人データの処理について委託を受けている企業――にまで及びます。日本企業で該当する企業は多いはずです。  GDPRの罰則は極めて厳しいものです。違反時の制裁金は最大で「全世界のグループ売上高(年間)の4%、または2000万ユーロ(約26億円)のうちいずれか高い方」に及びます。 ■もしトヨタが違反したら  仮にトヨタ自動車が4%の罰則を科されたとすると、トヨタの連結売上高(2017年3月期)は約27兆6000億円ですから、制裁金は1兆円に達します。たった1回の規則違反で、市場から一発退場になる企業が出ても不思議ではありません。  想定できるのは、たとえばEU域内に進出している企業が、現地の顧客データを漏洩・紛失した場合はもちろんのこと、域内に日本から物品を輸出している企業が、顧客名簿を日本で紛失するケースもあります。顧客データの解析などをEU企業から請け負っている場合も同様です。いずれも、こうした情報の漏洩やハッキングに対し、きちんとした対応や社内制度を整えていない場合に、罰則の対象になる可能性があります。  GDPRがこれまでの個人情報保護と異なっているのは、罰金を、「全世界の売上高の4%」にするとまで言及していることです。これまで、EUは日本企業がEU内で起こしたことに対して「世界の売り上げ」を対象に罰金を要求することはありませんでした。  私が接する経営者の中には、個人情報漏洩について「結局、謝罪すればすむ」とか、「日本の個人情報保護法に基づけば、数億円の罰金ですむ」などという人もいます。しかし、今回、GDPRが施行されれば、リスクの範囲はEU内でとどまりません。企業全体の売上高にダメージを与える強さです。 ■問われるのは情報保護のネグレクト  ハッカーによる攻撃などは不可抗力の面もあります。ですから、EUが対象として問題としているのは、情報保護に対する企業の「ネグリジェンス」、すなわち「無頓着」あるいは「怠慢」なのです。それまで適切な対策を取ってこなかった企業に対して、厳しい罰金を科すぞ、というのがメッセージなのです。  これからEUに進出しようとする企業は、どう対策すればいいのか。GDPRは、「データ保護責任者の設置」や「EU域外へのデータ持ち出しルール」など、細かな規定がありますが、詳細の把握は難しいものです。すでに、外資系のコンサルティング企業や国際法に詳しい弁護士らは、海外の動きを察知し研修や告知を始めています。  私がここで伝えたいのは、GDPRの対応策は、1カ月などの短期間でできるものではない、ということ。経営陣に今から個人情報を守ることの重要性を理解してもらい、今から経営層に「CSO(最高セキュリティー責任者)」をおいて準備してもらいたいのです。  誤解を恐れずに言えば、日本企業はEUから狙われています。国際裁判で戦うことに不慣れで、キャッシュを持っていると思われているからです。ある意味の「見せしめ」として当局にターゲットとされ、多大な罰金を払う危険があります。  これも考えたくないことですが、日本企業のライバル企業がハッカーを雇い、EU域内の顧客情報を大量に流出させ、罰金を払わせることで経営体力を失わせるといった挙にでる可能性さえ、専門家の間では指摘されています。  すぐに準備することをお勧めします。施行までの時間はすでに1年を切っています。 日本経済新聞で掲載されました