More Related Content
Similar to 技術立国のためのサイバー防諜 ― サイバー攻撃が問う経営者の資質と 企業のコアコンピタンス ― (20)
More from Kunihiro Maeda (18)
技術立国のためのサイバー防諜 ― サイバー攻撃が問う経営者の資質と 企業のコアコンピタンス ―
- 1. −38− −39−
特 集
技術立国のためのサイバー防諜
― サイバー攻撃が問う経営者の資質と
企業のコアコンピタンス ―
前 田 邦 宏
サイバー規範研究者 (Cyber-Norms Researcher)
1 “増幅”するネットワーク世界の情報戦
企業におけるイノベーションは成長の要であるが、そこには優秀な
人材の努力に加え、経営者による投資リスクが伴う。その為に投資
で得られた事業アイディアや事業モデルは企業の貴重な資産であり、
守るべき知財である。そして、それは同時にライバルである他社や
他国の産業スパイにとっての垂涎の的である。経営者はそのように
強く意識しなくてはならない。しかしながら、技術立国を目指し続け
た日本にとって企業のインテリジェンスはかつて自らが行ったモノマ
ネや他社への追随意識や姿勢が染み付いているせいなのか、いささ
か緊張感に欠けているように思われる。情報セキュリティにおいて
も、中小企業では管理職の電子メール利用の公私混同やパスワード
管理、資料の暗号化など基本的な情報管理にルーズな姿勢が見受け
られる上、ネットワーク管理に至っては維持管理に追われてセキュリ
ティ対策への余裕すらない。また大企業の保守的でマニュアル主義
が実務を阻害しており、イノベーションへと繋がる戦略的なインテリ
ジェンスを磨くにも道が険しい。このように投資と防諜は、企業に
とっても、国家にとっても重要な武器になるにも関わらず、無難に事
を済ませようとすれば、逆に国家と企業の存亡に関わる衰退の一因
になりかねない状況である。特にサイバー空間が今後、実空間と融
合する IoT 社会において、既に確立された成
功モデルは売り上げや利益率を倍増させるが、
複雑で非生産的な体制をシステムに置き換え
ようとするならば、かえってその非生産性と
混乱が増す“増幅の原理”が働く。
マイクロソフト社のビル・ゲイツは以下の
ように、科学の特性に根ざす本質的な課題を
明らかにしている。
「第一にどんなテクノロジーを使用する現
場においてもその自動化を促そうとするなら
ば、効率的な生産工程はより効率的になり、
第二に非効率的な現場の生産工程はより非効
率的な状況に陥る(注 1)」(The first rule of any technology used in
a business is that automation applied to an efficient operation will
magnify the efficiency. The second is that automation applied to an
inefficient operation will magnify the inefficiency.)
(注 1)この言葉は、かつてマイクロソフト・リサーチに所属した外山健太
郎氏が自著『テクノロジーは貧困を救わない』にて、“増幅の原理”と
して紹介している。洗練されたアルゴリズムやプログラムは効率化や
適合化が容易だが、複雑化し、混沌としたビジネスプロセスは技術で
高速化してもその非効率さは解消されるどころか“増幅”する。お金を
生む明確でシンプルな事業モデルにお金を投じれば必ず儲かるが、事
業モデルが明確化されず、単純化できない事業は技術で効率化させる
ことが出来ないという原理を指摘している。外山氏はビル・ゲイツの
言葉を借りて、教育環境や事業インフラが未整備な貧困国にコンピュー
タを持ち込んでも貧困解消に役立たないことを同書で述べている。
彼の場合、幸運なことに良いソフトウェア資産(知財)は利潤を
限りなく増幅し、ソフトウェアが抱える複雑性の問題は深刻なまま
現在も断ち切れない問題としてユーザーの頭痛としている。これは
ネットワーク化・人工知能化した社会においてあらゆる分野に生じ
る原理・原則なのである。
まえだ くにひろ
1967 年兵庫県生まれ。株式会社シンク
ショナリー代表取締役。情報セキュリ
ティ大学院大学博士課程前期修了(法
とガヴァナンス専攻)、情報学修士。大
阪大学大学院国際公共政策研究科招聘
研究員、国際安全保障学会会員。現在、
情報空間における法の生成発展や国際
規範醸成の研究に取り組んでいる。
- 4. −44− −45−
ングのエンジニアとして勤務した際のスパイ行為が発覚した事件があ
る(注 2)。逮捕時、彼の自宅からは 4 つのファイル・キャビネットが
埋まる機密文書 25 万ページが発見された。まだ紙の文書や磁気テー
プや大きなフロッピーディスクでしか管理していなかった 1979 年か
ら 2006 年頃にわたって彼と仲介者(handler)によって流出した情報
だと推測される。今日であればCD-ROM 1枚で済む量である。つまり、
サイバー時代の情報漏洩の特徴は物理的制約が少なく、短い期間に
大量のデータが外部に漏れ、さらにその他の企業に二次流出、三次
流出してしまう危険が伴うのである。電子化された機密情報を大量に
詐取した例としては、2009 年に米 Valspar 社の元従業員が約 2000
万ドル相当の独自の塗料配合を不法にダウンロードし、中国に売り渡
そうと画策した事件がある。この被害規模は同年の利益の約 8 分の 1
に相当する。このように独自の薬品や化学物質の調合などもスパイ行
為の目的となりやすい(コカコーラの調合の機密管理が厳しいことは
有名であるが、食品のレシピや化粧品の調合率などは特に狙われや
すい)。手に入る内部情報と不正アクセス権限の組み合わせで、より
確信を持って機密情報へと近づき、電子化された情報を丸ごと奪う
(もしくは徐々に盗む)ことが益々容易になったと言える。
近年、日本でも営業秘密の社外への無断持ち出しで問題となった
ケースは公開されている情報でも多々ある。2006 年 8 月 10 日、ニコ
ングループの主任研究員が軍事用の光学通信関連技術を在日ロシア
通商代表部職員のロシア人に渡した容疑で、警視庁公安部が 2 人を
書類送検したニコン事件。2007 年 3 月 16 日、デンソーの中国人技
術者が自動車関連製品の図面を大量にダウンロードした会社のパソ
コンを無断で持ち出したとして、愛知県刈谷市在住の容疑者1人を
横領の疑いで逮捕したデンソー事件。2012 年 3 月 27 日、工作機械
大手ヤマザキマザックのサーバにアクセスし、同社の秘密情報を複
製したとして、同社社員で中国籍の容疑者1人を不正競争防止法違
反容疑で逮捕したヤマザキマザック事件。本事件では、不正に社内
の機密データを持ち出そうとした中国人社員が、社用パソコンの IP
アドレスを繰り返し改変し、情報複製を続けていたことが発覚する。
これは犯人が同社を退職することが決まった後も大量のデータをダウ
ンロードしていることを不審に思った会社が調査した結果に不正が明
らかになったのだった。これらは実名や国籍、身分を明らかにしたま
まのスパイ行為であるが、全くの匿名性のままネットワーク経由で不
正アクセスし、何年もの間社内のパソコンにウィルスを潜伏させたま
ま機会を窺い、ほとんど痕跡も残さずデータを詐取し、そのまま盗ま
れたこと自体が判明しないままになる事件も数多くあると考えられ
る。最近の ATP 攻撃のように、特定の機密情報へのアクセス権限を
所有している立場の人間のアカウントやパスワードを取得ばかりか、
ランサムウェアという本人が盗まれたとは言い出しづらい情報やプラ
イベートな情報を暗号化し、その暗号化を解除するためのゆすりやた
かり、恐喝による犯行の自供を強制するなどする事件が生じている。
また事件が発覚しても、企業が事件そのものに注目が集まらないよう
配慮し、内々の事件として処理をしようとする動きも見られる。
具体的かつ典型的なサイバースパイの事例として、2016 年 1 月、
スイスの軍事航空宇宙企業 RUAG のネットワークが不正侵入され
る事件がある。報道によると 2014 年 9 月頃からネットワークに侵
入されていたことが分かった(注 3)。「Turla」と呼ばれるマルウェ
アを感染させ、データを外部の制御用サーバに転送させ、そのサー
バから感染デバイスに新しい権限を割り当てていた。その上、侵入
したネットワークの内部では感染デバイス同士で秘匿通信を行い、
検出を難しくしていた。この攻撃自体は、特に高度な手口ではない
ものの、狙いを定めた相手のみを標的とする ATP 攻撃を仕掛け、
ひとつのネットワークへの侵入に成功すると、慎重かつ時間をかけ
て他のデバイスへと感染範囲を広げ、徐々に高い権限を獲得すると
いう点において、企業は敵と同様あるいはそれ以上の忍耐強い努力
を強いる。目指していた標的の一つは Active Directory であり、最
終的に各データのパーミッション(データの書き込み・削除・アク
セス権限)やグループメンバーシップの管理権限を得ていた。これ
は組織権限と重要情報の結びつきを確信していたことを意味する。
- 5. −46− −47−
報告書によれば、こうした攻撃を阻止、あるいは検出するためのセ
キュリティ対策の多くはそれほどコストがかかるものではなく、そ
れなりの労力を費やせば実装できるとの指摘をしている。ただし、
この話には続きがある。同年の 3 月、スイスの国営メディアサイト
「SwissInfo」が RUAG へ不正アクセスによってスイス軍のエリート
兵士の個人情報が漏洩し、新たな身分を与える必要に迫られている
事実を明らかにした。すなわち防衛省との密接な関係のある
RUAG には 3 万人にも及ぶ連邦職員や国会議員のデータベースへ
のアクセス権限を保持していることも大きな事件であったのであ
る。さらに犯行はロシアのハッカーによって実行され、スイス軍の
海外での危険任務に当たる DRA10 特殊部隊のメンバーの個人情報
にアクセスしていたとの事実も判明した。
この二つの事件が同一の犯人かつロシアによる国家的な諜報活動
かどうかは明らかになっていないものの、通常下請け企業が持ち得
ない高いデータベースアクセス権限を企業に与えていたという“ク
ラウン・ジュエル”な価値と RUAG の特殊な立場を知ることで標
的を定め、惜しみない時間と労力をかけることで、企業のサーバか
ら国家の安全保障に関わる情報を得ることに成功していたことは事
実である。実際、CIA や NSA のような利益度外視の国家諜報機関
のハッカーにかかれば、防御の手段はあってないようなものなので
ある。つまり、サイバー空間のみならずソーシャルエンジニアリン
グ等、“あらゆる手段”を駆使すれば、その攻撃は高度かつ多様で
あり、経路も多岐にわたるために完全な防御が技術的には事実上不
可能になってしまうのである。では、そのような高度な情報はどこ
にあっても防げないと諦めるべきなのだろうか?
(注 2)米・国家防諜部(OFFICE OF THE COUNTERINTELLIGENCE
EXECTIVE)による『海外スパイによる米国産業機密のサイバー空間
における窃盗行為:外国産業の情報収集活動と経済諜報行為に関する
議会報告書 2009-2011(Foreign Spies Stealing US Economic Secrets
in Cyberspace, Report to Congress on Foreign Economic Collection
and Industrial Espionage)』https://www.ncsc.gov/publications/reports/
fecie_all/Foreign_Economic_Collection_2011.pdf
(注 3)軍需産業を狙うサイバースパイの活動詳細、スイス当局が手口を公
開-ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/
articles/1605/26/news062.htm
3 経営者の人間的資質が試される心理戦とその支援の必要性
実のところサイバーセキュリティに“完全”という言葉はない。そ
れどころか、投資に比例して安心と呼べる仕組みすらないと言える。
言えるのは、相手がかかるコストが対象を詐取するよりも自前で開
発するのに比べて高くなれば、不正に入手する意志は萎えてしまう
ということだけである。よって数々の不正アクセスを自動的に検出
し、防御すると言われるシステムは防御側にとってお金で買う安心
に過ぎない。そもそも高度なサイバー攻撃や内部の関係者の人間心
理に付け込んだソーシャルエンジニアリングと呼ばれる手法を駆使
すれば、システムでは防ぎようがないからである。確かに企業の
CERT(Computer Emergency Response Team)を構築し、マルウェ
アや不正アクセスを監視するシステムを導入し、アクセスログやプ
ロキシーログを解析することは敵の攻撃を見つけて、防御に役立つ
のは間違いないが、もし社長やその秘書の情報リテラシーが極端に
低く、脇が甘ければ、その他すべての対策は無意味になってしまう
のである。逆に社長や業界のトップが先導し、守るべき価値の重要
性を説き、倫理や規範(企業ガヴァナンスやコンプライアンス)に忠
実であるならば、敵は相手を変えるか、必要以上のコストで攻撃に
望まなくてはならなくなる。情報戦は心理戦であり、敵もまた自分
の手の内が知られているのではないかとの疑念を晴らすことは出来
ないのである。もし自社に産業スパイや個人的な事情から情報流出
に関与する内部犯行者がいたとして、その抑止となる有効な手段は、
そのような人材ですら背信を咎める人間関係や、厚い信頼関係が求
められるに過ぎない。そもそも抜け目のない仕事ぶりで上司として
尊敬されるなら、情報の詐取だけで対抗できる企業ではない、との
報告がスパイの上司へ報告されるだろうからである。また、そのよ
- 6. −48− −49−
うな安直な手段では常にイノベーションを求め、競合先の先手先手
を打ち続け、業界において、表面的なビジネスモデルや特許をなぞ
るだけで優位性の逆転は望めないと悟るに違いない。前述したよう
にネットワークは長所(コアコンピタンス)をより強化し、短所(脆
弱性)を露わにしてしまう“増幅”の効果がある。組織の防衛能力が
不揃いなのはその統一性の無さによって足元をすくわれるからであ
る。敵がクラウン・ジュエルを得たとしても、王冠にふさわしい王
がいなければその業界のトップには決してなり得ないのである。
昨年度、米国における中国によるサイバースパイ活動は減少の傾
向が見られたという。これは 2014 年に中国人民解放軍の第 61398
部隊に属する 5 人のハッカーによる産業スパイを米司法省が起訴
(注 4)することで、オバマ政権が示した明確なプレゼンスがその効
果をもたらした好事例だと言える。逆にロシアや日本、韓国への軍
事的意図を持った不正アクセスは増加したのだという。攻撃が脆弱
な箇所に流れる典型的な事例である。サイバー攻撃の防御をただ単
に自動的なシステムやソフトウェアで追い求めるのは、敵と向き合
うことを避けているかのようなプレゼンスを与え、逆効果をもたら
しかねない。時に敵と対峙し、こちらが攻撃を把握し、そこに立ち
向かっていることを示すだけでも、敵はより一層慎重な行動を行わ
ざるを得なくなる。先のドイツの BfV、ハンス・ゲオルク・マーセ
ン長官は中国だけでなくロシアもテレビ番組で名指しして警告を出
している。このように技術の高さを誇るよりも、常々監視している
ことの圧力をかけることで相手が警戒するコストを高める努力の方
が効果的なのである。逆に技術に慢心しているのを見せることこそ
危険極まりない行為はない。警告する相手も遠くにはおらず、身近
なところにいて聞き耳を立てているものなのである。もちろん米国
の場合、政治的なアプローチだけでなく、2017 会計年度の予算教
書においてサイバー攻撃対策費を 190 億ドル計上しているのだか
ら、内実の伴ったプレゼンスだと言えるだろう。オバマ政権では、
これを「あらゆる手段」を用いたアプローチと呼んだ。因みに日本
のサイバーセキュリティ予算はその 20 分の 1 にも満たない 742.8
億円(平成 28 年度予算概算要求額)である。
このように時間も予算も限られた環境にいるならば、ちょっとし
た奇計をサイバー空間上で実行することも可能だろう。頑張って
『孫子』を読むのも良いが、サイバー空間上の“増幅”の効果を逆手
に取るならば「嘘つきの七面鳥」効果という偽計を採ることもでき
る。つまりミクロとマクロの行動を自分の内面では一致させても、
他人にはわからないよう振る舞う作戦である。この名称はマーク・
トウェインのある短編小説から取ったものらしい。私はノーベル賞
を受賞した物理学者ロバート・B・ラフリンの著書『物理学の未来
(A Different Universe)』で、この話を知った。その話の中では主人
公が一羽の七面鳥を狩ろうとしたとき、その七面鳥が怪我をしたふ
りをして、ハンターを巣から遠ざけようとした様子が描かれている。
彼はその七面鳥を何度も仕留め損ない、何キロメートルもさまよっ
たあげくにやっと、実は獲物を追いつめていたのではなく、騙され
ていたということに気づいたという話である。恒常的な防護
(detection)や防御(protection)の行動パターンは複雑なほどであ
ればある程相手を戸惑わせ、防護の背景にある隠された意図が突き
止められるのを防ぐことが出来るという高度な心理戦である。また
敵にはそうしたミクロの法則を発見してもいないのに発見したと思
わせて、騙すのである。ここまでくると CIA とでも戦える普遍的
なインテリジェンス戦のレベルである。それに、この方法は時に味
方にも有効なのである。身の回りに潜伏したスパイに長期的展望や
戦略上の気づきを与えるものの、一つ一つの戦術上の規則性は自ら
編み出すよう促すのである。このような働きかけは無能な社員やス
パイには拷問のようなプレッシャーを与えるものの、そのプレッ
シャーを乗り越えて得た自発的発見や能力は彼らの貴重な資産にな
るに違いない。楽をして盗むつもりのスパイは訓練され、教育され、
自分の努力で技術を得ることになる。どのみち優秀なスタッフは国
籍を問わず、自社からスピンアウトして競合になるのであって、そ
れを防ぐことは出来ない。それに特定の国籍のスタッフだけに情報