SlideShare a Scribd company logo

技術立国のためのサイバー防諜  ― サイバー攻撃が問う経営者の資質と 企業のコアコンピタンス ―

Kunihiro Maeda
Kunihiro Maeda

知財防衛に関するエッセイ。有名な事例で、荏原製作所の社内ベンチャーにスタートアップから参加し、家族ぐるみで付き合っていた中国人スタッフの裏切りから得た(得られなかった)教訓とは?

Business
1 of 7
Download to read offline
−38− −39− 特  集 技術立国のためのサイバー防諜  ― サイバー攻撃が問う経営者の資質と 企業のコアコンピタンス ― 前 田 邦 宏 サイバー規範研究者 (Cyber-Norms Researcher) 1 “増幅”するネットワーク世界の情報戦 企業におけるイノベーションは成長の要であるが、そこには優秀な 人材の努力に加え、経営者による投資リスクが伴う。その為に投資 で得られた事業アイディアや事業モデルは企業の貴重な資産であり、 守るべき知財である。そして、それは同時にライバルである他社や 他国の産業スパイにとっての垂涎の的である。経営者はそのように 強く意識しなくてはならない。しかしながら、技術立国を目指し続け た日本にとって企業のインテリジェンスはかつて自らが行ったモノマ ネや他社への追随意識や姿勢が染み付いているせいなのか、いささ か緊張感に欠けているように思われる。情報セキュリティにおいて も、中小企業では管理職の電子メール利用の公私混同やパスワード 管理、資料の暗号化など基本的な情報管理にルーズな姿勢が見受け られる上、ネットワーク管理に至っては維持管理に追われてセキュリ ティ対策への余裕すらない。また大企業の保守的でマニュアル主義 が実務を阻害しており、イノベーションへと繋がる戦略的なインテリ ジェンスを磨くにも道が険しい。このように投資と防諜は、企業に とっても、国家にとっても重要な武器になるにも関わらず、無難に事 を済ませようとすれば、逆に国家と企業の存亡に関わる衰退の一因 になりかねない状況である。特にサイバー空間が今後、実空間と融 合する IoT 社会において、既に確立された成 功モデルは売り上げや利益率を倍増させるが、 複雑で非生産的な体制をシステムに置き換え ようとするならば、かえってその非生産性と 混乱が増す“増幅の原理”が働く。 マイクロソフト社のビル・ゲイツは以下の ように、科学の特性に根ざす本質的な課題を 明らかにしている。 「第一にどんなテクノロジーを使用する現 場においてもその自動化を促そうとするなら ば、効率的な生産工程はより効率的になり、 第二に非効率的な現場の生産工程はより非効 率的な状況に陥る(注 1)」(The first rule of any technology used in a business is that automation applied to an efficient operation will magnify the efficiency. The second is that automation applied to an inefficient operation will magnify the inefficiency.) (注 1)この言葉は、かつてマイクロソフト・リサーチに所属した外山健太 郎氏が自著『テクノロジーは貧困を救わない』にて、“増幅の原理”と して紹介している。洗練されたアルゴリズムやプログラムは効率化や 適合化が容易だが、複雑化し、混沌としたビジネスプロセスは技術で 高速化してもその非効率さは解消されるどころか“増幅”する。お金を 生む明確でシンプルな事業モデルにお金を投じれば必ず儲かるが、事 業モデルが明確化されず、単純化できない事業は技術で効率化させる ことが出来ないという原理を指摘している。外山氏はビル・ゲイツの 言葉を借りて、教育環境や事業インフラが未整備な貧困国にコンピュー タを持ち込んでも貧困解消に役立たないことを同書で述べている。 彼の場合、幸運なことに良いソフトウェア資産(知財)は利潤を 限りなく増幅し、ソフトウェアが抱える複雑性の問題は深刻なまま 現在も断ち切れない問題としてユーザーの頭痛としている。これは ネットワーク化・人工知能化した社会においてあらゆる分野に生じ る原理・原則なのである。 まえだ くにひろ 1967 年兵庫県生まれ。株式会社シンク ショナリー代表取締役。情報セキュリ ティ大学院大学博士課程前期修了(法 とガヴァナンス専攻)、情報学修士。大 阪大学大学院国際公共政策研究科招聘 研究員、国際安全保障学会会員。現在、 情報空間における法の生成発展や国際 規範醸成の研究に取り組んでいる。
−40− −41− そもそも企業がその資産を盗まれる心配をするには、資産がどこ にどの程度あるかを認識する必要がある。これは自社のポートフォ リオを見れば良いというものではない。人材やソフトウェア資産は 短期的に数字に置き換えられない価値を有しているからである。 よって、その価値を知るには世の中の動き=マーケットとの関係を 相対的に俯瞰し続けなくてはならない。もし青色発光ダイオードの イノベーターを社内に安く囲っていたとしても、ある時その信頼関 係が破綻すれば、競合関係(訴訟リスク)になる場合もある。時に経 営者はそのような自社の魅力あるクラウン・ジュエル(事業や人材・ ブランド価値の複合的な価値)がどこにあるかを見失っていること がある。投資をせず、最初から存在している企業価値を軽んじたり、 一度失えばいくら投資しても手に入れられない強みがある事を客観 的に見ることが出来なくなるからだ。 例えば、科学技術の最新トレンドと関連した業態ならば、国内あ るいは全世界の研究開発(R&D)の投資動向を見れば、その価値が 大きなことは明らかである。2008 年、米国の科学技術分野における アメリカ国立科学財団(National Science Foundation, NSF)の投資 額は 3980 億ドルの投資である。これは米国の国内総生産(GDP)の 2.8%の規模に相当する。このような巨額の投資から得られる事業ア イデアやビジネスモデルは極めて低い確率でしか成功しない。おそ らく 0.01%にも満たない対象が、後に何百、何千倍もの事業性を生 み出すのである。そこから生まれるイノベーションは時にインター ネットのように世界を激変させる変革となるのである。もしもこの ようなリスクマネーを投じず、成果だけを得る方法があるのなら、 それは大きな誘惑となるに違いない。これこそ産業スパイがはびこ る原因なのである。ただし、こういった連中は職業スパイのような 自覚のあるものより、単に功利的で自己中心的な盗人が多いのが問 題なのである。その上、自分たちがスパイであるとか、法や倫理を 犯している感覚に乏しいのが常なのである。むしろ愛国的な行為や 義侠心に基づいた行為だと勘違いしていたりする。このような風潮 に加え、被害者である企業がこういった犯罪を野放しにし、盗まれ ても気にしない、あるいは気が付かないというお粗末な実情もある。 これは帰属する企業への責任だけでなく、社会への責任の欠如にも なる。というのも、そのような風潮が開発者のモチベーションやイ ンセンティブを毀損し、その業界のエコシステム(自律発展のメカ ニズム)の崩壊あるいはモラルハザードを促してしまうからである。 このような事態は技術立国を謳う日本のような国家において致命的 な損失になりかねないのだ。 企業は本来、情報公開を積極的に行うことで企業価値を誇示し、 自社の競争優位性を確立することが目的であり、目標である。つま り盗みたくなるような貴重な価値の存在はチラ見せしつつも、企業 防衛や技術優位性への十分な布石を示すことが重要である。国家も また毅然とした立場で、それらに対する不正行為の摘発能力と法の 支配を国際的にアピールする必要がある。だが、日本の企業におい ては、そのような努力が十分行われているのだろうか。また企業の 発展を支える役割である国家機関はその予防的措置について、彼ら の努力をしっかり後支えしているのだろうか?そして、株主や企業 構成員がグローバル化した日本企業にとって、具体的な敵が目に見 えにくいサイバー・インテリジェンスへの備えは十分なのだろうか? ネットワークを通じた産業スパイはこれまで以上に見えない敵と の対峙となる上、その実態や実情は明るみに出ない恐れがある。そ の上、サイバースパイの被害は実世界と違って規模が“増幅”し、 指数的に増大するのである。 例えば、日本と同じ技術大国のドイツは東西政治経済の中継地と して、前門にロシア・中国という大口顧客であるが抜け目ない軍事 スパイ大国がおり、後門には同盟国ではあるものの大国の威信と覇 権を固持しようとする英米の諜報機関が隙なく監視している。2014 年 7 月メルケル首相が訪中の際、李克強首相との共同記者会見の場 で、「ドイツは産業スパイに反対する」とのメッセージを毅然と発信 した。これは決して「中国」がその犯人だと名指しをした訳ではない
−42− −43− ものの、周囲から中国詣と揶揄された訪中時に、あえて中国にスパ イ行為への牽制を行い、自国の防諜姿勢を示そうとしたのは間違い ない。強面の大口顧客の前で正々堂々と当たり前のメッセージを発 することの意義を日本の政財官界のリーダーはどのように意識して いるだろうか。日本人は中国や韓国の隣国への陰口は多いものの、 あえて正当な主張をすることを政治的な意味合いを含め、慎重に避 けている。これは正確な事実を踏まえた主張が出来ないという理由 もあるが、正確な事実を収集しようというインテリジェンスの能力 や体制が企業や国内情報機関には欠けているという実態もまた真実 である。ドイツの場合、メルケル首相の訪中に合わせて、ドイツの 防諜機関・連邦憲法擁護庁(BfV)がロシア及び中国の産業スパイに 対する警戒を露わにしたインタビューを国内有力新聞紙にて行い、 BfV のハンス・ゲオルク・マーセン長官は中国の産業スパイがドイ ツ国内に 10 万人以上いるとした。また、その被害も 5000 万ユーロ に及ぶと指摘した。もちろん、前述したようにスパイが自分をスパ イだと意識している訳ではないし、詐取した情報が実際に活用され ているかもわからない。10 万人というスパイの数も職業スパイとい う訳ではなく、2 万 7000 人もの中国人留学生が高等教育を受け、卒 業後に就職し、いずれ帰国する可能性が高い彼らもまたスパイと見 なしているのだと思われる。確かに、留学生に対し、国家的な働き かけがなくとも、重要な政府機関や企業でのキャリアを形成し、将 来帰国してその能力をアピールするならば、その行動は国益に資す るに違いない。また彼らが自国で得られない希少な情報を集めるの は留学生の当然の特権かつ“責務”だと考えている節もあるだろう。 容貌や文化での違いが目立つドイツ国内での中国人のスパイ活動 がもしこのような規模の産業スパイを可能としているならば、日本 語が流暢な中国人が生活の隅々に浸透している日本での諜報活動が 如何に容易かも推察できるだろう。もちろん産業スパイ行為は国家 のためというより、利害が一致する日本人を籠絡して行われる場合 も多いので中国人である必要もない。また日本の企業同士のスパイ 行為も多々あるだろう。軍事分野でのインテリジェンス同様、スパ イの対象は敵の優位性を把握する点にあり、そのため相手を評価出 来る能力が必要なのである。謀略やサボタージュではなく、戦略的 互恵関係もまた選択肢である。その意味において防諜(カウンター・ インテリジェンス)だけではなく、敵への合法的諜報活動(コーポ レート・インテリジェンスやビジネス・インテリジェンス)もまた 重要な任務なのである。 2 産業スパイ(industrial espionage)の手口と傾向について サイバー時代における産業スパイ事件の特徴とも言えるのが、盗 み出す機密情報の量が極端に多くなるという問題がある。当然、得 た情報が生み出す利益や影響も大きくなる。 2012 年 4 月 19 日、新日鉄住金がかつて研究開発部門にいた元社 員と韓国企業のポスコ日本法人を相手取り不正競争防止法に基づき 986 億円の損害賠償と同製品の製造・販売の差し止を求める訴訟を 起こした。この新日鉄住金とポスコの紛争は新日鉄住金が 40 年以上 かけて改良を重ねた「方向性電磁鋼板」の製造技術が韓国人社員に よって盗用された事件である。同社はこの技術を当然営業秘密とし て管理していたものの、中国の製鉄会社への秘密漏えい事件で韓国 検察に逮捕・起訴されたこの元ポスコ研究員の供述で、最初に新日 鉄住金の営業秘密が韓国のポスコに漏洩し、さらに韓国から中国に 情報が流れたという事実が判明する。問題の鋼板は方向性電磁鋼板 という特殊でかつ高機能の鋼板であり、当時世界シェアの 3 割を新 日鉄が占めていたのである。それがこの機密情報を取得したポスコ が 2004 年頃から急に品質を向上させ、現在のシェアは約 2 割になっ たのであった。当然、現在のポスコは巨額の賠償金の支払いに加え、 失った信頼や特許の使用料などで経営状況は破産寸前の危うい状況 にある。ただし、このような内部犯行は防ぐ手立てが限られる上、 企業のコアコンピタンスが丸ごと失われてしまうという危険がある。 また、これも特殊な技術であるが、中国航空産業のスパイであった ドングファン・ジョング(Dong-fan Chung)がロックウェルとボーイ
−44− −45− ングのエンジニアとして勤務した際のスパイ行為が発覚した事件があ る(注 2)。逮捕時、彼の自宅からは 4 つのファイル・キャビネットが 埋まる機密文書 25 万ページが発見された。まだ紙の文書や磁気テー プや大きなフロッピーディスクでしか管理していなかった 1979 年か ら 2006 年頃にわたって彼と仲介者(handler)によって流出した情報 だと推測される。今日であればCD-ROM 1枚で済む量である。つまり、 サイバー時代の情報漏洩の特徴は物理的制約が少なく、短い期間に 大量のデータが外部に漏れ、さらにその他の企業に二次流出、三次 流出してしまう危険が伴うのである。電子化された機密情報を大量に 詐取した例としては、2009 年に米 Valspar 社の元従業員が約 2000 万ドル相当の独自の塗料配合を不法にダウンロードし、中国に売り渡 そうと画策した事件がある。この被害規模は同年の利益の約 8 分の 1 に相当する。このように独自の薬品や化学物質の調合などもスパイ行 為の目的となりやすい(コカコーラの調合の機密管理が厳しいことは 有名であるが、食品のレシピや化粧品の調合率などは特に狙われや すい)。手に入る内部情報と不正アクセス権限の組み合わせで、より 確信を持って機密情報へと近づき、電子化された情報を丸ごと奪う (もしくは徐々に盗む)ことが益々容易になったと言える。 近年、日本でも営業秘密の社外への無断持ち出しで問題となった ケースは公開されている情報でも多々ある。2006 年 8 月 10 日、ニコ ングループの主任研究員が軍事用の光学通信関連技術を在日ロシア 通商代表部職員のロシア人に渡した容疑で、警視庁公安部が 2 人を 書類送検したニコン事件。2007 年 3 月 16 日、デンソーの中国人技 術者が自動車関連製品の図面を大量にダウンロードした会社のパソ コンを無断で持ち出したとして、愛知県刈谷市在住の容疑者1人を 横領の疑いで逮捕したデンソー事件。2012 年 3 月 27 日、工作機械 大手ヤマザキマザックのサーバにアクセスし、同社の秘密情報を複 製したとして、同社社員で中国籍の容疑者1人を不正競争防止法違 反容疑で逮捕したヤマザキマザック事件。本事件では、不正に社内 の機密データを持ち出そうとした中国人社員が、社用パソコンの IP アドレスを繰り返し改変し、情報複製を続けていたことが発覚する。 これは犯人が同社を退職することが決まった後も大量のデータをダウ ンロードしていることを不審に思った会社が調査した結果に不正が明 らかになったのだった。これらは実名や国籍、身分を明らかにしたま まのスパイ行為であるが、全くの匿名性のままネットワーク経由で不 正アクセスし、何年もの間社内のパソコンにウィルスを潜伏させたま ま機会を窺い、ほとんど痕跡も残さずデータを詐取し、そのまま盗ま れたこと自体が判明しないままになる事件も数多くあると考えられ る。最近の ATP 攻撃のように、特定の機密情報へのアクセス権限を 所有している立場の人間のアカウントやパスワードを取得ばかりか、 ランサムウェアという本人が盗まれたとは言い出しづらい情報やプラ イベートな情報を暗号化し、その暗号化を解除するためのゆすりやた かり、恐喝による犯行の自供を強制するなどする事件が生じている。 また事件が発覚しても、企業が事件そのものに注目が集まらないよう 配慮し、内々の事件として処理をしようとする動きも見られる。 具体的かつ典型的なサイバースパイの事例として、2016 年 1 月、 スイスの軍事航空宇宙企業 RUAG のネットワークが不正侵入され る事件がある。報道によると 2014 年 9 月頃からネットワークに侵 入されていたことが分かった(注 3)。「Turla」と呼ばれるマルウェ アを感染させ、データを外部の制御用サーバに転送させ、そのサー バから感染デバイスに新しい権限を割り当てていた。その上、侵入 したネットワークの内部では感染デバイス同士で秘匿通信を行い、 検出を難しくしていた。この攻撃自体は、特に高度な手口ではない ものの、狙いを定めた相手のみを標的とする ATP 攻撃を仕掛け、 ひとつのネットワークへの侵入に成功すると、慎重かつ時間をかけ て他のデバイスへと感染範囲を広げ、徐々に高い権限を獲得すると いう点において、企業は敵と同様あるいはそれ以上の忍耐強い努力 を強いる。目指していた標的の一つは Active Directory であり、最 終的に各データのパーミッション(データの書き込み・削除・アク セス権限)やグループメンバーシップの管理権限を得ていた。これ は組織権限と重要情報の結びつきを確信していたことを意味する。
−46− −47− 報告書によれば、こうした攻撃を阻止、あるいは検出するためのセ キュリティ対策の多くはそれほどコストがかかるものではなく、そ れなりの労力を費やせば実装できるとの指摘をしている。ただし、 この話には続きがある。同年の 3 月、スイスの国営メディアサイト 「SwissInfo」が RUAG へ不正アクセスによってスイス軍のエリート 兵士の個人情報が漏洩し、新たな身分を与える必要に迫られている 事実を明らかにした。すなわち防衛省との密接な関係のある RUAG には 3 万人にも及ぶ連邦職員や国会議員のデータベースへ のアクセス権限を保持していることも大きな事件であったのであ る。さらに犯行はロシアのハッカーによって実行され、スイス軍の 海外での危険任務に当たる DRA10 特殊部隊のメンバーの個人情報 にアクセスしていたとの事実も判明した。 この二つの事件が同一の犯人かつロシアによる国家的な諜報活動 かどうかは明らかになっていないものの、通常下請け企業が持ち得 ない高いデータベースアクセス権限を企業に与えていたという“ク ラウン・ジュエル”な価値と RUAG の特殊な立場を知ることで標 的を定め、惜しみない時間と労力をかけることで、企業のサーバか ら国家の安全保障に関わる情報を得ることに成功していたことは事 実である。実際、CIA や NSA のような利益度外視の国家諜報機関 のハッカーにかかれば、防御の手段はあってないようなものなので ある。つまり、サイバー空間のみならずソーシャルエンジニアリン グ等、“あらゆる手段”を駆使すれば、その攻撃は高度かつ多様で あり、経路も多岐にわたるために完全な防御が技術的には事実上不 可能になってしまうのである。では、そのような高度な情報はどこ にあっても防げないと諦めるべきなのだろうか? (注 2)米・国家防諜部(OFFICE OF THE COUNTERINTELLIGENCE EXECTIVE)による『海外スパイによる米国産業機密のサイバー空間 における窃盗行為:外国産業の情報収集活動と経済諜報行為に関する 議会報告書 2009-2011(Foreign Spies Stealing US Economic Secrets in Cyberspace, Report to Congress on Foreign Economic Collection and Industrial Espionage)』https://www.ncsc.gov/publications/reports/ fecie_all/Foreign_Economic_Collection_2011.pdf (注 3)軍需産業を狙うサイバースパイの活動詳細、スイス当局が手口を公 開-ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/ articles/1605/26/news062.htm 3 経営者の人間的資質が試される心理戦とその支援の必要性 実のところサイバーセキュリティに“完全”という言葉はない。そ れどころか、投資に比例して安心と呼べる仕組みすらないと言える。 言えるのは、相手がかかるコストが対象を詐取するよりも自前で開 発するのに比べて高くなれば、不正に入手する意志は萎えてしまう ということだけである。よって数々の不正アクセスを自動的に検出 し、防御すると言われるシステムは防御側にとってお金で買う安心 に過ぎない。そもそも高度なサイバー攻撃や内部の関係者の人間心 理に付け込んだソーシャルエンジニアリングと呼ばれる手法を駆使 すれば、システムでは防ぎようがないからである。確かに企業の CERT(Computer Emergency Response Team)を構築し、マルウェ アや不正アクセスを監視するシステムを導入し、アクセスログやプ ロキシーログを解析することは敵の攻撃を見つけて、防御に役立つ のは間違いないが、もし社長やその秘書の情報リテラシーが極端に 低く、脇が甘ければ、その他すべての対策は無意味になってしまう のである。逆に社長や業界のトップが先導し、守るべき価値の重要 性を説き、倫理や規範(企業ガヴァナンスやコンプライアンス)に忠 実であるならば、敵は相手を変えるか、必要以上のコストで攻撃に 望まなくてはならなくなる。情報戦は心理戦であり、敵もまた自分 の手の内が知られているのではないかとの疑念を晴らすことは出来 ないのである。もし自社に産業スパイや個人的な事情から情報流出 に関与する内部犯行者がいたとして、その抑止となる有効な手段は、 そのような人材ですら背信を咎める人間関係や、厚い信頼関係が求 められるに過ぎない。そもそも抜け目のない仕事ぶりで上司として 尊敬されるなら、情報の詐取だけで対抗できる企業ではない、との 報告がスパイの上司へ報告されるだろうからである。また、そのよ
−48− −49− うな安直な手段では常にイノベーションを求め、競合先の先手先手 を打ち続け、業界において、表面的なビジネスモデルや特許をなぞ るだけで優位性の逆転は望めないと悟るに違いない。前述したよう にネットワークは長所(コアコンピタンス)をより強化し、短所(脆 弱性)を露わにしてしまう“増幅”の効果がある。組織の防衛能力が 不揃いなのはその統一性の無さによって足元をすくわれるからであ る。敵がクラウン・ジュエルを得たとしても、王冠にふさわしい王 がいなければその業界のトップには決してなり得ないのである。 昨年度、米国における中国によるサイバースパイ活動は減少の傾 向が見られたという。これは 2014 年に中国人民解放軍の第 61398 部隊に属する 5 人のハッカーによる産業スパイを米司法省が起訴 (注 4)することで、オバマ政権が示した明確なプレゼンスがその効 果をもたらした好事例だと言える。逆にロシアや日本、韓国への軍 事的意図を持った不正アクセスは増加したのだという。攻撃が脆弱 な箇所に流れる典型的な事例である。サイバー攻撃の防御をただ単 に自動的なシステムやソフトウェアで追い求めるのは、敵と向き合 うことを避けているかのようなプレゼンスを与え、逆効果をもたら しかねない。時に敵と対峙し、こちらが攻撃を把握し、そこに立ち 向かっていることを示すだけでも、敵はより一層慎重な行動を行わ ざるを得なくなる。先のドイツの BfV、ハンス・ゲオルク・マーセ ン長官は中国だけでなくロシアもテレビ番組で名指しして警告を出 している。このように技術の高さを誇るよりも、常々監視している ことの圧力をかけることで相手が警戒するコストを高める努力の方 が効果的なのである。逆に技術に慢心しているのを見せることこそ 危険極まりない行為はない。警告する相手も遠くにはおらず、身近 なところにいて聞き耳を立てているものなのである。もちろん米国 の場合、政治的なアプローチだけでなく、2017 会計年度の予算教 書においてサイバー攻撃対策費を 190 億ドル計上しているのだか ら、内実の伴ったプレゼンスだと言えるだろう。オバマ政権では、 これを「あらゆる手段」を用いたアプローチと呼んだ。因みに日本 のサイバーセキュリティ予算はその 20 分の 1 にも満たない 742.8 億円(平成 28 年度予算概算要求額)である。 このように時間も予算も限られた環境にいるならば、ちょっとし た奇計をサイバー空間上で実行することも可能だろう。頑張って 『孫子』を読むのも良いが、サイバー空間上の“増幅”の効果を逆手 に取るならば「嘘つきの七面鳥」効果という偽計を採ることもでき る。つまりミクロとマクロの行動を自分の内面では一致させても、 他人にはわからないよう振る舞う作戦である。この名称はマーク・ トウェインのある短編小説から取ったものらしい。私はノーベル賞 を受賞した物理学者ロバート・B・ラフリンの著書『物理学の未来 (A Different Universe)』で、この話を知った。その話の中では主人 公が一羽の七面鳥を狩ろうとしたとき、その七面鳥が怪我をしたふ りをして、ハンターを巣から遠ざけようとした様子が描かれている。 彼はその七面鳥を何度も仕留め損ない、何キロメートルもさまよっ たあげくにやっと、実は獲物を追いつめていたのではなく、騙され ていたということに気づいたという話である。恒常的な防護 (detection)や防御(protection)の行動パターンは複雑なほどであ ればある程相手を戸惑わせ、防護の背景にある隠された意図が突き 止められるのを防ぐことが出来るという高度な心理戦である。また 敵にはそうしたミクロの法則を発見してもいないのに発見したと思 わせて、騙すのである。ここまでくると CIA とでも戦える普遍的 なインテリジェンス戦のレベルである。それに、この方法は時に味 方にも有効なのである。身の回りに潜伏したスパイに長期的展望や 戦略上の気づきを与えるものの、一つ一つの戦術上の規則性は自ら 編み出すよう促すのである。このような働きかけは無能な社員やス パイには拷問のようなプレッシャーを与えるものの、そのプレッ シャーを乗り越えて得た自発的発見や能力は彼らの貴重な資産にな るに違いない。楽をして盗むつもりのスパイは訓練され、教育され、 自分の努力で技術を得ることになる。どのみち優秀なスタッフは国 籍を問わず、自社からスピンアウトして競合になるのであって、そ れを防ぐことは出来ない。それに特定の国籍のスタッフだけに情報
−50− −51− を限定し、警戒するというのは非現実的であり、無意味である。日 本人の振りをした外国人スパイが背乗り(ハイノリ=身分や戸籍の 乗っ取り)したとしても突き止めるのは極めて困難だからである。 よって防護の壁を高くしたいのなら、他人への無差別な懐疑よりも、 敵との共通目的に至る高度な課題を設定することで、敵の能力すら 利用するぐらいの気持ちを持つべきなのである。そこに付いて来ら れない人材は国籍問わず篩(ふるい)落とせば良いのである。その 意味で以下の社長の体験談から得られる教訓は多いようで少ない。 なぜなら知財による排他的機能は中国の法支配の及ばぬところであ り、法的予防策に見合う防護の機能を果たしていないからである。 実際、裁判に勝っても相手の操業を差し止められなかった現実があ る。とは言え、彼らの修羅場を物語として知るのは重要である。 ⃝ 中国人の「産業スパイ」被害に遭った社長が告白「我が社はこ うして機密を盗まれた」(『週刊現代』講談社) http://gendai. ismedia.jp/articles/-/42097 ⃝ 中国における営業秘密漏えいの実態、及びこれに対する効果的 な対応方策(IPA) https://www.ipa.go.jp/files/000043950.pdf ⃝ 中国における営業秘密の管理・その流出と対応に関する実態調 査 報 告 書(JETRO)https://www.jetro.go.jp/ext_images/world/ asia/cn/ip/report/201209.pdf 個人的な信頼を仇で返され、裏切られたことへの同情を禁じ得な いものの、経営者が曖昧な基準で、無差別に警戒心を露わにしては 社内の雰囲気を不信で満たし、ベンチャーとしての挑戦的気質を後 退させてしまうだろう。この社長がこれ以上努力すべきことは、よ り価値のあるビジネスへの邁進であって、ここから先の政治的解決 は国家の責務だからである。 (注 4)米連邦捜査局による中国人民軍所属ハッカー 5 人の合衆国に向けた サイバー諜報活動への告訴(FBI - Five Chinese Military Hackers Charged with Cyber Espionage Against U.S.)http://www.fbi.gov/ news/news_blog/five-chinese-military-hackers-charged-with- cyberespionage-against-u.s

Recommended

日本の企業文化特性を生かした中堅企業グローバル化の促進について  
日本の企業文化特性を生かした中堅企業グローバル化の促進について  日本の企業文化特性を生かした中堅企業グローバル化の促進について  
日本の企業文化特性を生かした中堅企業グローバル化の促進について  
Hiroshi Takahashi
 
ベンチャー企業・中小企業と大企業とがうまく連携し、事業を急成長させるには!
ベンチャー企業・中小企業と大企業とがうまく連携し、事業を急成長させるには!ベンチャー企業・中小企業と大企業とがうまく連携し、事業を急成長させるには!
ベンチャー企業・中小企業と大企業とがうまく連携し、事業を急成長させるには!
ブレークスルーパートナーズ 赤羽雄二
 
夏サミ 2013 基調講演 長沢パート資料 #natsumiS1
夏サミ 2013 基調講演 長沢パート資料 #natsumiS1夏サミ 2013 基調講演 長沢パート資料 #natsumiS1
夏サミ 2013 基調講演 長沢パート資料 #natsumiS1
智治 長沢
 
ネットワーク深化による産業革新
ネットワーク深化による産業革新ネットワーク深化による産業革新
ネットワーク深化による産業革新
Hiroshi Takahashi
 
エンジニアの未来サミット for student
エンジニアの未来サミット for studentエンジニアの未来サミット for student
エンジニアの未来サミット for student
真一 藤川
 
バックキャスティング思考を用いたコア技術戦略の実践
バックキャスティング思考を用いたコア技術戦略の実践バックキャスティング思考を用いたコア技術戦略の実践
バックキャスティング思考を用いたコア技術戦略の実践
Yuichiro KATO
 
オープンイノベーションの現状と取り組み
オープンイノベーションの現状と取り組みオープンイノベーションの現状と取り組み
オープンイノベーションの現状と取り組み
ブレークスルーパートナーズ 赤羽雄二
 
ユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイント
Recruit Technologies
 

Recommended

日本の企業文化特性を生かした中堅企業グローバル化の促進について  
日本の企業文化特性を生かした中堅企業グローバル化の促進について  日本の企業文化特性を生かした中堅企業グローバル化の促進について  
日本の企業文化特性を生かした中堅企業グローバル化の促進について  
Hiroshi Takahashi
 
ベンチャー企業・中小企業と大企業とがうまく連携し、事業を急成長させるには!
ベンチャー企業・中小企業と大企業とがうまく連携し、事業を急成長させるには!ベンチャー企業・中小企業と大企業とがうまく連携し、事業を急成長させるには!
ベンチャー企業・中小企業と大企業とがうまく連携し、事業を急成長させるには!
ブレークスルーパートナーズ 赤羽雄二
 
夏サミ 2013 基調講演 長沢パート資料 #natsumiS1
夏サミ 2013 基調講演 長沢パート資料 #natsumiS1夏サミ 2013 基調講演 長沢パート資料 #natsumiS1
夏サミ 2013 基調講演 長沢パート資料 #natsumiS1
智治 長沢
 
ネットワーク深化による産業革新
ネットワーク深化による産業革新ネットワーク深化による産業革新
ネットワーク深化による産業革新
Hiroshi Takahashi
 
エンジニアの未来サミット for student
エンジニアの未来サミット for studentエンジニアの未来サミット for student
エンジニアの未来サミット for student
真一 藤川
 
バックキャスティング思考を用いたコア技術戦略の実践
バックキャスティング思考を用いたコア技術戦略の実践バックキャスティング思考を用いたコア技術戦略の実践
バックキャスティング思考を用いたコア技術戦略の実践
Yuichiro KATO
 
オープンイノベーションの現状と取り組み
オープンイノベーションの現状と取り組みオープンイノベーションの現状と取り組み
オープンイノベーションの現状と取り組み
ブレークスルーパートナーズ 赤羽雄二
 
ユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイント
Recruit Technologies
 
202007it
202007it202007it
202007it
ssuser8f26b1
 
IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~
IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~ IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~
IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~
Koichi Sasaki
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
Tatsuo Kudo
 
メタナショナルVer1.0
メタナショナルVer1.0メタナショナルVer1.0
メタナショナルVer1.0
tmitter
 
Mirai carved out by innovations
Mirai carved out by innovationsMirai carved out by innovations
Mirai carved out by innovations
Osaka University
 
Sangyo2009 05
Sangyo2009 05Sangyo2009 05
Sangyo2009 05
Akao Koichi
 
ユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイント
Recruit Technologies
 
My lifebusinessplan / Japanese
My lifebusinessplan / JapaneseMy lifebusinessplan / Japanese
My lifebusinessplan / Japanese
Mita Norihiro
 
AIやブロックチェーンなどのデジタル活用企業に対する投資・買収等のM&A支援サービス
AIやブロックチェーンなどのデジタル活用企業に対する投資・買収等のM&A支援サービスAIやブロックチェーンなどのデジタル活用企業に対する投資・買収等のM&A支援サービス
AIやブロックチェーンなどのデジタル活用企業に対する投資・買収等のM&A支援サービス
munjapan
 
TEPCO電力需要予測コンテスト
TEPCO電力需要予測コンテストTEPCO電力需要予測コンテスト
TEPCO電力需要予測コンテスト
ReNom User Group
 
2030年を見据えた中小企業の経営戦略~SDGs時代とテクノロジーの指数関数的成長~
2030年を見据えた中小企業の経営戦略~SDGs時代とテクノロジーの指数関数的成長~2030年を見据えた中小企業の経営戦略~SDGs時代とテクノロジーの指数関数的成長~
2030年を見据えた中小企業の経営戦略~SDGs時代とテクノロジーの指数関数的成長~
Kentaro Imai
 
リクルーティングパートナーシップのご提案 β版1.2
リクルーティングパートナーシップのご提案 β版1.2リクルーティングパートナーシップのご提案 β版1.2
リクルーティングパートナーシップのご提案 β版1.2
DIVE INTO CODE Corp.
 
デジタル化推進に向け、今できること(PMシンポジウム2019講演資料)
デジタル化推進に向け、今できること(PMシンポジウム2019講演資料)デジタル化推進に向け、今できること(PMシンポジウム2019講演資料)
デジタル化推進に向け、今できること(PMシンポジウム2019講演資料)
IT VALUE EXPERTS Inc.
 
前期ゼミ プレゼン2回
前期ゼミ プレゼン2回前期ゼミ プレゼン2回
前期ゼミ プレゼン2回
祥太郎 松尾
 
急成長を遂げる日本のスタートアップ市場.pdf
急成長を遂げる日本のスタートアップ市場.pdf急成長を遂げる日本のスタートアップ市場.pdf
急成長を遂げる日本のスタートアップ市場.pdf
Shogo11
 
エンジニアポートフォリオプラットフォーム
エンジニアポートフォリオプラットフォームエンジニアポートフォリオプラットフォーム
エンジニアポートフォリオプラットフォーム
聡 小嶋
 
ディープラーニング開発組織のつくり方と運営ノウハウ_DLLAB Case Study Day
ディープラーニング開発組織のつくり方と運営ノウハウ_DLLAB Case Study Dayディープラーニング開発組織のつくり方と運営ノウハウ_DLLAB Case Study Day
ディープラーニング開発組織のつくり方と運営ノウハウ_DLLAB Case Study Day
Deep Learning Lab(ディープラーニング・ラボ)
 
屋内測位システム開発&応用:住友電工IoT研での事例
屋内測位システム開発&応用:住友電工IoT研での事例屋内測位システム開発&応用:住友電工IoT研での事例
屋内測位システム開発&応用:住友電工IoT研での事例
Kurata Takeshi
 
経営とIT:いま起こっていることと「これから」(20120718)
経営とIT:いま起こっていることと「これから」(20120718)経営とIT:いま起こっていることと「これから」(20120718)
経営とIT:いま起こっていることと「これから」(20120718)
Jun Kawahara
 
リクルートにおけるセキュリティ施策方針とCSIRT組織運営のポイント
リクルートにおけるセキュリティ施策方針とCSIRT組織運営のポイントリクルートにおけるセキュリティ施策方針とCSIRT組織運営のポイント
リクルートにおけるセキュリティ施策方針とCSIRT組織運営のポイント
Recruit Technologies
 
20150408_Tamagawa-Univ_Service-Managemnet-sp
20150408_Tamagawa-Univ_Service-Managemnet-sp20150408_Tamagawa-Univ_Service-Managemnet-sp
20150408_Tamagawa-Univ_Service-Managemnet-sp
Kunihiro Maeda
 
201528 ossip international_securities-04
201528 ossip international_securities-04201528 ossip international_securities-04
201528 ossip international_securities-04
Kunihiro Maeda
 

More Related Content

Similar to 技術立国のためのサイバー防諜  ― サイバー攻撃が問う経営者の資質と 企業のコアコンピタンス ―

IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~
IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~ IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~
IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~
Koichi Sasaki
 
メタナショナルVer1.0
メタナショナルVer1.0メタナショナルVer1.0
メタナショナルVer1.0
tmitter
 
エンジニアポートフォリオプラットフォーム
エンジニアポートフォリオプラットフォームエンジニアポートフォリオプラットフォーム
エンジニアポートフォリオプラットフォーム
聡 小嶋
 
屋内測位システム開発&応用:住友電工IoT研での事例
屋内測位システム開発&応用:住友電工IoT研での事例屋内測位システム開発&応用:住友電工IoT研での事例
屋内測位システム開発&応用:住友電工IoT研での事例
Kurata Takeshi
 
経営とIT:いま起こっていることと「これから」(20120718)
経営とIT:いま起こっていることと「これから」(20120718)経営とIT:いま起こっていることと「これから」(20120718)
経営とIT:いま起こっていることと「これから」(20120718)
Jun Kawahara
 

Similar to 技術立国のためのサイバー防諜  ― サイバー攻撃が問う経営者の資質と 企業のコアコンピタンス ― (20)

202007it
202007it202007it
202007it
 
IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~
IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~ IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~
IoTの「I」をカタチにする~インターネット企業が取り組むスピーディなIoT参入への挑戦~
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 
メタナショナルVer1.0
メタナショナルVer1.0メタナショナルVer1.0
メタナショナルVer1.0
 
Mirai carved out by innovations
Mirai carved out by innovationsMirai carved out by innovations
Mirai carved out by innovations
 
Sangyo2009 05
Sangyo2009 05Sangyo2009 05
Sangyo2009 05
 
ユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイントユーザー企業内製CSIRTにおける対応のポイント
ユーザー企業内製CSIRTにおける対応のポイント
 
My lifebusinessplan / Japanese
My lifebusinessplan / JapaneseMy lifebusinessplan / Japanese
My lifebusinessplan / Japanese
 
AIやブロックチェーンなどのデジタル活用企業に対する投資・買収等のM&A支援サービス
AIやブロックチェーンなどのデジタル活用企業に対する投資・買収等のM&A支援サービスAIやブロックチェーンなどのデジタル活用企業に対する投資・買収等のM&A支援サービス
AIやブロックチェーンなどのデジタル活用企業に対する投資・買収等のM&A支援サービス
 
TEPCO電力需要予測コンテスト
TEPCO電力需要予測コンテストTEPCO電力需要予測コンテスト
TEPCO電力需要予測コンテスト
 
2030年を見据えた中小企業の経営戦略~SDGs時代とテクノロジーの指数関数的成長~
2030年を見据えた中小企業の経営戦略~SDGs時代とテクノロジーの指数関数的成長~2030年を見据えた中小企業の経営戦略~SDGs時代とテクノロジーの指数関数的成長~
2030年を見据えた中小企業の経営戦略~SDGs時代とテクノロジーの指数関数的成長~
 
リクルーティングパートナーシップのご提案 β版1.2
リクルーティングパートナーシップのご提案 β版1.2リクルーティングパートナーシップのご提案 β版1.2
リクルーティングパートナーシップのご提案 β版1.2
 
デジタル化推進に向け、今できること(PMシンポジウム2019講演資料)
デジタル化推進に向け、今できること(PMシンポジウム2019講演資料)デジタル化推進に向け、今できること(PMシンポジウム2019講演資料)
デジタル化推進に向け、今できること(PMシンポジウム2019講演資料)
 
前期ゼミ プレゼン2回
前期ゼミ プレゼン2回前期ゼミ プレゼン2回
前期ゼミ プレゼン2回
 
急成長を遂げる日本のスタートアップ市場.pdf
急成長を遂げる日本のスタートアップ市場.pdf急成長を遂げる日本のスタートアップ市場.pdf
急成長を遂げる日本のスタートアップ市場.pdf
 
エンジニアポートフォリオプラットフォーム
エンジニアポートフォリオプラットフォームエンジニアポートフォリオプラットフォーム
エンジニアポートフォリオプラットフォーム
 
ディープラーニング開発組織のつくり方と運営ノウハウ_DLLAB Case Study Day
ディープラーニング開発組織のつくり方と運営ノウハウ_DLLAB Case Study Dayディープラーニング開発組織のつくり方と運営ノウハウ_DLLAB Case Study Day
ディープラーニング開発組織のつくり方と運営ノウハウ_DLLAB Case Study Day
 
屋内測位システム開発&応用:住友電工IoT研での事例
屋内測位システム開発&応用:住友電工IoT研での事例屋内測位システム開発&応用:住友電工IoT研での事例
屋内測位システム開発&応用:住友電工IoT研での事例
 
経営とIT:いま起こっていることと「これから」(20120718)
経営とIT:いま起こっていることと「これから」(20120718)経営とIT:いま起こっていることと「これから」(20120718)
経営とIT:いま起こっていることと「これから」(20120718)
 
リクルートにおけるセキュリティ施策方針とCSIRT組織運営のポイント
リクルートにおけるセキュリティ施策方針とCSIRT組織運営のポイントリクルートにおけるセキュリティ施策方針とCSIRT組織運営のポイント
リクルートにおけるセキュリティ施策方針とCSIRT組織運営のポイント
 

More from Kunihiro Maeda

20150408_Tamagawa-Univ_Service-Managemnet-sp
20150408_Tamagawa-Univ_Service-Managemnet-sp20150408_Tamagawa-Univ_Service-Managemnet-sp
20150408_Tamagawa-Univ_Service-Managemnet-sp
Kunihiro Maeda
 
東大新図書館トークイベント Vo.3 『境界条件』2013/10/18
東大新図書館トークイベント Vo.3 『境界条件』2013/10/18東大新図書館トークイベント Vo.3 『境界条件』2013/10/18
東大新図書館トークイベント Vo.3 『境界条件』2013/10/18
Kunihiro Maeda
 
東大総合図書館新館プロジェクトプレス発表会資料
東大総合図書館新館プロジェクトプレス発表会資料東大総合図書館新館プロジェクトプレス発表会資料
東大総合図書館新館プロジェクトプレス発表会資料
Kunihiro Maeda
 
北海道大学大学院講演2010年10月19日
北海道大学大学院講演2010年10月19日北海道大学大学院講演2010年10月19日
北海道大学大学院講演2010年10月19日
Kunihiro Maeda
 
防衛研究所講演2013014配布用
防衛研究所講演2013014配布用防衛研究所講演2013014配布用
防衛研究所講演2013014配布用
Kunihiro Maeda
 
国際安全保障学会20121209配布用最終
国際安全保障学会20121209配布用最終国際安全保障学会20121209配布用最終
国際安全保障学会20121209配布用最終
Kunihiro Maeda
 
尾道大学情報処理センター20121113
尾道大学情報処理センター20121113尾道大学情報処理センター20121113
尾道大学情報処理センター20121113
Kunihiro Maeda
 
大阪大学大学院国際公共政策学科20121030
大阪大学大学院国際公共政策学科20121030大阪大学大学院国際公共政策学科20121030
大阪大学大学院国際公共政策学科20121030
Kunihiro Maeda
 
Lectutre for kinshasa20120222
Lectutre for kinshasa20120222Lectutre for kinshasa20120222
Lectutre for kinshasa20120222
Kunihiro Maeda
 
JAGAT20111019印刷白書Seminar
JAGAT20111019印刷白書SeminarJAGAT20111019印刷白書Seminar
JAGAT20111019印刷白書Seminar
Kunihiro Maeda
 
国会図書館20110216
国会図書館20110216国会図書館20110216
国会図書館20110216
Kunihiro Maeda
 

More from Kunihiro Maeda (18)

20150408_Tamagawa-Univ_Service-Managemnet-sp
20150408_Tamagawa-Univ_Service-Managemnet-sp20150408_Tamagawa-Univ_Service-Managemnet-sp
20150408_Tamagawa-Univ_Service-Managemnet-sp
 
201528 ossip international_securities-04
201528 ossip international_securities-04201528 ossip international_securities-04
201528 ossip international_securities-04
 
Keep in touch for cyber peace_20150212
Keep in touch for cyber peace_20150212Keep in touch for cyber peace_20150212
Keep in touch for cyber peace_20150212
 
OSIPP_グローバル・ガバナンス論_20150105
OSIPP_グローバル・ガバナンス論_20150105OSIPP_グローバル・ガバナンス論_20150105
OSIPP_グローバル・ガバナンス論_20150105
 
東大新図書館トークイベント Vo.3 『境界条件』2013/10/18
東大新図書館トークイベント Vo.3 『境界条件』2013/10/18東大新図書館トークイベント Vo.3 『境界条件』2013/10/18
東大新図書館トークイベント Vo.3 『境界条件』2013/10/18
 
東大総合図書館新館プロジェクトプレス発表会資料
東大総合図書館新館プロジェクトプレス発表会資料東大総合図書館新館プロジェクトプレス発表会資料
東大総合図書館新館プロジェクトプレス発表会資料
 
日本知財学会シンポジウム前田130620
日本知財学会シンポジウム前田130620日本知財学会シンポジウム前田130620
日本知財学会シンポジウム前田130620
 
北海道大学大学院講演2010年10月19日
北海道大学大学院講演2010年10月19日北海道大学大学院講演2010年10月19日
北海道大学大学院講演2010年10月19日
 
防衛研究所講演2013014配布用
防衛研究所講演2013014配布用防衛研究所講演2013014配布用
防衛研究所講演2013014配布用
 
国際安全保障学会20121209配布用最終
国際安全保障学会20121209配布用最終国際安全保障学会20121209配布用最終
国際安全保障学会20121209配布用最終
 
尾道大学情報処理センター20121113
尾道大学情報処理センター20121113尾道大学情報処理センター20121113
尾道大学情報処理センター20121113
 
大阪大学大学院国際公共政策学科20121030
大阪大学大学院国際公共政策学科20121030大阪大学大学院国際公共政策学科20121030
大阪大学大学院国際公共政策学科20121030
 
Lectutre for kinshasa20120222
Lectutre for kinshasa20120222Lectutre for kinshasa20120222
Lectutre for kinshasa20120222
 
「知」が拡散する時代アーカイブ・キュレーション
「知」が拡散する時代アーカイブ・キュレーション「知」が拡散する時代アーカイブ・キュレーション
「知」が拡散する時代アーカイブ・キュレーション
 
JAGAT20111019印刷白書Seminar
JAGAT20111019印刷白書SeminarJAGAT20111019印刷白書Seminar
JAGAT20111019印刷白書Seminar
 
国会図書館20110216
国会図書館20110216国会図書館20110216
国会図書館20110216
 
科学コミュニケーション研究会年次大会口頭発表2011light
科学コミュニケーション研究会年次大会口頭発表2011light科学コミュニケーション研究会年次大会口頭発表2011light
科学コミュニケーション研究会年次大会口頭発表2011light
 
Tamagawa univ20110426
Tamagawa univ20110426Tamagawa univ20110426
Tamagawa univ20110426
 

Recently uploaded

COMPANY PROFILE - 5分でわかるフライク - 【株式会社フライク会社紹介資料】
COMPANY PROFILE - 5分でわかるフライク - 【株式会社フライク会社紹介資料】COMPANY PROFILE - 5分でわかるフライク - 【株式会社フライク会社紹介資料】
COMPANY PROFILE - 5分でわかるフライク - 【株式会社フライク会社紹介資料】
Flyke1
 
営業資料_会社概要(アフィ) _24051511111111111111.pdf
営業資料_会社概要(アフィ) _24051511111111111111.pdf営業資料_会社概要(アフィ) _24051511111111111111.pdf
営業資料_会社概要(アフィ) _24051511111111111111.pdf
ssuserfb441f
 
2405_インパクトレポート/会社概要_雨風太陽
2405_インパクトレポート/会社概要_雨風太陽2405_インパクトレポート/会社概要_雨風太陽
2405_インパクトレポート/会社概要_雨風太陽
AmeKazeTaiyo
 
【サービス紹介資料】株式会社フライクってどんな会社? - 企業の組織改革・DX推進を加速するフライクのサービス
【サービス紹介資料】株式会社フライクってどんな会社? - 企業の組織改革・DX推進を加速するフライクのサービス【サービス紹介資料】株式会社フライクってどんな会社? - 企業の組織改革・DX推進を加速するフライクのサービス
【サービス紹介資料】株式会社フライクってどんな会社? - 企業の組織改革・DX推進を加速するフライクのサービス
Flyke1
 
motto whitepaper 20240514forsaleshub.pdf
motto whitepaper 20240514forsaleshub.pdfmotto whitepaper 20240514forsaleshub.pdf
motto whitepaper 20240514forsaleshub.pdf
harukatakiguchi
 

Recently uploaded (14)

COMPANY PROFILE - 5分でわかるフライク - 【株式会社フライク会社紹介資料】
COMPANY PROFILE - 5分でわかるフライク - 【株式会社フライク会社紹介資料】COMPANY PROFILE - 5分でわかるフライク - 【株式会社フライク会社紹介資料】
COMPANY PROFILE - 5分でわかるフライク - 【株式会社フライク会社紹介資料】
 
日本上場SaaS企業データを使った経験曲線の分析|売上成長によるコストダウン戦略
日本上場SaaS企業データを使った経験曲線の分析|売上成長によるコストダウン戦略日本上場SaaS企業データを使った経験曲線の分析|売上成長によるコストダウン戦略
日本上場SaaS企業データを使った経験曲線の分析|売上成長によるコストダウン戦略
 
株式会社Asobicaが提供するロイヤル顧客プラットフォームcoorum概要資料
株式会社Asobicaが提供するロイヤル顧客プラットフォームcoorum概要資料株式会社Asobicaが提供するロイヤル顧客プラットフォームcoorum概要資料
株式会社Asobicaが提供するロイヤル顧客プラットフォームcoorum概要資料
 
Broadmedia Corporation. 240510fy2023_4q
Broadmedia Corporation. 240510fy2023_4qBroadmedia Corporation. 240510fy2023_4q
Broadmedia Corporation. 240510fy2023_4q
 
営業資料_会社概要(アフィ) _24051511111111111111.pdf
営業資料_会社概要(アフィ) _24051511111111111111.pdf営業資料_会社概要(アフィ) _24051511111111111111.pdf
営業資料_会社概要(アフィ) _24051511111111111111.pdf
 
2405_インパクトレポート/会社概要_雨風太陽
2405_インパクトレポート/会社概要_雨風太陽2405_インパクトレポート/会社概要_雨風太陽
2405_インパクトレポート/会社概要_雨風太陽
 
Golfcart Vision_202407_09_mediaguide.pdf
Golfcart Vision_202407_09_mediaguide.pdfGolfcart Vision_202407_09_mediaguide.pdf
Golfcart Vision_202407_09_mediaguide.pdf
 
company profile.pdf
company profile.pdfcompany profile.pdf
company profile.pdf
 
株式会社Human Matureの会社紹介および事業紹介資料_20240514.pdf
株式会社Human Matureの会社紹介および事業紹介資料_20240514.pdf株式会社Human Matureの会社紹介および事業紹介資料_20240514.pdf
株式会社Human Matureの会社紹介および事業紹介資料_20240514.pdf
 
共有用_aio基本保守プラン_WordPressサイト_20240509.pdf
共有用_aio基本保守プラン_WordPressサイト_20240509.pdf共有用_aio基本保守プラン_WordPressサイト_20240509.pdf
共有用_aio基本保守プラン_WordPressサイト_20240509.pdf
 
【サービス紹介資料】株式会社フライクってどんな会社? - 企業の組織改革・DX推進を加速するフライクのサービス
【サービス紹介資料】株式会社フライクってどんな会社? - 企業の組織改革・DX推進を加速するフライクのサービス【サービス紹介資料】株式会社フライクってどんな会社? - 企業の組織改革・DX推進を加速するフライクのサービス
【サービス紹介資料】株式会社フライクってどんな会社? - 企業の組織改革・DX推進を加速するフライクのサービス
 
ふりかえりを1枚で実施できる新フレームワーク(アジャイルレトロスペクティブズ2)
ふりかえりを1枚で実施できる新フレームワーク(アジャイルレトロスペクティブズ2)ふりかえりを1枚で実施できる新フレームワーク(アジャイルレトロスペクティブズ2)
ふりかえりを1枚で実施できる新フレームワーク(アジャイルレトロスペクティブズ2)
 
motto whitepaper 20240514forsaleshub.pdf
motto whitepaper 20240514forsaleshub.pdfmotto whitepaper 20240514forsaleshub.pdf
motto whitepaper 20240514forsaleshub.pdf
 
intra-mart Accel series 2024 Spring updates
intra-mart Accel series 2024 Spring updatesintra-mart Accel series 2024 Spring updates
intra-mart Accel series 2024 Spring updates
 

技術立国のためのサイバー防諜  ― サイバー攻撃が問う経営者の資質と 企業のコアコンピタンス ―

  • 1. −38− −39− 特  集 技術立国のためのサイバー防諜  ― サイバー攻撃が問う経営者の資質と 企業のコアコンピタンス ― 前 田 邦 宏 サイバー規範研究者 (Cyber-Norms Researcher) 1 “増幅”するネットワーク世界の情報戦 企業におけるイノベーションは成長の要であるが、そこには優秀な 人材の努力に加え、経営者による投資リスクが伴う。その為に投資 で得られた事業アイディアや事業モデルは企業の貴重な資産であり、 守るべき知財である。そして、それは同時にライバルである他社や 他国の産業スパイにとっての垂涎の的である。経営者はそのように 強く意識しなくてはならない。しかしながら、技術立国を目指し続け た日本にとって企業のインテリジェンスはかつて自らが行ったモノマ ネや他社への追随意識や姿勢が染み付いているせいなのか、いささ か緊張感に欠けているように思われる。情報セキュリティにおいて も、中小企業では管理職の電子メール利用の公私混同やパスワード 管理、資料の暗号化など基本的な情報管理にルーズな姿勢が見受け られる上、ネットワーク管理に至っては維持管理に追われてセキュリ ティ対策への余裕すらない。また大企業の保守的でマニュアル主義 が実務を阻害しており、イノベーションへと繋がる戦略的なインテリ ジェンスを磨くにも道が険しい。このように投資と防諜は、企業に とっても、国家にとっても重要な武器になるにも関わらず、無難に事 を済ませようとすれば、逆に国家と企業の存亡に関わる衰退の一因 になりかねない状況である。特にサイバー空間が今後、実空間と融 合する IoT 社会において、既に確立された成 功モデルは売り上げや利益率を倍増させるが、 複雑で非生産的な体制をシステムに置き換え ようとするならば、かえってその非生産性と 混乱が増す“増幅の原理”が働く。 マイクロソフト社のビル・ゲイツは以下の ように、科学の特性に根ざす本質的な課題を 明らかにしている。 「第一にどんなテクノロジーを使用する現 場においてもその自動化を促そうとするなら ば、効率的な生産工程はより効率的になり、 第二に非効率的な現場の生産工程はより非効 率的な状況に陥る(注 1)」(The first rule of any technology used in a business is that automation applied to an efficient operation will magnify the efficiency. The second is that automation applied to an inefficient operation will magnify the inefficiency.) (注 1)この言葉は、かつてマイクロソフト・リサーチに所属した外山健太 郎氏が自著『テクノロジーは貧困を救わない』にて、“増幅の原理”と して紹介している。洗練されたアルゴリズムやプログラムは効率化や 適合化が容易だが、複雑化し、混沌としたビジネスプロセスは技術で 高速化してもその非効率さは解消されるどころか“増幅”する。お金を 生む明確でシンプルな事業モデルにお金を投じれば必ず儲かるが、事 業モデルが明確化されず、単純化できない事業は技術で効率化させる ことが出来ないという原理を指摘している。外山氏はビル・ゲイツの 言葉を借りて、教育環境や事業インフラが未整備な貧困国にコンピュー タを持ち込んでも貧困解消に役立たないことを同書で述べている。 彼の場合、幸運なことに良いソフトウェア資産(知財)は利潤を 限りなく増幅し、ソフトウェアが抱える複雑性の問題は深刻なまま 現在も断ち切れない問題としてユーザーの頭痛としている。これは ネットワーク化・人工知能化した社会においてあらゆる分野に生じ る原理・原則なのである。 まえだ くにひろ 1967 年兵庫県生まれ。株式会社シンク ショナリー代表取締役。情報セキュリ ティ大学院大学博士課程前期修了(法 とガヴァナンス専攻)、情報学修士。大 阪大学大学院国際公共政策研究科招聘 研究員、国際安全保障学会会員。現在、 情報空間における法の生成発展や国際 規範醸成の研究に取り組んでいる。
  • 2. −40− −41− そもそも企業がその資産を盗まれる心配をするには、資産がどこ にどの程度あるかを認識する必要がある。これは自社のポートフォ リオを見れば良いというものではない。人材やソフトウェア資産は 短期的に数字に置き換えられない価値を有しているからである。 よって、その価値を知るには世の中の動き=マーケットとの関係を 相対的に俯瞰し続けなくてはならない。もし青色発光ダイオードの イノベーターを社内に安く囲っていたとしても、ある時その信頼関 係が破綻すれば、競合関係(訴訟リスク)になる場合もある。時に経 営者はそのような自社の魅力あるクラウン・ジュエル(事業や人材・ ブランド価値の複合的な価値)がどこにあるかを見失っていること がある。投資をせず、最初から存在している企業価値を軽んじたり、 一度失えばいくら投資しても手に入れられない強みがある事を客観 的に見ることが出来なくなるからだ。 例えば、科学技術の最新トレンドと関連した業態ならば、国内あ るいは全世界の研究開発(R&D)の投資動向を見れば、その価値が 大きなことは明らかである。2008 年、米国の科学技術分野における アメリカ国立科学財団(National Science Foundation, NSF)の投資 額は 3980 億ドルの投資である。これは米国の国内総生産(GDP)の 2.8%の規模に相当する。このような巨額の投資から得られる事業ア イデアやビジネスモデルは極めて低い確率でしか成功しない。おそ らく 0.01%にも満たない対象が、後に何百、何千倍もの事業性を生 み出すのである。そこから生まれるイノベーションは時にインター ネットのように世界を激変させる変革となるのである。もしもこの ようなリスクマネーを投じず、成果だけを得る方法があるのなら、 それは大きな誘惑となるに違いない。これこそ産業スパイがはびこ る原因なのである。ただし、こういった連中は職業スパイのような 自覚のあるものより、単に功利的で自己中心的な盗人が多いのが問 題なのである。その上、自分たちがスパイであるとか、法や倫理を 犯している感覚に乏しいのが常なのである。むしろ愛国的な行為や 義侠心に基づいた行為だと勘違いしていたりする。このような風潮 に加え、被害者である企業がこういった犯罪を野放しにし、盗まれ ても気にしない、あるいは気が付かないというお粗末な実情もある。 これは帰属する企業への責任だけでなく、社会への責任の欠如にも なる。というのも、そのような風潮が開発者のモチベーションやイ ンセンティブを毀損し、その業界のエコシステム(自律発展のメカ ニズム)の崩壊あるいはモラルハザードを促してしまうからである。 このような事態は技術立国を謳う日本のような国家において致命的 な損失になりかねないのだ。 企業は本来、情報公開を積極的に行うことで企業価値を誇示し、 自社の競争優位性を確立することが目的であり、目標である。つま り盗みたくなるような貴重な価値の存在はチラ見せしつつも、企業 防衛や技術優位性への十分な布石を示すことが重要である。国家も また毅然とした立場で、それらに対する不正行為の摘発能力と法の 支配を国際的にアピールする必要がある。だが、日本の企業におい ては、そのような努力が十分行われているのだろうか。また企業の 発展を支える役割である国家機関はその予防的措置について、彼ら の努力をしっかり後支えしているのだろうか?そして、株主や企業 構成員がグローバル化した日本企業にとって、具体的な敵が目に見 えにくいサイバー・インテリジェンスへの備えは十分なのだろうか? ネットワークを通じた産業スパイはこれまで以上に見えない敵と の対峙となる上、その実態や実情は明るみに出ない恐れがある。そ の上、サイバースパイの被害は実世界と違って規模が“増幅”し、 指数的に増大するのである。 例えば、日本と同じ技術大国のドイツは東西政治経済の中継地と して、前門にロシア・中国という大口顧客であるが抜け目ない軍事 スパイ大国がおり、後門には同盟国ではあるものの大国の威信と覇 権を固持しようとする英米の諜報機関が隙なく監視している。2014 年 7 月メルケル首相が訪中の際、李克強首相との共同記者会見の場 で、「ドイツは産業スパイに反対する」とのメッセージを毅然と発信 した。これは決して「中国」がその犯人だと名指しをした訳ではない
  • 3. −42− −43− ものの、周囲から中国詣と揶揄された訪中時に、あえて中国にスパ イ行為への牽制を行い、自国の防諜姿勢を示そうとしたのは間違い ない。強面の大口顧客の前で正々堂々と当たり前のメッセージを発 することの意義を日本の政財官界のリーダーはどのように意識して いるだろうか。日本人は中国や韓国の隣国への陰口は多いものの、 あえて正当な主張をすることを政治的な意味合いを含め、慎重に避 けている。これは正確な事実を踏まえた主張が出来ないという理由 もあるが、正確な事実を収集しようというインテリジェンスの能力 や体制が企業や国内情報機関には欠けているという実態もまた真実 である。ドイツの場合、メルケル首相の訪中に合わせて、ドイツの 防諜機関・連邦憲法擁護庁(BfV)がロシア及び中国の産業スパイに 対する警戒を露わにしたインタビューを国内有力新聞紙にて行い、 BfV のハンス・ゲオルク・マーセン長官は中国の産業スパイがドイ ツ国内に 10 万人以上いるとした。また、その被害も 5000 万ユーロ に及ぶと指摘した。もちろん、前述したようにスパイが自分をスパ イだと意識している訳ではないし、詐取した情報が実際に活用され ているかもわからない。10 万人というスパイの数も職業スパイとい う訳ではなく、2 万 7000 人もの中国人留学生が高等教育を受け、卒 業後に就職し、いずれ帰国する可能性が高い彼らもまたスパイと見 なしているのだと思われる。確かに、留学生に対し、国家的な働き かけがなくとも、重要な政府機関や企業でのキャリアを形成し、将 来帰国してその能力をアピールするならば、その行動は国益に資す るに違いない。また彼らが自国で得られない希少な情報を集めるの は留学生の当然の特権かつ“責務”だと考えている節もあるだろう。 容貌や文化での違いが目立つドイツ国内での中国人のスパイ活動 がもしこのような規模の産業スパイを可能としているならば、日本 語が流暢な中国人が生活の隅々に浸透している日本での諜報活動が 如何に容易かも推察できるだろう。もちろん産業スパイ行為は国家 のためというより、利害が一致する日本人を籠絡して行われる場合 も多いので中国人である必要もない。また日本の企業同士のスパイ 行為も多々あるだろう。軍事分野でのインテリジェンス同様、スパ イの対象は敵の優位性を把握する点にあり、そのため相手を評価出 来る能力が必要なのである。謀略やサボタージュではなく、戦略的 互恵関係もまた選択肢である。その意味において防諜(カウンター・ インテリジェンス)だけではなく、敵への合法的諜報活動(コーポ レート・インテリジェンスやビジネス・インテリジェンス)もまた 重要な任務なのである。 2 産業スパイ(industrial espionage)の手口と傾向について サイバー時代における産業スパイ事件の特徴とも言えるのが、盗 み出す機密情報の量が極端に多くなるという問題がある。当然、得 た情報が生み出す利益や影響も大きくなる。 2012 年 4 月 19 日、新日鉄住金がかつて研究開発部門にいた元社 員と韓国企業のポスコ日本法人を相手取り不正競争防止法に基づき 986 億円の損害賠償と同製品の製造・販売の差し止を求める訴訟を 起こした。この新日鉄住金とポスコの紛争は新日鉄住金が 40 年以上 かけて改良を重ねた「方向性電磁鋼板」の製造技術が韓国人社員に よって盗用された事件である。同社はこの技術を当然営業秘密とし て管理していたものの、中国の製鉄会社への秘密漏えい事件で韓国 検察に逮捕・起訴されたこの元ポスコ研究員の供述で、最初に新日 鉄住金の営業秘密が韓国のポスコに漏洩し、さらに韓国から中国に 情報が流れたという事実が判明する。問題の鋼板は方向性電磁鋼板 という特殊でかつ高機能の鋼板であり、当時世界シェアの 3 割を新 日鉄が占めていたのである。それがこの機密情報を取得したポスコ が 2004 年頃から急に品質を向上させ、現在のシェアは約 2 割になっ たのであった。当然、現在のポスコは巨額の賠償金の支払いに加え、 失った信頼や特許の使用料などで経営状況は破産寸前の危うい状況 にある。ただし、このような内部犯行は防ぐ手立てが限られる上、 企業のコアコンピタンスが丸ごと失われてしまうという危険がある。 また、これも特殊な技術であるが、中国航空産業のスパイであった ドングファン・ジョング(Dong-fan Chung)がロックウェルとボーイ
  • 4. −44− −45− ングのエンジニアとして勤務した際のスパイ行為が発覚した事件があ る(注 2)。逮捕時、彼の自宅からは 4 つのファイル・キャビネットが 埋まる機密文書 25 万ページが発見された。まだ紙の文書や磁気テー プや大きなフロッピーディスクでしか管理していなかった 1979 年か ら 2006 年頃にわたって彼と仲介者(handler)によって流出した情報 だと推測される。今日であればCD-ROM 1枚で済む量である。つまり、 サイバー時代の情報漏洩の特徴は物理的制約が少なく、短い期間に 大量のデータが外部に漏れ、さらにその他の企業に二次流出、三次 流出してしまう危険が伴うのである。電子化された機密情報を大量に 詐取した例としては、2009 年に米 Valspar 社の元従業員が約 2000 万ドル相当の独自の塗料配合を不法にダウンロードし、中国に売り渡 そうと画策した事件がある。この被害規模は同年の利益の約 8 分の 1 に相当する。このように独自の薬品や化学物質の調合などもスパイ行 為の目的となりやすい(コカコーラの調合の機密管理が厳しいことは 有名であるが、食品のレシピや化粧品の調合率などは特に狙われや すい)。手に入る内部情報と不正アクセス権限の組み合わせで、より 確信を持って機密情報へと近づき、電子化された情報を丸ごと奪う (もしくは徐々に盗む)ことが益々容易になったと言える。 近年、日本でも営業秘密の社外への無断持ち出しで問題となった ケースは公開されている情報でも多々ある。2006 年 8 月 10 日、ニコ ングループの主任研究員が軍事用の光学通信関連技術を在日ロシア 通商代表部職員のロシア人に渡した容疑で、警視庁公安部が 2 人を 書類送検したニコン事件。2007 年 3 月 16 日、デンソーの中国人技 術者が自動車関連製品の図面を大量にダウンロードした会社のパソ コンを無断で持ち出したとして、愛知県刈谷市在住の容疑者1人を 横領の疑いで逮捕したデンソー事件。2012 年 3 月 27 日、工作機械 大手ヤマザキマザックのサーバにアクセスし、同社の秘密情報を複 製したとして、同社社員で中国籍の容疑者1人を不正競争防止法違 反容疑で逮捕したヤマザキマザック事件。本事件では、不正に社内 の機密データを持ち出そうとした中国人社員が、社用パソコンの IP アドレスを繰り返し改変し、情報複製を続けていたことが発覚する。 これは犯人が同社を退職することが決まった後も大量のデータをダウ ンロードしていることを不審に思った会社が調査した結果に不正が明 らかになったのだった。これらは実名や国籍、身分を明らかにしたま まのスパイ行為であるが、全くの匿名性のままネットワーク経由で不 正アクセスし、何年もの間社内のパソコンにウィルスを潜伏させたま ま機会を窺い、ほとんど痕跡も残さずデータを詐取し、そのまま盗ま れたこと自体が判明しないままになる事件も数多くあると考えられ る。最近の ATP 攻撃のように、特定の機密情報へのアクセス権限を 所有している立場の人間のアカウントやパスワードを取得ばかりか、 ランサムウェアという本人が盗まれたとは言い出しづらい情報やプラ イベートな情報を暗号化し、その暗号化を解除するためのゆすりやた かり、恐喝による犯行の自供を強制するなどする事件が生じている。 また事件が発覚しても、企業が事件そのものに注目が集まらないよう 配慮し、内々の事件として処理をしようとする動きも見られる。 具体的かつ典型的なサイバースパイの事例として、2016 年 1 月、 スイスの軍事航空宇宙企業 RUAG のネットワークが不正侵入され る事件がある。報道によると 2014 年 9 月頃からネットワークに侵 入されていたことが分かった(注 3)。「Turla」と呼ばれるマルウェ アを感染させ、データを外部の制御用サーバに転送させ、そのサー バから感染デバイスに新しい権限を割り当てていた。その上、侵入 したネットワークの内部では感染デバイス同士で秘匿通信を行い、 検出を難しくしていた。この攻撃自体は、特に高度な手口ではない ものの、狙いを定めた相手のみを標的とする ATP 攻撃を仕掛け、 ひとつのネットワークへの侵入に成功すると、慎重かつ時間をかけ て他のデバイスへと感染範囲を広げ、徐々に高い権限を獲得すると いう点において、企業は敵と同様あるいはそれ以上の忍耐強い努力 を強いる。目指していた標的の一つは Active Directory であり、最 終的に各データのパーミッション(データの書き込み・削除・アク セス権限)やグループメンバーシップの管理権限を得ていた。これ は組織権限と重要情報の結びつきを確信していたことを意味する。
  • 5. −46− −47− 報告書によれば、こうした攻撃を阻止、あるいは検出するためのセ キュリティ対策の多くはそれほどコストがかかるものではなく、そ れなりの労力を費やせば実装できるとの指摘をしている。ただし、 この話には続きがある。同年の 3 月、スイスの国営メディアサイト 「SwissInfo」が RUAG へ不正アクセスによってスイス軍のエリート 兵士の個人情報が漏洩し、新たな身分を与える必要に迫られている 事実を明らかにした。すなわち防衛省との密接な関係のある RUAG には 3 万人にも及ぶ連邦職員や国会議員のデータベースへ のアクセス権限を保持していることも大きな事件であったのであ る。さらに犯行はロシアのハッカーによって実行され、スイス軍の 海外での危険任務に当たる DRA10 特殊部隊のメンバーの個人情報 にアクセスしていたとの事実も判明した。 この二つの事件が同一の犯人かつロシアによる国家的な諜報活動 かどうかは明らかになっていないものの、通常下請け企業が持ち得 ない高いデータベースアクセス権限を企業に与えていたという“ク ラウン・ジュエル”な価値と RUAG の特殊な立場を知ることで標 的を定め、惜しみない時間と労力をかけることで、企業のサーバか ら国家の安全保障に関わる情報を得ることに成功していたことは事 実である。実際、CIA や NSA のような利益度外視の国家諜報機関 のハッカーにかかれば、防御の手段はあってないようなものなので ある。つまり、サイバー空間のみならずソーシャルエンジニアリン グ等、“あらゆる手段”を駆使すれば、その攻撃は高度かつ多様で あり、経路も多岐にわたるために完全な防御が技術的には事実上不 可能になってしまうのである。では、そのような高度な情報はどこ にあっても防げないと諦めるべきなのだろうか? (注 2)米・国家防諜部(OFFICE OF THE COUNTERINTELLIGENCE EXECTIVE)による『海外スパイによる米国産業機密のサイバー空間 における窃盗行為:外国産業の情報収集活動と経済諜報行為に関する 議会報告書 2009-2011(Foreign Spies Stealing US Economic Secrets in Cyberspace, Report to Congress on Foreign Economic Collection and Industrial Espionage)』https://www.ncsc.gov/publications/reports/ fecie_all/Foreign_Economic_Collection_2011.pdf (注 3)軍需産業を狙うサイバースパイの活動詳細、スイス当局が手口を公 開-ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/ articles/1605/26/news062.htm 3 経営者の人間的資質が試される心理戦とその支援の必要性 実のところサイバーセキュリティに“完全”という言葉はない。そ れどころか、投資に比例して安心と呼べる仕組みすらないと言える。 言えるのは、相手がかかるコストが対象を詐取するよりも自前で開 発するのに比べて高くなれば、不正に入手する意志は萎えてしまう ということだけである。よって数々の不正アクセスを自動的に検出 し、防御すると言われるシステムは防御側にとってお金で買う安心 に過ぎない。そもそも高度なサイバー攻撃や内部の関係者の人間心 理に付け込んだソーシャルエンジニアリングと呼ばれる手法を駆使 すれば、システムでは防ぎようがないからである。確かに企業の CERT(Computer Emergency Response Team)を構築し、マルウェ アや不正アクセスを監視するシステムを導入し、アクセスログやプ ロキシーログを解析することは敵の攻撃を見つけて、防御に役立つ のは間違いないが、もし社長やその秘書の情報リテラシーが極端に 低く、脇が甘ければ、その他すべての対策は無意味になってしまう のである。逆に社長や業界のトップが先導し、守るべき価値の重要 性を説き、倫理や規範(企業ガヴァナンスやコンプライアンス)に忠 実であるならば、敵は相手を変えるか、必要以上のコストで攻撃に 望まなくてはならなくなる。情報戦は心理戦であり、敵もまた自分 の手の内が知られているのではないかとの疑念を晴らすことは出来 ないのである。もし自社に産業スパイや個人的な事情から情報流出 に関与する内部犯行者がいたとして、その抑止となる有効な手段は、 そのような人材ですら背信を咎める人間関係や、厚い信頼関係が求 められるに過ぎない。そもそも抜け目のない仕事ぶりで上司として 尊敬されるなら、情報の詐取だけで対抗できる企業ではない、との 報告がスパイの上司へ報告されるだろうからである。また、そのよ
  • 6. −48− −49− うな安直な手段では常にイノベーションを求め、競合先の先手先手 を打ち続け、業界において、表面的なビジネスモデルや特許をなぞ るだけで優位性の逆転は望めないと悟るに違いない。前述したよう にネットワークは長所(コアコンピタンス)をより強化し、短所(脆 弱性)を露わにしてしまう“増幅”の効果がある。組織の防衛能力が 不揃いなのはその統一性の無さによって足元をすくわれるからであ る。敵がクラウン・ジュエルを得たとしても、王冠にふさわしい王 がいなければその業界のトップには決してなり得ないのである。 昨年度、米国における中国によるサイバースパイ活動は減少の傾 向が見られたという。これは 2014 年に中国人民解放軍の第 61398 部隊に属する 5 人のハッカーによる産業スパイを米司法省が起訴 (注 4)することで、オバマ政権が示した明確なプレゼンスがその効 果をもたらした好事例だと言える。逆にロシアや日本、韓国への軍 事的意図を持った不正アクセスは増加したのだという。攻撃が脆弱 な箇所に流れる典型的な事例である。サイバー攻撃の防御をただ単 に自動的なシステムやソフトウェアで追い求めるのは、敵と向き合 うことを避けているかのようなプレゼンスを与え、逆効果をもたら しかねない。時に敵と対峙し、こちらが攻撃を把握し、そこに立ち 向かっていることを示すだけでも、敵はより一層慎重な行動を行わ ざるを得なくなる。先のドイツの BfV、ハンス・ゲオルク・マーセ ン長官は中国だけでなくロシアもテレビ番組で名指しして警告を出 している。このように技術の高さを誇るよりも、常々監視している ことの圧力をかけることで相手が警戒するコストを高める努力の方 が効果的なのである。逆に技術に慢心しているのを見せることこそ 危険極まりない行為はない。警告する相手も遠くにはおらず、身近 なところにいて聞き耳を立てているものなのである。もちろん米国 の場合、政治的なアプローチだけでなく、2017 会計年度の予算教 書においてサイバー攻撃対策費を 190 億ドル計上しているのだか ら、内実の伴ったプレゼンスだと言えるだろう。オバマ政権では、 これを「あらゆる手段」を用いたアプローチと呼んだ。因みに日本 のサイバーセキュリティ予算はその 20 分の 1 にも満たない 742.8 億円(平成 28 年度予算概算要求額)である。 このように時間も予算も限られた環境にいるならば、ちょっとし た奇計をサイバー空間上で実行することも可能だろう。頑張って 『孫子』を読むのも良いが、サイバー空間上の“増幅”の効果を逆手 に取るならば「嘘つきの七面鳥」効果という偽計を採ることもでき る。つまりミクロとマクロの行動を自分の内面では一致させても、 他人にはわからないよう振る舞う作戦である。この名称はマーク・ トウェインのある短編小説から取ったものらしい。私はノーベル賞 を受賞した物理学者ロバート・B・ラフリンの著書『物理学の未来 (A Different Universe)』で、この話を知った。その話の中では主人 公が一羽の七面鳥を狩ろうとしたとき、その七面鳥が怪我をしたふ りをして、ハンターを巣から遠ざけようとした様子が描かれている。 彼はその七面鳥を何度も仕留め損ない、何キロメートルもさまよっ たあげくにやっと、実は獲物を追いつめていたのではなく、騙され ていたということに気づいたという話である。恒常的な防護 (detection)や防御(protection)の行動パターンは複雑なほどであ ればある程相手を戸惑わせ、防護の背景にある隠された意図が突き 止められるのを防ぐことが出来るという高度な心理戦である。また 敵にはそうしたミクロの法則を発見してもいないのに発見したと思 わせて、騙すのである。ここまでくると CIA とでも戦える普遍的 なインテリジェンス戦のレベルである。それに、この方法は時に味 方にも有効なのである。身の回りに潜伏したスパイに長期的展望や 戦略上の気づきを与えるものの、一つ一つの戦術上の規則性は自ら 編み出すよう促すのである。このような働きかけは無能な社員やス パイには拷問のようなプレッシャーを与えるものの、そのプレッ シャーを乗り越えて得た自発的発見や能力は彼らの貴重な資産にな るに違いない。楽をして盗むつもりのスパイは訓練され、教育され、 自分の努力で技術を得ることになる。どのみち優秀なスタッフは国 籍を問わず、自社からスピンアウトして競合になるのであって、そ れを防ぐことは出来ない。それに特定の国籍のスタッフだけに情報
  • 7. −50− −51− を限定し、警戒するというのは非現実的であり、無意味である。日 本人の振りをした外国人スパイが背乗り(ハイノリ=身分や戸籍の 乗っ取り)したとしても突き止めるのは極めて困難だからである。 よって防護の壁を高くしたいのなら、他人への無差別な懐疑よりも、 敵との共通目的に至る高度な課題を設定することで、敵の能力すら 利用するぐらいの気持ちを持つべきなのである。そこに付いて来ら れない人材は国籍問わず篩(ふるい)落とせば良いのである。その 意味で以下の社長の体験談から得られる教訓は多いようで少ない。 なぜなら知財による排他的機能は中国の法支配の及ばぬところであ り、法的予防策に見合う防護の機能を果たしていないからである。 実際、裁判に勝っても相手の操業を差し止められなかった現実があ る。とは言え、彼らの修羅場を物語として知るのは重要である。 ⃝ 中国人の「産業スパイ」被害に遭った社長が告白「我が社はこ うして機密を盗まれた」(『週刊現代』講談社) http://gendai. ismedia.jp/articles/-/42097 ⃝ 中国における営業秘密漏えいの実態、及びこれに対する効果的 な対応方策(IPA) https://www.ipa.go.jp/files/000043950.pdf ⃝ 中国における営業秘密の管理・その流出と対応に関する実態調 査 報 告 書(JETRO)https://www.jetro.go.jp/ext_images/world/ asia/cn/ip/report/201209.pdf 個人的な信頼を仇で返され、裏切られたことへの同情を禁じ得な いものの、経営者が曖昧な基準で、無差別に警戒心を露わにしては 社内の雰囲気を不信で満たし、ベンチャーとしての挑戦的気質を後 退させてしまうだろう。この社長がこれ以上努力すべきことは、よ り価値のあるビジネスへの邁進であって、ここから先の政治的解決 は国家の責務だからである。 (注 4)米連邦捜査局による中国人民軍所属ハッカー 5 人の合衆国に向けた サイバー諜報活動への告訴(FBI - Five Chinese Military Hackers Charged with Cyber Espionage Against U.S.)http://www.fbi.gov/ news/news_blog/five-chinese-military-hackers-charged-with- cyberespionage-against-u.s