セキュリティ」タグアーカイブ

バックアップは悩ましい

投稿日時: 投稿者:

日本の企業がランサムウェアに狙われるケースが、ここ数年継続的に報告されていますが、専門企業による調査などによれば、いまだその水準は高い傾向なようです。

被害に遭ったという企業の公表などを見ていると、手持ちのデータやファイルが暗号化されてしまったのか、暗号化されてしまったものは復旧できたのか、といったことは、あまり書かれていないことが多いように感じます。それが書いてあるときは大抵、取得していたバックアップからの復旧に成功した場合、という印象です。顧客や取引先への報告の必要がないならば、対外的に公表することは最小限にしたいという考えなのだろうと推察されます。

どの企業でもデータのバックアップについては、一定の配慮と対策をしているようですが、それで安泰ではないのが実態かもしれません。ある調査では、ここ数年以内でランサムウェアの被害に遭った企業の 7 割は完全に復旧できなかった、バックアップデータまでがランサムウェアにより暗号化されたという企業は 5 割弱もいた、という結果もあるようです。

バックアップ対策は、当社でも継続的に考えていることですが、いまだに悩ましく、絶対の自信と高い利便性がある解は導き出せていません。どの対策にしても一長一短、という印象があります。

まず、多くの人が業務で利用する Windows には、バックアップ機能が標準で複数種類内蔵されています。追加料金なく利用ができ、使わない手はありません。特に端末を交換する用事があるときには、これらの機能はとても便利です。ただし、会社の BCP 対策という意味でのバックアップとしては、どの機能もどこか一癖ある印象が否めません。Windows だけに委ねる気には、個人的にはなれないと考えています。

近年推奨されているバックアップのベストプラクティスに、「3-2-1ルール」というものがあります。このルールでは、データは(コピー 2 つを含む)3 個、保管する記録メディアは 2 種類、会社の管轄外のオフサイトに 1 つを移して保管、というアクションを推奨しています。

このような保管のしかたにしておけば、データのいずれかは有事にもアクセス可能な状態として残っている可能性が高いということです。とても有効なルールだと思います。

ただしこのルールの中で、「オフサイトに保管」というのが案外面倒でハードルが高いところがあります。一方で、企業の事業継続を問われる有事において、おそらく最も頼りになると想定されるのが、オフサイトに保管したバックアップと思われます。ここで手を抜くことはできません。

例えば、バックアップ保管先の候補としてよく挙がり、利用が多いのが、外付けのストレージや、NAS と呼ばれるネットワーク越しに接続するストレージです。いずれでも、簡単な設定とバックアップソフトの利用で、ファイルだけでなくシステムを丸ごとバックアップすることが可能になります。大容量のストレージでも最近はかなり価格がこなれてきて、小さな企業でも購入しやすくなっています。会社で使っているすべてのパソコンやサーバーのバックアップも可能でしょう。

ただし最大の難点は、これらが「つながってしまう」ということです。ランサムウェアによる暗号化を回避するには、感染させられたパソコンやサーバーから「見えない」状態、つまりネットワークから切り離されたオフサイトにバックアップが存在する必要があります。外付けストレージや NAS ではこの問題に対応できないのです。

ネットワークでつながっている場所へのバックアップは容易に実施ができますし、ファイルが壊れた、パソコンが故障した、などの日常的に起こり得るリスクへの対応では、迅速に復旧対応できることから便利な選択肢です。整備しておきたいですが、これだけだと脆弱なのが現実です。

クラウドはどうでしょうか。クラウドのストレージは会社からは切り離されており、オフサイトの預け先として考えることができます。多くの事業者のサービスは機能も充実している傾向があり、利便性は高いです。暗号化保存や世代管理も可能ですし、モノによっては、一度書き込んだものは二度と更新できないようにして攻撃被害から守る設定ができるものもあります。

これは考え方の問題になると思います。クラウド事業者を信頼し、全面的に預けて問題ないと思うなら、クラウドはオフサイトの預け先にできるでしょう。一方で、会社のデータ「すべて」を他社に預けるというのはやはりリスクが高い、と考えることもできます。クラウド事業者の技術レベルがどれだけ高いとしても、人間が管理していることに変わりはありません。あり得ないミスも、恣意的な不正行為も、今後一切ないとは言い切れません。実際、昨年7月に発生したGoogle Cloudにおける人為ミスなど、そうした「事故」は、過去に大手クラウド事業者などで複数回発生しています。

そしてもちろん、クラウドにデータを預けると、継続的にコストを支払い続けることになります。バックアップデータが増えれば、その分コストも増える可能性があります。普段は保管しているだけのデータに支払う料金として見合うのか、という判断も出てくるでしょう。

オフサイトの保存先として他に考えられるものとしてテープドライブもありますが、過去も現在もあまり使いやすいものではありません。古い技術なようで案外有用ということで、実はいまだに生き残って現役で使われています。

小さな企業なら、大容量のUSBメモリか外付けSSDを使って定期的にバックアップを取得し、普段はシステムから切り離して保管する、という方法があります。この方法の難点は、自動にできない(そうすると意味がない)ので、例えば週1回など定期的に手動でUSBポートに挿してバックアップを取得することになってしまうところです。面倒はありますが、コストは最小限で実現でき、条件次第ではオフサイト保管の現実解かと思います。

現状では、上記のようにいろいろとある選択肢の中から、自社の環境や条件に合うものを複数組み合わせて整備する、ということになるでしょう。しかしそれでもなお、決定版にはなかなかなりません。どこかに弱さや手間が残りますし、最後は人間の運用にかかってくる側面もあります。ただ、この分野はまだ技術や利便性の面で進歩が見られ、自社にとって使い勝手がよいソフトや技術がこれから発見できる可能性も大いにあると思います。継続して情報を得ていきたいところです。

AI ブームはリアルかバブルか、先を見る

投稿日時: 投稿者:

1月末、株式市場で大幅に値を下げる事態が起こりました。日経平均は一時 1000 円以上値を下げ、ダウ平均も一時 500 ドル以上下がりました。いわゆる「DeepSeek ショック」と呼ばれる事態ですが、きっかけは中国の AI スタートアップ企業が公開した LLM(大規模言語モデル)です。その性能が ChatGPT を開発する OpenAI の最新モデルにも匹敵するとされながら圧倒的な低コストで開発されたと知れ渡り、膨大な投資を続ける AI 関連企業の株価が大幅に下落した、ということでした。

背景にあるのは、「スケーリング則」と呼ばれる、AI 開発の世界で信じられている経験則です。AI モデルを開発するにあたって、モデルの性能は、学習に利用する「データの量」「計算量」「モデルのパラメーター数」の3つが大きくなればなるほど向上する、という法則です。この法則に従う格好で、資金力のあるビッグテック企業を中心に数十兆円にもなる大規模な設備投資を行い、これら3要素をふんだんに扱える能力を高め、性能の高いモデルを生み出して我が物にする、という競争を続けています。かの DeepSeek はこの経験則を完全に覆すようなものを世間に出してきた、ということから、株価の大幅下落につながりました。

しかし直後から、DeepSeek のモデル開発に疑念の声が挙がり始め、その性能や品質にも各方面から問題の指摘が相次ぎ、スケーリング則の信頼が覆されたわけではないという認識が広がりました。どういう認識が正しいのかは、わたし個人はよくわかりませんが、いまのところ騒動は沈静化しているように思われます。

ただ、このような動揺がある意味で容易に広がってしまうあたり、現在起こっている AI の開発競争は一種のバブルの要素をはらんでいるというリスクを、頭の片隅には置いておいたほうがよいのかもしれません。AI に欠かせないことになっている GPU の製造の事実上一社独占、資金力にものを言わせる巨大企業による AI モデル開発の寡占、モデル開発に伴う超大規模な投資競争、等々。いびつな構造は数々思いつくわけで、バブルのニオイがしないのかと言われれば、そうなのかもしれません。

ビッグテック企業が挙って開発している AI モデルは LLM ですが、おカネをかけている開発している企業の多くは、現状ではクローズドなモデルを開発しています。つまり、技術を独占して公開しない方針ということです。それとは異なり、オープンソースで LLM を開発している企業もあり、それが米メタや、今回話題になった DeepSeek など中国系の企業です。DeepSeek も、メタが開発した LLM を利用したとされています。

もし今後、オープンソース系の LLM のほうが性能やコスト面でクローズドなモデルを凌駕し、モデルのスタンダードになるのだとしたら、AI モデルはコモディティ化し、誰でもローコストで利用できるものになるかもしれません。または、GPU 以外の選択肢が現れることでインフラコストが下がり、学習コストは議論にならなくなるかもしれません。

LLM に関しては、AI 研究の権威として著名なヤン・ルカン氏は、LLM をこのまま進化させたとしても性能は頭打ちになるだろうと予言しているようです。端的にその主張をまとめれば、次のような内容です。LLM は「言語」に基づいてモデルを生成しているが、人間世界では非言語で処理している情報も多い。現実の世界の一部しか言語は表現できないので、言語にしか基づかないモデルにはおのずと限界がある、と。他にも、言語というものは実は曖昧で厳密さに欠ける、少なくとも数学が持つような意味の厳密さはない、だから思考能力の向上には限界がある、という指摘もあります。

そうなると、いまのところ信じられているスケーリング則は、やはり将来のどこかで、再び疑念を持たれる事態が待っているのかもしれません。

仮にスケーリング則の信頼がこのまま揺らがないとしても、モデル開発への巨額な投資を前提とする AI 開発企業が、このままビジネスを続けていけるのかどうかわかりません。そうした企業で現在までに、健全な黒字経営で成長できている企業はあるのでしょうか。巨額の赤字をほぼ外部企業の出資で賄っている企業、出資金が不足して徐々に首が回らなくなり始めている企業、等々の話はたびたび聞くようになってきています。

単に AI を利用するだけの立場なら、あまり気にせず高みの見物を決め込んでおいても問題はなさそうです。もし、自前で LLM を開発して世間の先端を行こうとしているか、そういう会社に設備を提供すべくインフラ投資に勤しもうとしているか、そんな会社なら少々立ち止まって先を読んでみるのも必要かもしれません。

単なる利用者に徹するとしても、少なくとも、利用する LLM や AI モデルを簡単に入れ替えられるようにしておくことは、利便性の面だけでなくリスクヘッジの意味でも大事でしょう。案外、考えて使っていないといつの間にかベンダーロックインされているということは、よくあります。

そして当然ながら、自社のデータ、または、意識すれば自社所有のデータにできるような情報、を簡単にサービス事業者に明け渡さない、預けないことです。データがロックされるか失われて、気づいたときにはもう取り戻せない、取り消せない、という事態になるリスクは、外部サービスを利用するなら常に想定しておいた方が身のためです。なにぶん残念なことに、銀行の貸金庫に保管している大事な資産も、気づいたらなくなっているような世の中です。

DXを語る前に、まず「ITの運用」ができるか

投稿日時: 投稿者:

2022年10月末に、大阪急性期・総合医療センターという病院でシステム障害が発生し、通常診療が全面停止する事態になりました。

その原因となったのは、ランサムウェアによる攻撃でした。電子カルテシステムを含む院内のデータが暗号化されて利用できなくなり、緊急手術以外の外来診療の一時停止を余儀なくされたのです。同病院は、攻撃者から脅迫を受けながらも、全システムを再構築により完全復旧させる方針を決断し、それに3カ月程度かけることにしました。

聞くところでは、この規模の大病院になると、医療機関としての総合的な運営コストは、1日当たり1億円程度になるのだそうです。通常診療ができないということであれば、そのコストがただ毎日出ていくだけの日々を、約3カ月の間過ごすという決定を下したことになります。それでもシステムの全面再構築の道を選んだわけですから、容易な判断ではなかったでしょう。

その攻撃被害の原因や再発防止策を検討した調査報告書が、2023年3月末に公表されました。

報告書では今回の攻撃を許した原因を整理して指摘しており、部外者の我々も対策を考えるうえで参考になる内容になっています。その中でわたしが注目したことのひとつに、攻撃者の侵入のきっかけになったとされている、外部の給食事業者の存在があります。

攻撃者は、同病院の入院患者向けの給食提供を業務委託で行っていたこの事業者が所有するファイアウォールを破って侵入し、その会社の業務サーバーを乗っ取りました。そこで、同病院のサーバーへの認証情報を得て、同病院が管理する給食サーバーへ横展開していったということです。

このファイアウォールは、給食事業者のシステム構築を担当したベンダーがリモート保守で用いるために、外部からのアクセスを可能にするように認証設定されていました。ところが、ファイアウォールの装置自体がもつ脆弱性が放置されていた状態でした。その脆弱性を突かれたため、アクセスのためのIDとパスワードが窃取されたといいます。

わたしがなぜこの給食事業者に注目したかと言えば、この事業者は侵入のきっかけを作ったそのファイアウォールについて、「存在を知らなかった」と答えているというからです。

このような話、つまり、自分たちがどのような装置や機器を使っているのかを全く把握していない(特に中小)企業というのは、典型的な「あるある話」です。厳に改めるべきことなのです。

そもそも、ITを導入する企業が十分認識すべきことがあります。それは、何らかのITを導入する時点で、その企業には「運用業務」が発生するということです。

運用業務とはつまり、自社が管理すべきIT関連の資産をすべて把握し、それらの資産の適切な取り扱い方法や設定を定めて、適切な動作を継続するように業務を設計して遂行する、というようなことを指します。このとき、自社の管轄ではないが自社のシステムへの影響が避けられない外部の装置やシステムについても、管理責任は軽減されはするものの、自社管理とほぼ同等のケアが必要です。

問題になったファイアウォールが、この給食事業者の資産だったのであれば、管理責任は給食事業者にあります。「存在を知らなかった」では済まされません。

もしベンダーの所有だったとしても、給食事業者がその装置の存在を知らなかったということは、由々しき事態です。ベンダーから説明を聞いていたにもかかわらず忘れていたのだとしたら、給食事業者の責任は免れません。そもそもファイアウォールのような装置では、外部からリモート接続させるなら必要な時だけに限定すべきであり、保守作業の必要がないときでも外部から内部へつながることを許容していたことが問題だと思います。

そうではなく、もし保守ベンダーが給食事業者に許可を得ずに黙って設置していたのだとしたら、ベンダーに対する損害賠償責任が問われかねないようなことに思えますが、装置は会社の管轄区域内に設置されていたのですから、自社内に置いてあるものに何も関心を示さないというのもまた問題です。犯罪者が無断で置いた盗聴器や盗撮カメラに、何の関心も示さず放置するのと同じことです。

ベンダーの説明責任などの問題は多かれ少なかれあると考えられる一方で、装置の運用に対するユーザー企業の認識の甘さ、管理責任の欠如、利用者としての管理努力不足といった道義的な責任は、免れるものではないと、わたしは考えます。仮に、導入したシステムの運用を全面的にベンダーに委託したとしても、最低限の運用管理業務は必ずユーザー企業側に残り、それを負わなければなりません。運用を完全放棄することは、いずれにしてもできないのです。

そういう自覚がないままITを導入する企業が、特に中小レベルでは多すぎるように、個人的には感じています。

ここで経営者の方々に申し上げたいのは、このランサムウェア攻撃被害における給食事業者の責任問題のことではありません。ITを利用する企業はいずれも、ITを会社として利用する時点で、それがいかなるハードウェアやソフトウェア、またはクラウドサービスやツールであったとしても、社内には必ずなんらかの「運用業務」が発生すること、そのために何らかの体制面での措置が必ず要求されること、です。

その対応には、ITを用いたシステムの構成や設定などについて、ユーザー企業自身が少なからず勉強し理解する必要が出てきます。

それがどうしても出来ない、やりたくない、のであれば、会社でITを使ってはいけません。気安く使えば、いつか然るべき時に、この事件の給食事業者のようなことになるでしょう。

いま一度、「企業におけるIT利用は、電気屋で家電を買ってきて使うのとは違うのだ」と認識いただきたい。切に願う次第です。

中国の気球に思う、判断軸と決断力

投稿日時: 投稿者:

最近まで話題だった中国の気球の話で、わたしは心底、日本の防衛におけるインテリジェンスの低さにがっかりさせられました。

ご承知のとおり、この件の話題性がにわかに高まったのは、米国本土上空で正体不明の気球が確認されたときでした。米国政府は間髪を入れずにこれが中国のものであると断定し、しばらく監視したのち、大西洋沖に出たところで戦闘機によって撃墜、残骸を回収しました。そのうえで、気球に実装されていた機器類をくわしく調べたようですが、当然ながら詳細はあまり公表していません。

その話がホットになった直後、実は日本の上空で、3年も前から同様の物体が複数回にわたり目撃され、テレビカメラにも捉えらえていたことが報じられました。いずれの際にも、わたしの知る限りでは当時大きく報じられることもなく、政府が憂慮している様子も問題として認識しているアナウンスも、公式にはなかったように記憶しています。

ところが、今回米国が即座に撃墜したことを知ってなのか、政府は急いで法整備を始めて、同様の飛行物体を場合によっては撃墜可能なようにしたといいます。さらに、中国に対して当時の飛来物を踏まえて、領空侵犯として厳重抗議したとも報じられました。

なんという情けない話かと思ったのは、わたしだけなのでしょうか。どのマスコミも言及しないのが不思議でなりません。万一これが、そもそも自衛隊のレーダーにさえ捉えられておらず防衛上の検知もされていなかった事態だったとしたら、それこそ大問題だと思うのですが。少なくとも、中国には日本の諜報能力はこの程度かと思われたに違いないと思います。

そんなことを思っていたところで、米国のバイデン大統領がウクライナの首都キーウを電撃訪問したというニュースが流れました。

報じられているところによれば、米国政府は数か月前から極秘に訪問を計画し、現在の戦況、および米軍が駐留していないウクライナへの訪問ということを踏まえて、細心の注意を払って渡航を計画したとのことです。同行者は必要最小限、報道記者も限定し、情報漏えいが間違いなく発生しないように対策が徹底されたといいます。そのうえで、米国から19時間かけてキーウまで移動し、ゼレンスキー大統領との会談を果たしました。

世界の要人の中でもその多忙さと安全確保の要求レベルでは群を抜くであろう米国大統領で、かつ80歳という高齢のバイデン氏が、事前にロシアに通告までしたうえで、片道19時間もかけてウクライナに赴くという決断をするのだとしたら、そこには確固たる意図と信念があったに違いないでしょう。

翻って我が国の総理はどうか。先日見たニュースでは、政府は昨年からウクライナへの訪問を模索してきながら、現地の戦況の不安定さや国会日程でタイミングをつかめずに来たといいます。日本の総理大臣も超多忙であると想像しますが、米国大統領より制約が多く忙しいのかとなると何とも言えないところです。行けない理由ならいくらでも出てくるでしょうが、万難を排除してでも行くとしたら、そこには確固たる判断軸と信念が必要なのだと思います。

いつも思うのですが、米国の行動に追随することが多い日本において、彼らの真似をするのならその行動自体ではなく、その判断プロセスや行動に至る考え方、またそれを実現している体制のほうであると、わたしは考えます。

判断軸を自らに持ち合わせていなければ、適時的確な決断はできません。資金を投じて防衛力を高めようとも、自らに判断軸がないのなら、決断し行動をとることはできず、持ち合わせている能力も宝の持ち腐れになります。誰に何を言われようが自分はこうする、何か言われたらこう説明する、そういう行動がとれるには、確立された独自の判断軸が不可欠です。これは、おカネがあるのかどうかは関係がない、意識の問題です。

これはビジネスの世界でも、同じ話が当てはまると思います。タイムマシン経営なのはよいですが、真似をするのなら、ビジネスモデルをそのまま持ってくるのではなく、その考え方や判断軸、彼らの実行体制のあり方など、より本質を見ようとする努力が重要ではないでしょうか。事例が大好きな日本の経営者はたくさんいます。そういう人はたいてい、そっくり同じことをしようとします。何を使っているのか調べて、同じものを買おうとします。しかし、盲目的にマネているだけでは、いつまでも師匠に追いつくことさえできないのです。

個人情報は、秘密だから保護するのではない

投稿日時: 投稿者:

企業活動において個人情報を取り扱うことは、センシティブな事柄として常に緊張感をもって利用を考える必要があると思います。先日知ったあるサービスのことで、その思いを新たにしました。

簡単に説明すると次のようなものです。そのサービスは顧客情報基盤サービスといった趣旨を謳い、各社が顧客向けに制作するスマホアプリの中に組み込むことができるものになっています。

企業がこのサービスに契約して、自社のアプリにその機能を組み込むと、このサービスに関連するセンサーを組み込んだデバイスに近づいたときにバックグラウンドで通信が行われ、その際にアプリ利用者の識別子と位置情報を収集します。こうしたセンサーが様々なスポットに設置されており、そのアプリの利用者が行った先の情報がくまなくこのサービスに蓄積されることになります。

その位置情報データを含めて行動分析すると、その利用者の嗜好や行動パターンが分析できます。購買していなくても、どの場所で、どんなものを見ていたのか、わかるわけです。

その分析に基づき、物販している場所などにある時その利用者が近づいたら、当人のスマホ画面や、その場所に置かれているサイネージなどに、その利用者が興味を持つと推測できる広告やクーポンなどを提示して、購買に繋げる、という仕掛けです。

このケースで、利用者から見たときのアプリは、気に入った小売店のものだったり、情報提供サービスだったりと、様々でしょう。一方で、アプリを提供する企業から、その基盤サービスが組み込まれているという説明が適切にされていなければ、利用者がそうとは気づかぬうちに行動が収集され、興味や嗜好を判定され、広告表示に使われることになります。

この基盤サービスを提供している企業は、個人が認識できないような仕組みで分析を行っていると説明しています。個人情報保護に関連した各法律にも触れないように作っていると想像します。ただ、この仕組みを理解した時に、気味が悪いと思う個人は少なくないだろうと思います。

広告をビジネスにしている会社にしてみれば、個人にパーソナライズされた広告を表示するのは顧客の利便性にかなう、と考えるのでしょうが、一方の個人の側では、そもそも広告表示など不要だと思う人も少なくないわけです。個人情報はあくまで「当人の持ちもの」であり、利用する企業は「人様の持ちものを使っているのだ」と認識することが重要だと思います。

企業の個人情報利用の問題に関しては、リクナビ問題がいまだ記憶に新しいところです。この問題は、商売の面では理にかなっていても、道理にはかなわないことがあるということを、強烈なかたちで世間に示しました。

適切な判断ができないまま道理にかなわないサービスを設計してしまうのは、個人情報を保護しなければならない理由に対して理解が乏しいからかもしれません。個人情報を保護しなければならないのは、必ずしもそれが個人の秘密だからというわけではありません。その人が積極的に提供するつもりがない自身の情報が、勝手に第三者によって選別や判定や評価に利用され、それが当の本人に不利益をもたらすことを防止する必要があるから、保護が必要なのです。

ここで、「不利益」をもたらさないのなら個人情報は使ってもよいことになりますが、この「不利益」が、人によって異なる主観的なものであることが多いわけです。だからこそ、個人情報の利用にあたってはその目的を提示し本人の同意を取ることが求められます。

こうした感覚が乏しいと、本人の知らないところで個人にまつわるデータを収集する行為に、あまり深い問題を感じないだろうと思います。

例えば、教育の分野では、学生や生徒が利用するタブレットなどの端末の操作ログを取得することを巡って問題になるケースが出てきています。

その操作ログを蓄積して学習履歴などを分析すれば、その内容から学生や生徒を「選別」するような評価が可能であり、その評価が当の学生に不利益をもたらす可能性が考えられます。ですから、そうした行為は行われないこと、端末を利用する学生や生徒にメリットをもたらすサービス設計がされていることを丁寧に説明し、同意を取る必要があるのです。

データを取られる側の人々の理解が乏しいことを前提として、フェアなサービスを設計し誠意をもって個人情報を利用すること。個人情報を利用するサービスを「自分の情報を使っていいからいいもの提供してくれよ」と言ってくれる利用者に ”だけ” 提供すること。またその利用実態を誠意をもって公開し説明すること。個人情報を利用する企業に求められるのは、こうした姿勢と行動ではないでしょうか。ポイントを付けてあげたのだから、クーポンを出してあげたのだから、おカネを出して買ったのだから、あとは企業側の自由であるという発想は、非常に危険です。

ランサムウェアに感染したら、身代金を支払うのか

投稿日時: 投稿者:

ランサムウェアに感染したという企業が、後を絶ちません。一時期下火になりながら、再度復活し、わたしもここ最近は毎月複数件の感染情報に接しています。

ランサムウェアに感染すると、データをことごとく暗号化され、解除をしてほしければ身代金を支払えと脅迫されることは有名です。ではその時、攻撃者の指示通りに支払うべきなのかという問題は、以前から議論になっているところです。

公に出回っている事例から考察するところでは、多くの日本企業は身代金を支払わない選択をしているように想像されます。これはいくつかの調査でもそのような傾向が言われており、ある調査結果では、指示通りに支払った日本企業は感染したうちの1割程度だったと報告しています。

これは米国企業とはかなり様相が異なるようで、複数の調査を見ると、身代金を支払った米国企業は感染したうちの4割から8割だというのが、およその傾向なようです。

なぜ日本の企業は支払わない選択をするのでしょうか。もちろん、支払った事実を公表しないということも原因としてありえるでしょう。しかし、わたしの想像では、支払っていない企業が本当に大勢ではないかと考えています。そう想像できる理由は、いくつかあります。

ひとつは、バックアップがうまく確保されていて復旧できた、というケースです。ただし、用意周到であったという理想的なケースはまれです。完全なバックアップではないが部分的でもどうにか元に戻せて、それ以外は手動でどうにか戻した、というケースがあるようです。

また、被害範囲が案外小さく、業務への影響が大きくならずに済んだという事例もわりと見うけられます。本当にそうだったとすれば幸運と言えますが、皮肉なケースも想像できます。つまり、日本の中小企業などではデジタル化が進んでいない場合が多く、情報がデータになっていなかったことで、それが不幸中の幸いとなって被害が小さかった、ということはあり得るでしょう。

なかには、泣き寝入りして復旧を断念しシステムを入れなおしたケースもあるようです。先に述べたとおり、身代金を支払ったという日本の企業は、ほとんど聞きません。横並びを意識しやすい日本人の特質からすれば、他の企業がやらないようだと知れば、躊躇する要因としては十分ではないでしょうか。

少し調べてみれば、支払ったとしても攻撃者が暗号化を解除してくれる保証はないとか、暗号化されただけではなくその情報自体が攻撃者の手にわたっていて別の脅迫をしてくる可能性があるとか、ランサムウェア感染では損害保険が効かないことが多いとか、様々なネガティブ情報に触れるでしょうから、企業はなおさら支払わない選択に傾くことが想像できます。

もしかすると、身代金を支払おうと一旦は決意したものの、ビットコインでの支払いを指定されていたがために、支払い方がわからなくて断念した、というケースも、日本の企業の場合ならあるかもしれません。

別の話として、これは噂の域を出ませんが、感染を受けてシステムの復旧を依頼された委託先の業者が、委託費用を使って攻撃者に身代金を実は支払って、それによって暗号かぎを取得し、あたかも復旧データが見つかったかのように見せて復旧させた、という話も一部で報じられています。関係者は(当然)否定しているようですが、良否はさておき、あり得るシナリオではあるでしょう。この場合も、感染した企業の側は、支払った認識はないことになります。

今後もランサムウェアによる感染被害は続くことが予想されますが、日本の企業ではおそらく、身代金を支払わない選択をする企業がこれからも大勢を占めるのだろうと思われます。

恐れていた攻撃の手口から考える、経営とクラウド

投稿日時: 投稿者:

昨年のことになりますが、ある大手小売業のECサイトで発覚したクレジットカードの不正利用をきっかけに、その企業を含む11社の小売業者が運営するECサイトから顧客情報が漏えいした可能性が発覚、それぞれ公表されるに至りました。

これらの小売業に共通していたのは、同じITベンダーが提供するECサイト構築SaaS、つまりクラウド事業者のサービスを利用していたことでした。問い合わせを受けて同ITベンダーが調査をした結果、SaaSのサーバーに対する不正アクセスの痕跡、およびサーバーに不正なプログラムが置かれていたことなどを発見したということです。

その後の分析によれば、攻撃者は、SaaSのテナントであったある小売業のECサイトを通じて不正な注文を送り、そのなかに埋め込んだ不正な命令を実行させて、SaaS内部のサーバーを乗っ取ることに成功したようです。それによって、直接攻撃されたその小売業のサイトのみならず、同SaaSを利用していた他のテナントの領域にも不正に侵入する足掛かりを獲得しました。結果、複数の企業の顧客データに不正にアクセスできたといいます。

この攻撃事例を聞いて、これまで恐れてきた事象がとうとう現実になったなと感じました。

パブリッククラウドのサービスは、巨大なシステム基盤上にサービスが構築され、それを多くの顧客が同じ条件のもとに利用する、という形態になっています。優れた機能が使い勝手の良いかたちで準備され、また初期コストのハードルがかなり低いということで、大小問わず多くの企業が利用しています。当然ながら、相乗り型のサービスとはいえ、各テナントの使い方には一定以上の自由度が確保されていますし、データも個別に蓄積できることになっています。

ただし、そうした区分けは、ソフトウェアの制御によって「論理的」に行われています。「論理的」とは「物理的」の反対です。つまり、テナントごとの区画は、戸建て住宅のように物理的に分かれているわけではなく、ソフトウェアに施された「設定」で区分けされている、ということです。

一方で、ソフトウェアには、プログラムの不具合であるバグや脆弱性が「必ず」あります。あらゆる情報システムは、バグや脆弱性は必ずあるけれど見つかってはいない、という状態で運用されているわけです。

クラウドベンダーは、顧客が利用する領域はセキュリティを確保した形で保護されていると謳っています。もし顧客にセキュリティ上の問題が発生するとしたら、それは顧客が行った設定に問題があるのだ、というのが共通した認識になっています。

そこにウソはもちろんないのですが、それはあくまで「ソフトウェアによって」成立していることです。そのソフトウェアに万が一脆弱性やバグがあれば、その保証は崩壊するかもしれません。

それが今回、実際に起こってしまったということだと思います。

注目すべきことは、顧客情報が漏えいしたことよりも、攻撃者がテナントを横断して不正を行うことができた点です。つまり、自社がどれだけ気を付けて対策を実行していたとしても、自分は知らない他の利用者を経由してサービスの大本が乗っ取られ、自社の対策は水泡と化す、というシナリオが成立してしまうということです。

今回攻撃を受けたSaaSベンダーは、決してセキュリティ対策が緩かったわけではなかったといいます。定期的なセキュリティチェックの実践、脆弱性の定期検査の受診、侵入検知サービスの利用など、一定の対策は行っていたようです。それでも今回の攻撃は防御できなかったと主張しています。

また、近年の攻撃は、アプリケーションへの攻撃から基盤ソフトウェアに対する攻撃がより増加している傾向にもあるようです。先にも記した通り、クラウドサービスは複数の利用者が共通の基盤上に構築された機能を、相乗りする形で利用します。その構造上、システム基盤で利用されるソフトウェアは利用者共通です。もし基盤ソフトウェアの脆弱性が攻撃されれば、容易に今回と同様の事象が起こりうることになるわけです。

クラウドサービスを利用するメリットは、その価値によっては非常に大きく、リスクを上回ることもあると思います。避けるよりも、うまく使うほうが賢い選択です。時代もまた、クラウドが使える前提でITを考える時代になっています。

ただし、上記のような攻撃が現実に成功していることを、経営リスクとしてよく理解しておきたいところです。預けているクラウドサービスから自社の情報が漏えいした時に、顧客に謝罪するのは、クラウドベンダーではなくてみなさん自身です。何を預けるのか。どの業務領域を依存するのか。経営にとって重要な選択です。よくわからないからIT専門の人に任せるという話ではないのです。

高度になるIT、問われる組織の能力

投稿日時: 投稿者:

ここ最近は、クラウドにまつわるセキュリティ事故の話が目立っていたように感じました。

例えば、セールスフォース・ドットコム(以下、SFDC)が提供するクラウドサービスを使う複数の企業において、第三者が非公開情報にアクセスできてしまう状態になっていた問題。この問題では、名のとおった大企業、情報セキュリティに関しては高い管理知識を有するはずのIT企業などが、挙って同じ問題に陥ったことを公表しました。

SFDCに関連した問題のほかにも、グーグルが提供するクラウドサービスを利用する企業で内部の業務連絡のやり取りが気付かぬうちにオープンになっていた問題、某キャッシュレス決済事業者における加盟店情報約2007万件の漏えい事件、なども報道されていました。

上記で取り上げた問題に共通する要因は、「設定ミス」です。設定の不備によって、本来公開してはいけない情報が一般公開設定となり、インターネットから閲覧可能な状態となっていた、というわけです。

一般に、クラウドサービスを利用するにあたっては、さまざまな設定を利用者の責任の下で実施することになっています。従って、設定にまつわる障害や事故は利用者側の問題として扱われるのが通例です。

ただし、今回のSFDCの問題は、利用者の対応の甘さに全面的な責任があるとは必ずしも言えない面があるように、わたしは感じます。というのも、設定不備の原因となったのがSFDC側による機能のバージョンアップにあるからです。約5年前に行われた機能追加にその火種があり、その際に、新機能の導入により適切な権限設定をしなければ情報漏えいにつながる可能性が生じたといいます。その旨の情報が利用者に適切に提供されていなかったのではないか、そもそもSFDCはそのような脆弱な設定になり得ることを予測していなかったのではないか、という声が少なからずあるとのことです。

つまり、知らぬ間に外部のアクセスを許す状態になっていたという利用者が大勢いたということであり、それは利用者側の「設定ミス」として片付けられるものなのか、という認識が生まれるわけです。至って自然な考えではないかと思われます。

しかしながらこのような状況を踏まえてもなお、結局は利用者が被害や影響を受ける立場になることに変わりはないのが実情です。クラウドサービスは、提供者側の都合でアップデートや機能追加が頻繁に行われます。それが良さであるという評価も一方ではあります。クラウドを利用するということはつまり、利用者が提供者に振り回される面がある、という理解が必要なのです。

設定ミスは人為的なミスなのだから、使う側が気を付ければよいことではないか、と思うかもしれません。実際に使ってみればわかることですが、クラウドサービスは、使い込もうとするほど、または機能が豊富で高度な要求を実現できるものほど、設定は単純では無くなっていきます。利用者側にも、それなりの「ユーザーレベルの高さ」が要求されるのが実態です。それはある意味、当然のことでもあります。

先日セキュリティの専門家から話を聞きましたが、サイバー攻撃の攻撃者がどのような攻撃手法を好んで選択するのかというと、端的に言えばコストパフォーマンスが高い手法が優先されるといいます。かつては多かった、自らの技術を誇示したい攻撃者というのは近年ではほぼ皆無で、手っ取り早く価値の高い情報を搾取し、お金に変えることを目的にしているのです。そのとき、一番コスパが高い狙い目というのが、実は設定ミスや運用ミスを突くことだと指摘していました。

クラウドは利用のハードルが低く、その気になれば利用の幅をいかようにも広げられる面があります。一昔前なら何千万円と支払わなければ手に入れられなかったような技術を、月数千円程度で利用できるようになっています。技術的に出来ないことは、もはやほとんどありません。これは、ITの急速な技術進化の賜物です。

ただし、利用する側にそれを操れるだけの組織的能力があるのかどうか。利用する企業は常にこの点を、自問自答する必要があります。能力を持たざる企業に高度なITが使いこなせないのは、プリウスに乗っていたドライバーが今日からF1カーを乗りこなそうと思ってもできないのと同じです。

特に中堅中小企業は、ITにかかる組織の整備が脆弱な傾向があります。クラウドをどんどん使おうとするわりにIT担当者は兼務しかいない、でいいのか?経営者の方々には、自社で何らかのITを使おうとするなら、まずは組織能力を問い直すこと、いかに整備を進めるか考えること、をお勧めしたいと思います。そうでなければ、安易な設定ミスにより足元をすくわれるリスクを抱えることになります。

情報セキュリティの責任を負うのは、誰か

投稿日時: 投稿者:

最近も、防衛産業を担う複数の大手企業で、情報漏えいの可能性がある不正アクセスがあったことが公表されました。それらの企業のなかには、防衛産業を担うと同時に、情報セキュリティに関連したソリューションも販売しているところがあります。いわば、情報セキュリティ対策の面ではトップクラスの組織であったはずです。そうした企業でも不正アクセスにもろさがあるという現実を、再び突き付けられたと感じます。

つまり、「攻撃されれば成功されてしまう確率は高い」という前提で、モノを考える必要があります。

そんな中で、気になる記事を見かけました。米国と英国での調査だということですが、企業のCISO(最高情報セキュリティ責任者)は強いストレスにさらされ、休日でも気持ちが休まらず、結果として健康を害する人も少なくなく、平均在任期間は26カ月だった、という内容です。

記事では、CISOの仕事の現実を、次のように表現しています。

(記事からの引用)
現在のCISOの仕事は、低予算で、労働時間は長く、経営陣に対する発言力も小さく、雇用できる訓練された専門家は減る一方で、しかもサイバー攻撃に対抗できるインフラを十分に整えられないストレスに恒常的に晒され、常に新たな脅威のプレッシャーを受けている。そして、よい仕事をしても褒められることがない一方で、何かが起これば全責任を負わされるという過酷なものだ。

日本の中堅中小企業で、CISOを置いているところは、ほとんどないだろうと推察します。ということは、上記のような役割を担うのは社長自身であると言えます。その場合、平時は上記のような窮屈さもストレスもプレッシャーも感じないでしょうが、いざ情報セキュリティに関する問題が明るみに出れば、途端に「全責任を負わされる」という状況になるでしょう。

だからといって、「では責任を負ってもらえる専門人材を雇えばよい」という発想もまた、問題があるわけです。情報セキュリティの問題を、特定の責任者が全責任を負う問題に帰結させるべきではありません。わたしは2014年に、ベネッセコーポレーションで大規模な個人情報漏えい事件が発覚した際に、この点について当コラムで指摘をしました。同社でもこの事件の際、当時のCIOが責任を取って辞任しています。

先に申しあげたとおり、「攻撃されれば成功されてしまう確率は高い、という前提で、モノを考える必要がある」のです。どんなに実績がある優秀な情報セキュリティ人材を採用しようが、これは同じです。

情報セキュリティ対策を整備するなら、その体制や各種の具体策は、社長以下「組織」の総意で立案し合意するように検討を推進するべきだろうと思います。

具体的な対策を立案するにあたって、それをリードする専門人材は必要でしょう。ただし、立案する対策に責任を持つのはあくまで組織であって特定の責任者に帰属させない、例えば委員会組織をつくってそこで議論と承認を行い、責任は委員会組織で持つようにする、という体制にするべきです。そしてそれを明確に社内に示し、関係者には無用なストレスを感じることなく従事してもらいます。

一方で、「攻撃されれば成功されてしまう確率は高い、という前提で、モノを考える」とすれば、どのレベルまで対策を高度に整備すれば必要十分なのか、も課題になりやすいかもしれません。

この点についてわたしは、その会社なりに徹底的に考えたことが対外的に説明できるならそれで十分、と考えます。何らかの攻撃をされ、何らかのリスクが現実のものとなり、対外的に公表や謝罪をする必要が発生した時、会社は説明責任を求められます。このときに対策の努力を認めてもらえるだけの説明ができるかどうか、という判断基準です。

事故が起こった以上は、批判は免れないでしょう。しかしその際に、「無策で穴だらけだった」と思われるか、「できることはすべてやっていたが不十分な点があった」と思われるかでは、雲泥の差があります。また、考え抜かれた対策がすでにあるのなら、その問題点を認識して補う行動もしやすいものです。逆に、たいして考え抜かれていないなら、有事の際に素早い対応はできず、傷口はさらに広がります。

大事故になればなるほど、社会的な影響が大きな事故であるほど、CISOがいようがいまいが、説明責任は社長自身が果たさなければなりません。それは、過去の大企業での情報セキュリティ事故における、記者会見の報道などを見てもわかることでしょう。そのとき、言いよどむことのない説明を行うことができるのか。経営者の方々には、このような視点で自社の情報セキュリティの体制と対策を、見つめていただければと思います。

「買い物体験」、なんだか怪しい

投稿日時: 投稿者:

最近、小売業ではデジタルを活かして新しい価値を顧客に提供しようという動きが活発です。

スマホアプリを顧客に使ってもらってクーポンを提供したりおススメを紹介したりするのは、さほど珍しい取り組みではなくなってきました。どの企業も、実店舗での買い物とECでの買い物を結び付けた、いわゆるオムニチャネルを何とか成功させようと、あの手この手を凝らしています。

このときによく出てくるキーワードが、「買い物体験」ということばです。買い物という行為を顧客体験として捉え、顧客に斬新な体験価値を提供しようとし、そのカギとしてデジタルをフルに活かそうという考え方をしているようです。

こうした事例もいつも興味深く見つめているのですが、実のところ個人的には、斜めから見ているようなケースも少なくありません。

怪しいなと感じる理由のひとつは、「買い物」と「体験」は本来別のものであって両方を追おうとするならそれは案外難しい、ということです。

ビジネスにおける提供価値は大きく2つの分野に分けられます。ひとつは「困りごとの解決」、もうひとつは「心地よい体験の提供」です。世の中のビジネスで提供されている価値は、およそこの2つのどちらかに当てはまります。

なかには両方に当てはまるビジネスがありますが、これまでわたしが観察してきた限りでは、「困りごとの解決」を提供しようと価値を追求してきたところ、次第に「心地よい体験の提供」による差別化を図るようになってきた、というのがほとんどです。そうした企業の場合、主たる価値提供は後者に転換されています。つまり普通は、2つの提供価値のうちどちらか一方が主であったり根本であったりするものだと、わたしは考えています。

そのような考えのもとで先ほどの話に戻ると、「買い物」は困りごとの解決、「体験」は心地よい体験の提供、とそれぞれ分野が異なります。

にもかかわらず、「買い物体験」を掲げる小売業は両方とも追いかけようとしているように、わたしには見えてならないのです。「買い物」なら徹底して買い物の利便性を上げる。「体験」ならまるで温泉やアミューズメントパークに来たかのように楽しんでもらう。どちらに注力するのかを意識し、どちらかを徹底的に追及して作り込まなければ、顧客からはどちら付かずの中途半端なモノに見えてしまう可能性が高いです。

少なくとも、片方を追求した会社にはその分野で負けます。「買い物体験」を追求した企業が、心地よい体験の提供を追求するアミューズメントパーク、例えばディズニーランドに、そのうち勝てるのか、という話です。

怪しいなと感じる理由をもうひとつあげると、デジタル化を図る企業の下心がものすごくうかがえる点です。

顧客の買い物をデジタル化することで、顧客の動きを逐一データ化し、顧客の志向や考えをつまびらかにしようと狙っている企業ほど、こうした取り組みを積極推進しているように見受けられます。

そうした分析を純粋に提供価値の向上につなげようとする企業もあるでしょうから、その取り組み自体を否定はしません。ただし、どういう考えでその企業がデータを扱い、使おうとしているのかは、そのビジネス行動に現れます。顧客はそれを見て、度が過ぎると感じれは気持ち悪さを覚えます。それは言うまでもなく、その企業への信頼につながります。

顧客が買い物に店舗を訪れ、ふと天井を見上げると、おびただしい数のカメラや通信機器がこちらを捉えているのを見つける。場合によっては商品棚にまでセンサーが仕掛けられている。このような店舗で買い物していて、果たして顧客は気分がよいものなのでしょうか。

実際、例えばECサイトのレコメンドに対しても、後から追いかけてきて推薦されることにいやらしさや気味悪さを感じていると回答する人が多いことが、各種の調査からも明らかになっています。

こうしたことがどうあるべきなのかは、経営者が打ち立てるべき、企業としての倫理観の問題です。法に則っていれば何をしてもよいという考えには、およそ洗練された矜持のようなものは見受けられません。

先日も、利用者の同意なく個人データを外部に提供して行政から是正勧告を受けた企業がありました。この企業の経営者は、問題のサービスを提供することを部下から知らされたとき、問題を何も感じなかったと述べています。個人情報の取扱いについて、経営者としてそれを重視するポリシーやセンスは不在だった実態が明らかになった。わたしはそう理解しています。

特に技術者は、分析したい、取れるデータはなんでも欲しい、知ることができるなら何でも知りたい、と追究する気質であるのが(良いか悪いかはともかく)自然でしょう。リーダーがあるべき姿を何も示さなければデジタル担当者はそのまま突っ走るという、他山の石として捉えるべきではないでしょうか。

個人的には、「買い物体験」を追う試みはおそらくなかなか成功しないだろうと思いながら、観察しています。