宇宙×AIによる4次元サイバーシティの構築・活用

「宇宙×( バイ) ICTに関する懇談会 報告書 ~ ICTが巻き起こす宇宙産業ビッグバン ~」が公表されています。

内容は、

1 宇宙新ビジネス時代の到来

2 世界規模で展開する宇宙分野のICT活用競争

3 新たな価値を創造する宇宙× ICT の重点4分野 とこれらを支える基盤技術 ~重点4分野 のビジネス の実現イメージと課題 ~

ここで、重点4分野というのは、
「宇宙 データ利活用ビジネス 」「ブロードバンド衛星通信ビジネス」、 「ワイヤレス宇宙資源探査ビジネス」 及び 「宇宙 環境情報ビジネス」の4分野
だそうです。
興味深いのは、セキュリティ部門についてのコメントになるかとおもいます。同報告書の45ページ以降で、標的サーバのデータを衛星回線経由で抜き取ったりとか、リモートセンシング衛星の制御を乗っ取ったり、衛星軌道を変更させたりが報告されています。
(ちなみにこの前のパトリックのCODEBLUEの講演だと、原子時計の一斉の故障?というのもありますね)

とかいっていたりすると、次は、光時計なんですね(55ページ)。

あとは、
4 近未来社会
5 綜合推進戦略
6 着実な推進に向けて
となります。

ここで、面白いのが、「4次元サイバーシティ」ですね。
物理的に 3次元空間を把握するものを活用し、AI 解析で時間的変化の自動抽出を行うことにより、空間 の3次元に時間差分を加味した “4次元サイバーシティ ”を構築するというプロジェクトですね。

時間軸が加わるので、4次元というのは、まさにそのとおりです。
もっとも、そこで唱えられている具体的なアプリケーションは、桜開花予測、おいしい空気とかも入ってくるので、わざわざ4次元といわなくてもという感じにはなります。この概念図を張っておきましょう(70ページより)。

本当は、アウタースペースでなくても、空飛ぶ車に時間差分を合体させるとかができるので、そっちのほうが本当にぶっ飛んでいて面白そうという気がします。

なには、ともあれ、Win95から、20数年 すこし倦怠義務だった、現代社会ですが、AIと宇宙技術で、四次元へと進化するのかもしれません。おもしろそうなアプローチです。

サイバーセキュリティ経営ガイドライン v20をどう考えるか

サイバーセキュリティ経営ガイドライン v2.0が出ています。

構成は、3原則(リスク認識・リーダーシップの原則、サプライチェーン原則、開示原則)と10項目について、それぞれ、説明しているというものです。あと、チェックシートがついていて、参考情報付きですね。

原則と個別のブレークダウンというのは、きわめて適切な手法かとおもいます。

あと、付録Cで、インシデント発生時に組織内で整理しておくべき事項も公開されています。このテーマの選択も非常にいいですね。

とGood Newsは、ここまでで、あとは、感想。

原則ってもう少しわかりやすくしないとね

個人的な趣味でいえば、原則については、覚えやすい名称をつけるべきだとおもいます。(っていうか、普通、原則には、名前ついているでしょ)

リスク認識は、原則ではないとおもいますね。むしろ、経営というミッションを有するものにとっての当然の手法だとおもいます。(オポチュニティとリスクを考えて、リスクについては、一定のコントロール・受忍・転嫁というお約束です)

そのような基本を行うために、リーダーシップ原則(個人的には、あと、チームワークなんだけどね)、透明性原則ですかね。私だったら、備えあれば憂いなしの原則をいれるかな。

サプライチェーンは、適用範囲なので、原則というのは、ちょっと微妙ですね。

ここら辺の言葉の感覚は、人それぞれかもしれないけど、私の美学とは違いますね。

IPAの10年前のアウトプットがあります

付録Cなのですが、私としては、講演の際には、インシデント発生の際に参考にするものとしては、

情報処理推進機構「情報漏えいインシデント対応方策に関する調査報告書」( 委託先カーネギーメロン大学日本校)
私が調査委員会 座長をしました(平成19年8月発表)

を常に推薦させてもらっています。

項目Cが、この業績を超えることを目指してもらえればよかったと思いますね。

そもそもの話

バージョン1のときから思っていたのですが根本的なものとして

情報セキュリティ経営

という言葉は成り立ちうるのか、というのが常に念頭にあります。

会社自体が季節労働者

であるITリサーチ・アート(無事、祝10周年)の経営者として考えるときも、まずは、社会と技術のギャップというのをうまくつかんで、そこに分析のメスをいれることで社会に貢献し、しかるべき対価をいただく

という大原則があって、そこにおいて、この分野に投資すれば、とか、タリンの会議にいってネタを仕入れて、ということをしているので、その中で、適切なセキュリティリスクを認識し、評価するということはあったとしても、

セキュリティ自体を目標として認識するというのは、ありえないはずです

リスクの適切な評価とコントロールの設定・受忍等の対応策の決定が経営なのでしょう。

結局、原則と乖離した

掛け声

としての意味はあるとしても、経営者にとっては、

経営がわかっていないんじゃないの

とみられそうです。

では、適切な情報セキュリティに対する評価を行ってもらうためにどうするか、となってくると、

インセンティブ設計

のほうがはるかに重要になるよね、ということかもしれません。

 

 

 

10th Anniversary of IT Research Art

当社 ITリサーチ・アートは、平成19年11月の設立以来、10年をすぎることができました。

脆弱性調査のためのリバースエンジニアリングの合法性の議論から始まり、プライバシーのコンジョイント調査、セキュリティインシデントと法の調査、通信の秘密、営業秘密、忘れられる権利、IoTのセキュリティと安全などについての国際調査など、本当にたくさんの調査に従事できたことを本当にうれしく、また、そのいずれのテーマも、わが国にとって先進的でチャレンジであったことを、我ながら、誇りにおもいます。

(ということで、調査実績をアップデートしました)

本年も

GDPR

といった最先端の国際調査を手がけることができます。

設立のときは、こんなに続けて、先進的な調査、それも、入札をへての調査(実感こもっているでしょ)ができるとは思ってもみませんでした。

今後は、さらに、先端的な分野(宇宙までいくか)や、実際のテクノロジーそのものへの挑戦をしたいとおもいます。

みなさま、今後ともご指導、ご鞭撻よろしくお願いします(あと、若い先生方は、一緒に遊んでね)。

平成29年11月 高橋郁夫

 

「サイバー攻撃の犯人は誰?知る必要はあるのか」を読んで 

「サイバー攻撃の犯人は誰?知る必要はあるのか」という記事が出ています。「セキュリティ業界では、常識だと思われているが実はそうではない「セキュリティの非常識」がたくさんある。」として、有識者が語るという企画です。

有識者の意見としては、かなり限定つきの上で、「アトリビューションが重要でない場合もある」という意見のようです。たとえば、根岸さんは、「一方、一般企業がサイバー攻撃を受けたときは、その攻撃者が国家かそうでないかなどは関係なく、対策をきちんとやることが重要になります。誰が攻撃したかは二の次です。」ということで、アトリビューションがそれほど重要ではない場合もあるというスタンスのようです。

でもって、タイトルが、「攻撃者が誰なのかは重要か」なので、重要ではないという論に思えるけど、場合によるよねという話です。見事に、編集者の作戦に乗ってしまいました。

ただ、このような場合にアトリビューションがどのように意味を持っているのか、というのは、きちんと解説してほしいところです。その説明がないと、読者に有用な知識を授けることができないとおもいます。

有識者会議といっている以上、アトリビューションの意味について正確な知識を有していることをご紹介してもらってから、このような否定のディスカッションをすべきだとおもいます。それをしないと、判例・通説がある場合に、それをきちんと説明もできないのに、批判だけしている答案を読まされているような気がします。(要は、できの悪い答案)

まずは、

(1)攻撃者が、国家責任を発生させるものであるのかどうか

というのが、もし、Yesであれば、対応は、主として、国家間の問題となります。(主として国際法がでてくる)

この場合は、国家組織もしくは、そのエージェントなので、執拗な攻撃、もしくは、重要インフラに対する攻撃であるので、国家安全に関わってくるので、国としての情報共有・分析・対応が重要になってくるわけです。

民間だとしたら、

(2)デューデリジェンスによって国家の責任を問いうるものではないのか

というのが、もし、Yesであれば、対応については、国家間の問題に対する対応も問題となりえます。(国際法と国内法の交錯する部分)

というのが、現在の基本的な世界での考え方ということがいえるでしょう。

(1)でも(2)でも、被害を受ける民間企業の側では、基本同じではないか、というのは、原則としては、そのとおりでしょう。ただし、法的な分析の側面では異なってきており、「アトリビューション」から考えるというのは、ある意味、国際社会の常識となっているということは留意すべきでしょう。

この意味での常識についてのコメントがないので、記事は、悪意があるのではないか、とまで思えてしまいます。

常識であるといっているのには、具体例があります。

もっとも、代表的なものとしては、ソニーピクチャーズエンターテイメントにおける対抗措置をあげることができます。私のブログでもふれています。(オバマ大統領 対抗措置を明言)(Not act of war

また、オバマ・習近平対談の後、サイバー攻撃が如実に減少したという記事もあるでしょう。(「2015 年 11 月 30 日付のワシントンポスト紙は、「政府当局者の話として、司法省が中国軍の 5 人の将校を起訴したのを受けて、中国軍は米国の産業秘密のサイバー窃盗を縮小した。そして、突然の攻撃の縮小は、法的措置が一般に思われているより大きな影響があったことを示している。さらに、起訴を発表した時から、PLA は民間企業に
対するサイバー・エスピオナージに実質的には行わなかった。」という記述をする論考があります 「中国のサイバー能力の現状」DRC 研究委員  横山 恭三)

インターポールでも、国家関与になると、関与しなくなるというのは、非常に興味深いです。(「僕がインターポールで働く理由」~ サイバーセキュリティのプロフェッショナル 福森大喜さんにインタビュー
#インターポールの目的や原則を定めた「ICPO憲章」では「インターポールは政治的な争いや宗教的な争いには一切関知しない」とされています。なので、WannaCryでも何でもいいんですが、マルウェアが出てきてもどこかの国の政府が諜報活動として関与しているとなると、インターポールはいっさいタッチできなくなっちゃうんですね。

これらの実行を紹介しないで、「アトリビューションは、重要ではない」という印象を読者に与えるとしたら、虚構ニュースといわざるをえないとおもいます。

 

 

ロケット安全基準

人工衛星等の打上げ及び人工衛星の管理に関する法律(宇宙活動法)というのがあるわけですが、その法律に基づいて、技術基準を設けるべく、その概要等についての資料が公表されています。

内容としては、
①人工衛星の打上げについて、その都度許可
②許可処理申請の簡略化のため、ロケットの型式認定を創設
③許可処理申請の簡略化のため、ロケットの型式ごとに打上げ施設の適合認定を創設
④人工衛星の管理について、人工衛星ごとに許可
⑤我が国の人工衛星等の打上げ及び人工衛星の管理に関係する産業の技術力及び国際競争力の強化を図るよう適切な配慮の実施。

いわば、人工衛星って究極のIoTとして考えられるかとおもいます。

条文としては、「第十三条 内閣総理大臣は、申請により、人工衛星の打上げ用ロケットの設計について型式認定を行う。」というのが興味深いところです。

法55条は、(宇宙政策委員会の意見の聴取)になるわけですが、「 内閣総理大臣は、第四条第二項第二号、第六条第一号若しくは第二号又は第二十二条第二号若しくは第三号の内閣 府令を制定し、又は改廃しようとするときは、あらかじめ、宇宙政策委員会の意見を聴かなければならない。 」としています。

IoTの安全とセキュリティの交錯からいくと、宇宙ロケットのハッキングというのを考えたいところです。

着火装置等の安全要求、飛行安全管制の機能、飛行中断機能、ロケット投入段に係る軌道上デブリ発生の抑制等を含め、全7項目を規定するとのことです。

でもって、GPSを狂わせて、誘導をできなくするとかというのは、この技術基準で、どのように対応されていくのでしょうか。

CODEBLUEの基調講演で、Patrickさんが、宇宙でのサイバーセキュリティの問題を講演しました。

特に近頃の問題事例として

IRNSS 1A(原子時計の故障の記事は、こちら)

Galileo(原子時計の故障の記事は、こちら)

IRNSS 1H(記事は、こちら)

をあげていました。原子時計の重要性の動画もありますね。

そのような観点からも、この技術基準の議論をみてみたいなあと思っていたりします。

 

 

 

 

お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について という会社のコメントについて

前のエントリでふれた事件について、逮捕された従業員の雇用主が、

「お知らせ:当社社員の不正指令電磁的記録(ウイルス)保管容疑で逮捕された件について」というコメントを出しています(平成29年11月日付け)。

会社において、会社の不正行為が疑われる場合、もしくは、従業員の不正行為が疑われる場合の対応については、いろいろな鉄則があります。

それこそ、Tycssのイベント(サイバー犯罪の傾向と対策・対応 )でも話してきましたし、詳しくは、情報漏えい発生時の対応ポイント集」や私が、調査委員長を務めました報告書「情報漏えいインシデント対応方策に関する調査」で詳しくふれているところです。

要は、「正確な事実」に基づいて「透明性原則をもとに、真摯に対応する」ということかとおもいます。事実に基づかない憶測は述べないということがここから導かれるわけです。

思い起こすと、大学の研究員の不正アクセス禁止法違反のケースで、大学の報道担当の人(記憶が正しければ、正式の人は都合がつかなくて代理で担当したはず)が、「不正アクセスには該当しないと考えています」とか答えて、その大学の刑法の先生は、誰だっけ?という事件がありました。事件の経緯は、こちらにまとめられています

京都大学のコメントとしては、「京大は『倫理上の問題はあるものの、目的は情報化社会の安全性に警鐘を鳴らすことだった』と記者会見で述べ警視庁は『「ネット犯罪の芽を摘み取る」狙いから逮捕に踏み切ったと報じられ・・』という」というのは、ここで確認できます。

あと、また違った角度からの記事として「セキュリティ啓 者が「テロリスト」と呼ばれた顛末」という記事(佐々木俊尚 インターネットマガジン)があります。これも、これで興味深いです。

この事件のこの会社のコメントについていうと、
このコメントを出した段階で、会社は、事実関係を確認しているのかどうか、社内サーバにおける保管とShareでの保管とではまったく話が別なのではないか、この会社は、レスポンスについてもアドバイスするのではないか、そうだとすると、情報の一元的管理等の観点から、力量が推し量られるのではないか
などの疑問がでてきてしまいます。

(なお、表現を正確にすると、「社内サーバにおける保管であって外部との共有が予定されていない保管とShareでの共有を前提とした保管とではまったく話が別なのではないか」という表現のほうがいいですね。ここは、修正します。会社のプレスは、前者の意味に読めたところです。11月4日 1551加筆 /さらに、このエントリは、プレスリリースの出し方の問題についてふれたもので、実体法的な問題は、前のエントリで論じているわけなので、そちらも読んでもらえるといいです。では、ファイル共有ソフト内のネットワークにおいてクライアント会社の秘密のファイルが流れていないか、というのをみていて、そこで、マルウエアも保管していたらどうか、という問題についても、そちらの問題ですね。11月5日 0904加筆)

上の京都大学の研究員の事件では、現実に有罪判決がなされているわけです(東京地裁 平成17年3月25日)。セキュリティの会社がレスポンスの原則からみて?のコメントをしたねということにならなければいいなあとおもいます。

セキュリティー会社員がファイル共有ソフト内にウイルス保管

「 セキュリティー会社員がファイル共有ソフト内にウイルス保管」 という記事がでています。

京都府警サイバー犯罪対策課は31日、不正指令電磁的記録保管容疑で、インターネットセキュリティー企業社員の男(43)を逮捕したということです。

具体的には、同社のパソコン内のファイル共有ソフト「Share(シェア)」に、ウイルスが含まれたファイルを、第三者がダウンロードできる状態で保管したというのが容疑ということになります。

まずは、不正指令電磁的記録保管容疑については、構成要件としては、刑法168条の3「正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。」ということになります。前条1項の目的というのは、「人の電子計算機における実行の用に供する目的」ということになります。

この不正指令電磁的記録の行使などについては、法務省において、濫用されることがあるのてはないかという議論に対して、「いわゆるコンピュータ・ウイルスに関する罪について」いうメモが公開されているのは、「北條先生の「サイバー対策 法見直し必要」の続き」でもふれたところです。バグを作ることは「認識」しているのだから、犯罪が成立するのではないかという(法律家からすると)誤解も生じうるので、それに対して、犯罪は成立しませんよということか明らかにされたものになります。

まずは、この目的ですが、自分が将来「人の電子計算機における実行の用に供する」という行為をなす、という認識を有することをいうことになります。ここで、この「認識」というのが、どの程度なのか、という解釈論が生じることは生じるのですが、普通には、そのような事実(他人の電子計算機で実行されるという事実)を認識しているかどうか(それでもかまわないという認容という人もいるでしょう)ということがメルクマールてす。

その意味では、上のような認識を有していれば、構成要件に該当することになります。(目的も主観的な構成要件となるかとおもいます。)

では、自分の業務に必要なので、他人が感染したとしても、Shareで実際にどのような情報が共有されているのかをみるためにネットワークに接続しているのであって、そのなかに、悪意あるマルウエアが含まれていて、そのネットワークに接続している人が、当然にそのまま感染してもいいと思って放っていたというのは、どうでしょうか。上の目的との関係でいえば、実行されるという認識は有しているので、その目的を否定することにはなりません。

Shareの実際に流通しているファイルをみるという「研究目的」があって、そのために実際に感染させたというのは、許容されるのか、という問題が発生します。

(前には、感染力的な表現をしていましたが、こっちのほうが現実的なので、そう直しました 11月5日 0911 )

実際には、そのような行為が、「正当行為」もくしは、(業務として行われて)「正当業務行為」として認められる(法的には、違法性阻却がなされる)ということは、私個人の意見としては、ありえないとおもいます。が、理論的にはありえないことはないです。

もっとも、実際の事件としては、そのような「業務であったのか」(要は、反復・継続 場合によって会社の業務の一環としてなされていたのか)などいう事実確認が必要になってくるかとおもいます。

でもって、もう一つは、そのような研究のために「許されると思っていた」というのは、どのような影響を与えるのでしょうか。このような認識は、感染すると問題が生じるマルウエアだとはおもわなかったという場合であれば、別ですが、単に、通常の場合には、違法かどうかの法的評価を誤ったにすぎないことになります。なので、この場合は、犯罪の成否に影響を与えるものではないです。

ということで、事実関係がわからない現時点においては、容易に判断がなされるものではないということだけがいえる問題になります。

ただ、そうであるにも関わらず、コメントを発してしまうというのは、それ自体で問題になるということですね。それは、次のエントリで。