第8回は、「経済の安全保障」のためのイノベーション IIについてお伝えします。「安全保障」と聞くと軍事や国防を連想しがちですが、賢慮の学校では、「経済の安全保障」「食の安全保障」「エネルギーの安全保障」「人間の安全保障」「次世代の安全保障」「グローバルの安全保障」…と、分野別に安全保障について論じていきます。多様な分野を知ることで、多重視点を身につけることができるでしょう。以前の「経済の安全保障」のためのイノベーションでのコラムでは、経済安全保障推進法やサプライチェーンなどについて解説しました。IIでは、セキュリティクリアランスについて掘り下げていきます。
現在、多くのイノベーションは“well-being(ウェルビーイング)”という視点で進められていますが、根本の安全や生命の安全があってこそのwell-being(ウェルビーイング)です。安全保障なくして、well-being(ウェルビーイング)もhappiness(ハピネス)もありません。賢慮の学校は空想的well-being(ウェルビーイング)ではなく、実態の伴うwell-being(ウェルビーイング)を目指したいと思います。
セキュリティクリアランスとは何か?
セキュリティクリアランスとは、安全保障に関わる機密情報にアクセスできる資格者を政府が認定する制度です。この制度は、第二次世界大戦中にアメリカで始まりました。その後、冷戦やテロ対策などの情勢に応じて、各国で導入されています。
セキュリティクリアランスには、機密情報の重要度や危険度に応じて、いくつかのレベルがあります。例えば、アメリカではトップシークレット(TS)、シークレット(S)、コンフィデンシャル(C)などがあり、日本では特別防衛秘密(SDS)、防衛秘密(DS)、防衛機密(DC)などがあります。セキュリティクリアランスを取得するには、政府が行う厳しい審査や背景調査を通過することが必要です。
セキュリティクリアランスのメリットは、国家や企業の重要な情報を守ることができることです。また、セキュリティクリアランスを持つ人は、高い信頼性や専門性を持つと認められることもあります。一方で、セキュリティクリアランスのデメリットは、情報の流通や共有が制限されることで、イノベーションや競争力が低下する可能性があることです。また、セキュリティクリアランスを持つ人は、プライバシーや自由が侵害されることもあります。
サーバーセキュリティとは何か?
サーバーセキュリティは、サーバー上に保管されているデータの保護や、不正アクセスからの防御を指します。これには、ハードウェアの保護からソフトウェアの設定、アクセス権の管理まで幅広い領域が含まれます。特に企業の業務において、機密情報や顧客データなどの重要な情報を管理するファイルサーバーは、高度なセキュリティが求められます。
サーバーセキュリティは最も重要な対策であり、その理由は以下のとおりです。
データの保護:機密性、完全性、可用性を確保し、未許可アクセスとデータ侵害を防止する。
事業継続性の維持:障害、ダウンタイム、財務上の損失を回避する。
評価と信頼の維持:顧客情報の保護を確約し、信頼を醸成する。
法規制の遵守:個別の規制に適合し、罰則や法的効果を回避する。
未許可アクセスの防止:データの窃取、マルウェア、サービス停止攻撃などから防御する。
財務損失の軽減:法的問題、補償、評判やビジネスへの影響によるコストを削減する。
知的財産の保護:貴重な資産、企業秘密、イノベーションを保護する。
信頼性のある取引の支援:機密性が必要なトランザクションとインタラクション向けのセキュアな環境を構築する。
サーバーに対する主な脅威や攻撃の種類は少なくありません。ここではその中でも、よくニュースに取り上げられる代表例を紹介します。
サーバーに多大な負荷をかける「DDoS攻撃」「リフレクション攻撃」
未知の脆弱性を突く「ゼロデイ攻撃」
重要データを”人質”にとる「ランサムウェア」
データベースを不正に操作する「SQLインジェクション」
総当たり方式でパスワードを解読する「ブルートフォース攻撃」
悪意のあるウェブサイトへ誘導する「クロスサイトスクリプティング」
DNSキャッシュポイズニング
サーバーセキュリティを守るためには、以下のような基本的な対策やツールが必要です。
物理的セキュリティ:サーバーの設置場所やアクセス制御を適切に管理すること
ネットワークセキュリティ:ファイアウォールやVPNなどでネットワークの境界を保護すること
OSセキュリティ:パスワードやアカウントの管理、パッチの適用、不要なサービスの停止などでOSの脆弱性を減らすこと
アプリケーションセキュリティ:ウェブサーバーやデータベースなどのアプリケーションの設定や更新を行うこと
暗号化:データの保存や通信において暗号化技術を利用すること
侵入検知と防止:サーバーへの不正なアクセスや攻撃を検知し、防止するシステムを導入すること
ログモニタリング:サーバーの動作やアクセス状況を記録し、異常な活動を特定し修正につなげること
バックアップ/リカバリ:データの定期的なバックアップと災害時の復旧計画を策定すること
社員のトレーニング:サーバー管理者や利用者に対して、セキュリティのベストプラクティスやポリシーを教育すること
サーバーセキュリティを向上させるためには、自分のサーバーに対する攻撃を予測し、対策を講じることが重要です。しかし、自分のサーバーに対する攻撃を想像するだけでは、実際の攻撃者の思考や手法に追いつけない場合があります。そこで、サーバーのセキュリティを試すために、自分のサーバーに対して攻撃を仕掛ける人々がいます。これがホワイトハッカーと呼ばれる人々です。
ホワイトハッカーは、サーバーの所有者や管理者の許可を得て、サーバーに対して攻撃を行います。その目的は、サーバーの脆弱性を発見し、報告し、改善することです。ホワイトハッカーは、サーバーに対して悪意のある攻撃を行うブラックハッカーとは異なり、サーバーのセキュリティを高めるために貢献します。ホワイトハッカーは、サーバーの所有者や管理者と契約を結び、報酬を得ることもあります。
ホワイトハッカーに関する取り組みの例としては、以下のようなものがあります。
バグバウンティプログラム:サーバーの所有者や管理者が、サーバーの脆弱性を発見したホワイトハッカーに対して、報酬や賞品を提供するプログラム。多くの企業や組織が、自社のサーバーのセキュリティを向上させるために、バグバウンティプログラムを実施している。
サイバーセキュリティコンテスト:サーバーのセキュリティに関する知識や技術を競うコンテスト。参加者は、サーバーに対して攻撃を行ったり、サーバーを防御したりすることで、ポイントを獲得する。コンテストの主催者は、サーバーのセキュリティに関心のある人々を集めたり、ホワイトハッカーの才能を発掘したりすることを目的としている。コンテストの参加者は、自分のスキルを試したり、他の参加者と交流したり、賞金や名声を得たりすることができる。
サイバーセキュリティ教育:サーバーのセキュリティに関する知識や技術を学ぶための教育プログラム。ホワイトハッカーを目指す人々や、サーバー管理者や利用者としてセキュリティ意識を高めたい人々が、オンラインやオフラインでさまざまなコースやワークショップに参加できる。
以上のように、ホワイトハッカーに関する取り組みは、サーバーセキュリティの重要性を認識し、向上させるために有効な手段です。ホワイトハッカーは、サーバーの所有者や管理者と協力して、サーバーのセキュリティを高めることで、社会に貢献しています。
人々が日々使用しているさまざまなテクノロジーも、このようなサーバーセキュリティが守られてこそ安全に使用できるわけです。
ブロックチェーンとは何か?
今後のセキュリティを語るうえで無視できない技術がブロックチェーンです。ブロックチェーンは分散型のデータベースで、データの耐改ざん性やトレーサビリティが高いとされています。この技術は、2008年にサトシ・ナカモトという仮名の人物、あるいはチームが発表したビットコインという暗号資産の仕組みに基づいています。その後、ブロックチェーンは、金融や物流などの分野でイノベーションを起こす可能性が注目されました。
ブロックチェーンには、公開型と許可型の二種類があります。公開型は、世界中のだれでも参加できるオープンなネットワークで、ビットコインやイーサリアムなどが該当します。許可型は、参加者や権限が制限されたクローズドなネットワークで、企業間の取引や政府のサービスなどが該当します。ブロックチェーンを運用するには、参加者間で合意形成を行う仕組みが必要です。この仕組みには、プルーフ・オブ・ワーク(PoW)やプルーフ・オブ・ステーク(PoS)などがあります。
ブロックチェーンのメリットは、中央機関や仲介者が不要になることで、コストや時間を削減できることです。また、データの改ざんや偽造が困難になることで、信頼性や透明性が向上することです。中央機関や仲介者が不要になるとは言え、暗号資産の市場規模の拡大やブロックチェーン技術のさまざまな領域での活用の広がりを見れば、国家の介入を防ぐことはできないでしょう。
一方で、ブロックチェーンのデメリットは、技術的な複雑さや未成熟さによる不安定さや不便さがあることです。例えば、ブロックチェーンのデータ容量は、従来のデータベースに比べて大きくなります。また、ブロックチェーンの合意形成には、多くの計算資源や電力が必要です。これらの問題は、ブロックチェーンのパフォーマンスや効率性を低下させる可能性があります。また、ハッキングや情報戦争などのリスクもあるでしょう。例えば、ブロックチェーンのネットワークに参加するノードやウォレットなどが、サイバー攻撃によって損傷したり、盗まれたりする可能性があります。また、ブロックチェーンのデータに対する改ざんや偽造は極めて困難ですが、完全に不可能というわけではありません。これらの問題は、ブロックチェーンの信頼性や安全性を損なう可能性があります。
アタックサーフェスマネジメントとは何か?
アタックサーフェスマネジメント(ASM)は、組織の外部からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスのことです。 ASMの継続的な実施により、組織管理者の未把握の機器や意図しない設定ミスを攻撃者視点から発見でき、脆弱性管理活動において、リスク低減の効果が期待されます。
ASMは、リスク低減効果が期待される一方で、収集・分析する情報の不確実性等の実施にあたっての留意点が存在するため、導入を検討する際には、基本的な考え方や特徴、留意点などを把握する必要があります。ASMを導入する際には、以下の点に留意することが重要です。
ASMの目的を明確にすること:
ASMの目的は、前述のとおり組織の外部からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価することです。ASMを導入する際には、自社のセキュリティ戦略に合わせて、ASMの目的を明確にすることが重要です。
ASMの範囲を定めること:
ASMは、組織の外部からアクセス可能なIT資産を対象としています。ASMを導入する際には、どのようなIT資産を対象とするか、また、どの程度の頻度で実施するかなど、ASMの範囲を明確に定めることが重要です。
ASMの実施に必要な人材や技術を確保すること:
ASMの実施には、情報収集や分析に必要な人材や技術が必要です。ASMを導入する際には、これらの人材や技術を確保することが重要です。
ASMの実施に必要なコストを把握すること:
ASMの実施には、コストがかかります。ASMを導入する際には、必要なコストを把握し、予算を確保することが重要です。
以上の点に留意することで、ASMの導入にあたり、より効果的な実施が可能となるでしょう。
情報戦争と国際問題:ウクライナとイスラエルの事例
情報戦争とは、情報を武器として利用する戦略です。この戦略は、敵対者の情報システムやネットワークを攻撃したり、自らの情報を宣伝したり、敵対者の情報を操作したりすることで、敵対者の意思や行動を変えること、あるいは社会の混乱を目的としています。情報戦争は、軍事的な衝突だけでなく、政治的や経済的な競争にも適用されます。
2022年から続くウクライナ危機は、2014年にロシアがクリミア半島を併合し、ウクライナ東部で分離主義勢力を支援したことで発生した国際問題です。この問題では、ロシアとウクライナは、情報戦争を激しく展開しました。ロシアは、自らのメディアやソーシャルメディアで、ウクライナ政府や欧米諸国を非難し、ロシアの正当性や愛国心を高めるプロパガンダを行いました。また、ロシアは、ウクライナのインフラや政府機関などのサイバー攻撃を行い、ウクライナの安全保障や経済に混乱を引き起こしています。一方、ウクライナは、自らのメディアやソーシャルメディアで、ロシアの侵略や人権侵害を告発し、ウクライナの主権や領土を守るための支援を求める情報作戦を行っています。また、ウクライナは、ロシアのサイバー攻撃やプロパガンダに対抗するための防御策や反論を展開しています。これらの情報戦争は、ウクライナとロシアの関係を悪化させる結果となりました。
また、イスラエルは、中東地域で多くの敵対国家やテロ組織と対峙している国家です。この国家では、情報戦争が常態化しています。イスラエルも当初は、ハマスから人質を取られ同情を得たものの、その後の非人道的な行為が世界の映像をかけめぐり加害者になっている点も情報戦争の一端です。またイスラエルは、自らの軍事力や技術力を活用して、敵対者の核施設やミサイル基地などのサイバー攻撃を行いました。自らのメディアやソーシャルメディアで、自らの正義や安全保障を主張し、敵対者の非人道的な行為や暴力を暴露する情報作戦を行っています。しかしイスラエルもまた、敵対者からのサイバー攻撃やプロパガンダにさらされています。敵対者は、イスラエルの人権侵害や違法な占領を非難し、イスラエルに対する国際的な制裁や批判を促進する情報作戦を行っています。これらの情報戦争は、イスラエル社会に対する恐怖感や孤立感を増幅させるとともに、中東地域における平和や安定を遠ざける要因となっています。
経済の安全保障とイノベーション:セキュリティクリアランスとブロックチェーン、ASMの役割
経済の安全保障とは、国家や企業が経済活動において自律性や優位性を確保し、外部からの脅威に対抗する能力を意味します。この概念は、グローバル化やデジタル化によって経済が複雑化・多様化し、技術競争や貿易摩擦などの経済的な対立が高まったことで注目されるようになりました。経済の安全保障の目的は、国家や企業が自らの利益や価値観を守り、国際社会における影響力や競争力を強化することです。
経済の安全保障には、以下のような要素があります。
物的資源:エネルギーや食料など生存に必要な物資や資源を確保すること
人的資源:技術や知識を持つ人材や人口を確保すること
金融資源:通貨や資本など経済活動に必要な金融資源を確保すること
情報資源:情報やデータなど知的財産を確保し、流出や改ざんを防ぐこと
制度資源:法律や規制など経済活動に関する制度を確立し、遵守させること
経済の安全保障の現状は、以下のような課題やリスクに直面しています。
物的資源の安定供給が不安定化:
コロナパンデミックや自然災害などにより、サプライチェーンが混乱し、物資や部品の不足や価格高騰が発生している。
人的資源の不足や流出が深刻化:
少子高齢化や国際移動の制限などにより、労働力や専門家の不足が問題となっている。また、優秀な人材が海外に流出したり、外国の企業や機関に引き抜かれたりするケースもある。
金融資源の管理が困難化:
暗号資産やデジタル通貨などの新たな金融サービスが普及し、国際決済や投資の多様化が進んでいる。しかし、これらのサービスは規制や監督が不十分であり、マネーロンダリングやテロ資金などの犯罪行為に悪用される恐れがある。
情報資源の保護が不十分:
サイバー攻撃や偽情報などの情報戦争が激化し、国家や企業の重要な情報が盗まれたり、操作されたりする危険性が高まっている。また、個人情報やプライバシーも侵害される可能性がある。
制度資源の整備が遅れている:
技術革新やグローバル化に対応するためには、経済活動に関する法律や規制を適切に更新する必要がある。しかし、各国間での調整や合意が難しく、制度的なギャップや摩擦が生じている。
経済の安全保障を確保するためには、さまざまな手段がありますが、新しい技術を活用することで、より効果的に安全保障を確保することができると考えられます。その理由は、以下のとおりです。
セキュリティの向上:
技術を活用することで、組織のセキュリティを高めることができます。例えば、ASMやセキュリティクリアランスなどの技術を活用することで、組織の外部からの攻撃を防ぐことができます。
情報の保護:
経済の安全保障には、さまざまな機密情報が関わっています。技術を活用することで、このような機密情報を保護することができます。例えば、セキュリティクリアランスなどの技術を活用することで、機密情報にアクセスできる人物を限定することができます。
改ざんの防止:
ブロックチェーンなどの技術を活用することで、改ざんが困難であることから、セキュリティに優れているとされています。これらの技術を活用することで、改ざんによる被害を防止することができます。
セキュリティクリアランスとブロックチェーン、ASMは、情報戦争や国際問題においても重要な役割を果たしますが、同時に課題やリスクも抱えています。これらを適切に活用するためには、政府や企業や研究者などの関係者が協力し、基本的な価値やルールを共有し、国際的な協調を図ることが必要です。立場を超えた対話や交流、プロジェクトの推進が欠かせません。
出典・参考:
セキュリティ・クリアランスとは?なぜ日本で必要性が高まっているのか? | トレンドマイクロ (trendmicro.com)
サーバーセキュリティとは | 用語集 | HPE 日本
サーバ向けセキュリティ対策の必要性がわからない|SaaS・プロダクトポータルサイト|トレンドマイクロ (trendmicro.co.jp)
ブロックチェーンのセキュリティは万能?51%問題等のリスクと対策を解説! | トレードログ株式会社 (trade-log.io)
岐路のイスラエル中立政策 ウクライナが支援要請 – 日本経済新聞 (nikkei.com)
「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました (METI/経済産業省)
経済産業省が重要視する「ASM」の本質に迫る! アタックサーフェスの増加に対応するには? | TECH+(テックプラス) (mynavi.jp)
アタックサーフェスマネジメント(ASM)とは | トレンドマイクロ (trendmicro.com)