セミナーレポート

シンポジウム道後2014、開催

増加するサイバー攻撃、プライバシー意識の課題も

2014/3/31

 2014年2月27、28日の2日間、情報セキュリティシンポジウム道後2014が開催された。伊予道後の湯けむりのなか、セキュリティ関連の活発な議論が交わされた。

セキュリティ関係者が一堂に集う
セキュリティ関係者が一堂に集う

存在感増すNISC


 初日に行われた講演では内閣官房情報セキュリティセンター(NISC)副センター長の谷脇康彦氏が登壇、政府の現状を伝えた。NISCは政府全体のITを取り扱うほか、サイバー攻撃などインシデント対応のための情報モニタリングを主な業務としている。


 情報モニタリングについては、2008年に運用を開始したNISC内のGSOC(政府機関・情報セキュリティ横断監視・即応チーム)が監視を行っている。中央省庁に対するサイバー攻撃とみられる動きは、2012年度で108万件あり、2011年度の66万件から約1.5倍に増えている。


 谷脇氏は官公庁のシステム発注時に発生するリスクについても「(受注した)元請けから、2次、3次業者が入ってくる。このプロセスでマルウェアを仕込まれることもあった」と、実例を紹介した。こうしたサイバー攻撃に備えるため、政府機関のシステム構築時は、委託先による不正機能の混入防止の監視を含め、サプライチェーンのプロセス管理を徹底するという。また、NISCはシステム入札時に企業を精査するとともに、情報セキュリティに関して各省庁に対する監査権限の強化を図っているという。


 また、情報連携については、個人情報を活用したビジネスがある。特に2017年からオンラインでのサービス提供が開始される共通番号(マイナンバー)制度は、銀行のオンライン口座ログインなど民間利用も視野にある。個人情報の利用はビジネスに有効である一方、プライバシー保護の問題もはらむ。谷脇氏は「データは世界中を巡っている」として、日本のみならず、各国とバランスを取りながら対処すべきとした。


 特にASEAN諸国は日本の対外直接投資先であり、日本メーカーのサプライチェーンを担っている。その一方でASEAN諸国は、国によってITの普及にバラつきがある。谷脇氏は「このインフラを早期に改善する必要がある」と連携を訴えた。

NISC副センター長の谷脇氏   モバイル広告などが話題に挙がった
NISC副センター長の谷脇氏   モバイル広告などが話題に挙がった

広告とプライバシー


 続いて行われたディスカッションでは、最近話題に上ることの多い「ライフログ」や「モバイルマーケティング」について意見が交わされた。


 オプトの寺田眞治氏はスマートフォンを含めたモバイルアプリの広告動向について解説した。「制限があってもキャリアがすべて面倒を見てくれた」(寺田氏)フィーチャーフォン(ガラケー)時代と違い、現在は参入障壁もそれほど高くなく、スマートフォンがマーケティングツールとして活用されるようになった。


 スマートフォンの広告も、WEBからアプリへと場所を移している。アプリ広告の仕組みは、まず広告代理店や広告主が、ターゲットと期間と出稿量を指定する。それを、アドネットワーク運営者が、アプリ事業者の収集した利用者情報からターゲット拾い出し、アプリへ広告を配信する、というものだ。


 様々なIDと連携しているモバイル端末は、消費者の行動を知る上での情報の宝庫である。モバイルを使った広告界隈では、新たな手法が生み出されているように見える。しかし、寺田氏は「『フリーミアム』は『店頭のお試し』、『ソーシャル』は『口コミ』で、違いは可視化ができることだけ」だとして、マーケティングの手法に「新手」がないことを強調した。


 また寺田氏は、「(アドネットワーク運営者等の)提供者側が『これを提供すれば(ユーザが)便利だろう』と思いこんでいる節がある」とも指摘。ユーザに有益な情報(広告)の提供が今後の課題であるとした。また、利用者情報はプライバシーにかかわることから、利用者情報を利用する際は、合意を取る時のプロセスの「見える化」が必要、とも訴えた。


 NTTドコモの中山俊樹氏も、自社のライフサポートサービスを紹介した上で、「(脈拍や体温、血圧など)バイタル情報は非常にセンシティブなもの。プライバシールールの設定が必要」と述べた。

法解釈を解説する園田氏   ナイトセッション報告会も行われた
法解釈を解説する園田氏   ナイトセッション報告会も行われた

法解釈の問題


 アップデートの激しい情報セキュリティ界隈で、マルウェア等の法規制もスピード感が求められるようになっている。


 甲南大学法科大学院・教授の園田 寿氏はサイバー犯罪にかかわる刑事罰について解説した。園田氏によれば2011年に施行された「ウイルス作成罪」は、「法律家の中でも理解する人が少ないのでは」とのことだ。


 コンピュータについての犯罪は、1980年代のキャッシュカード偽造などにさかのぼる。当時の法規定で罪に問えなかったことが発端となり、1987年に刑法改正が行われた。ウイルス作成を犯罪化するにはこれで充分だったが、作成“未遂”についての規定がなかったため、「ウイルス作成罪」が制定されたという。


 マルウェアが起動する前に止めるための法律であるが、「ディスクを初期化するプログラム」などは、プログラム自体を法に問うのは無理がある。園田氏は「全体的な流れのなかで、ウイルスかどうかを判断する」ことになると述べた。ただ、法律を拡大解釈して対応するのは「他の刑事事件にも影響が及ぼされることになる」として否定的な見解を示した。


ナイトセッション


 越後湯沢や白浜のシンポジウムでも恒例行事となっているナイトセッション。毎回オフレコという取り決めだったが、今回のシンポジウムで初めて議論の様子が翌日に公開された。支障のない範囲での紹介に限られたものだが、これまで喋りっぱなしで終わっていた議論がオープンの場にフィードバックされた意義は大きい。


 「ナイトセッション昼の陣」と題された報告会では、セキュリティに携わる人材の育成方法、そもそものセキュリティ論など、参加者の組織の肩書を外した議論が行われたことが発表された。


 サイバー攻撃だけでなく、広告配信のための情報収集や、日本語変換ソフトでの入力文字列自動送信など、「利用者の気づきにくい情報送信」も話題に取り上げられており、「情報セキュリティ月間」である2月の最終日にふさわしいイベントとなった。今後も活発に行われることを期待したい。

(中西 啓)

【セミナーデータ】

イベント名
:情報セキュリティシンポジウム道後2014
主催   
:情報セキュリティシンポジウム道後2014実行委員会
開催日  
:2014年2月27日~28日
開催場所 
:松山市立子規記念博物館(愛媛県松山市)

【関連カテゴリ】

情報セキュリティIT政策