日経記事;『ハッカーに報奨金拡大 システム欠陥発見へ GM・ペイパル。。敵の知恵で安全確保』に関する考察 - 各種の新規事業・事業拡大 - 専門家プロファイル

グローバルビジネスマッチングアドバイザー GBM&A 代表
神奈川県
経営コンサルタント
専門家の皆様へ 専門家プロファイルでは、さまざまなジャンルの専門家を募集しています。
出展をご検討の方はお気軽にご請求ください。

日経記事;『ハッカーに報奨金拡大 システム欠陥発見へ GM・ペイパル。。敵の知恵で安全確保』に関する考察

- good

  1. 法人・ビジネス
  2. 新規事業・事業拡大
  3. 各種の新規事業・事業拡大
情報・知識 インターネット環境・検索・市場規模など

皆様、
おはようございます。
グローバルビジネスマッチングアドバイザー 山本 雅暁です。

3月29日付の日経新聞に、『「ハッカーに報奨金」拡大 システム欠陥発見へ GM・ペイパル・ユナイテッド航空… 「敵」の知恵で安全確保』のタイトルで記事が掲載されました。

本日は、この記事に関して考えを述べます。

記事の主な内容は以下の通りです。

『米国の自動車メーカーや航空会社などで自社システムの防衛策の一環でハッカーを活用する動きが増えている。指定したシステムへの侵入を広く呼びかけ、セキュリティーホール(安全上の欠陥)を探したハッカーに報奨金を支給する。IT(情報技術)業界では一般的な手法が他業界にも広がっている。システムが高度・複雑化しサイバー犯罪も巧妙となっていることが背景にある。

バラセック氏(左)ら著名ハッカーは毎年自動車会社のセキュリティーの弱さを公表し、注目を集めている(米ラスベガス)

米国防総省が今月2日に発表したプロジェクトはサイバーセキュリティー業界に驚きを持って受け止められた。同省の通称を取ったプロジェクト名は「ペンタゴンをハッキングせよ」。機密度の高いものは含まない非基幹システムを対象に、不具合やセキュリティーの脆弱性を見つけたハッカーに報奨金を出す仕組みを4月から試験導入するという内容だ。

■上限1万ドルを支給

システムに無断侵入する犯罪者とみなしてきたハッカーに対し、米政府が報奨金を出すのは初めて。応募者の身元確認は徹底するなど慎重に取り組みを進めているが、ITへの理解が深いオバマ政権ならではの試みといえる。

セキュリティー対策でのハッカー起用は自動車業界を筆頭に製造業で急速に進んでいる。米電気自動車(EV)メーカー、テスラ・モーターズは1万ドル(約113万円)を上限に報奨金を支給する。2015年に開始し、既に100件以上に支給した。「個人情報は流出させない」「サービスやデータの管理に支障をきたさない」「公表前に十分な改善時間を与える」など制限を設けつつ、対価を払ってハッカーの力を取り込んでいる。

昨夏、ハッカーが集う米ラスベガスのイベントに登場したテスラのジェービー・ストローベルCTO(最高技術責任者)は「ハッカーの共同体と協力的にやっていく。それなしに安全性の確保は不可能だ」と語った。

米自動車大手ゼネラル・モーターズ(GM)も今年からテスラに類似の報奨金制度を導入した。北朝鮮やシリアなど特定の国からの参加は禁じるなど参加者選びは慎重に行っている。

航空業界でも昨年、米ユナイテッド航空が同業界で初めて報奨金ならぬ「報奨マイル」制度を始めた。遠隔操作の可能性など重要な欠陥を見つけた場合、最大100万マイルを付与する。

■開発体制の一部に

金融業界では米決済大手ペイパルも導入している。同社のジョン・ラン上級ディレクターは「外部のハッカーは既に開発体制の一部」と語る。国防総省までハッカー起用に乗り出したことは、セキュリティー問題がそれだけ深刻化していることの表れでもある。

米連邦捜査局(FBI)と米運輸省高速道路交通安全局(NHTSA)は17日、通信機能がついた自動車にセキュリティーの脆弱性があると警告を発した。規制当局も「セキュリティー品質」に注意を向け始めている。

すべてのモノがインターネットにつながる「IoT 」に自動車業界が対応する中で、リスクに直面した格好だ。大手各社はこれまで、通信機能が付いた娯楽向けの情報システムと駆動システムは切り離されており、ハッキングによる車の遠隔操作は事実上不可能と主張してきた。

だが米FCAUS(旧クライスラー)は昨年、著名ハッカー、クリス・バラセック氏らに遠隔操作が可能と指摘され、140万台のリコールを余儀なくされた。同氏は「どの会社も外部から遠隔攻撃されないと信じるべきではない」と警鐘を鳴らす。

セキュリティーが強固な企業に対しては、セキュリティーが脆弱な取引先企業を経由して侵入するサイバー攻撃が増えている。脆弱性を探すためホワイト(善玉)ハッカーを雇おうとしても人数に限りがあり、想定外の弱点が残る恐れもある。不特定多数のハッカーを使う方が効率的な面もあり、報奨金制度はさらに広まりそうだ。』


本日の記事は、米国の大手企業や政府が悪玉ハッカーから攻撃され不正アクセスされるのを未然に防ぐため、善玉ハッカーと幅広く提携して対応し始めることについて書いています。

特に注目されるのは、米国防総省が3月上旬に発表した一般的な善玉ハッカーの協力を得て、機密度の高いものは含まない非基幹システムを対象に、不具合やセキュリティーの脆弱性を見つけたハッカーに報奨金を出す仕組みを試験導入することです。

およそ日本の防衛省には、考えられないことです。それだけ、サイバーセキュリティ対策が深刻な状況にあり、早急かつ効果的な対応が求められていると言えます。

今日のアメリカの状況は、明日の日本の状況になります。現在の技術レベルでは、完璧なセキュリティ対策の実現が難しい状況にあります。

しかし、日本では、あまりサイバーセキュリティ対策がそれほど深刻、かつ真剣に考えられていないように感じます。それは、サイバーセキュリティ対策技術者の育成に今まで高い関心を払ってこなかったことに反映されています。

ただし、日本政府も手をこまねいているわけでなく、たとえば、情報処理推進機構(IPA)が2004年から行っている「セキュリティ・キャンプ」は、若年層の優秀なサイバーセキュリティ人材の早期発掘と育成を目的として運営されています。

このほか、官民一体で協力して行っているCSIRT(Computer Security Incident Response Team);企業・組織内の情報セキュリティ問題を専門に扱うチームの総称が維持運営されています。

CSIRTは、大手企業のような組織では常設の機関として専任の人員を置く場合と、普段は情報システム関連の業務を行なうスタッフが事象発生時に集まって対応するというやり方を組み合わせて運用されています。

日本のセキュリティ対策技術者のトップガンの一人として有名な名和利男氏も、CSIRTのメンバーです。

ただ、日本のサイバーセキュリティ対策技術者の絶対数が、アメリカに比べて少ないと言われています。この点についてはいろいろな考え方がありますが、日本で第一線のセキュリティ対策技術者数は、現在約10万人いますが、8万人不足しているとされています。

日本では、IoT 対応がITベンダーや製造メーカーなどで本格的に開発・実用化され、商品化されつつあります。

IoT 対応の本格的適用事例は、東京オリンピックが開催される2020年までに導入予定される自動運転車があります。

自動運転車の最大の課題は、無人運転状態での安全走行の確保・担保になります。各種センサーデバイスやレーダーデバイス、大量のデータ・情報の処理を可能にするコンピュータシステム、ソフトウエア商品などが、基本的には安全走行を可能にします。

しかし、このシステムにセキュリティホールがあると、悪玉ハッカーに不正アクセスされ安全走行が担保できない深刻なリスクが発生します。

電力などのエネルギー供給網の安全確保も、サイバーセキュリティ対策が必須な状況にあります。

このためには、優秀なセキュリティ対策技術者の早期大量育成が必要になります。優秀なセキュリティ対策技術者には、米国並みの高収入を支払う仕組み作りも必要です。

多くのセキュリティ対策技術者を確保している米国でも、必要数が不足しているので、民間の善玉ハッカーの協力を得て、サイバーセキュリティ対策を強化しようとしています。

日本でも、最近、まだぜい弱ですが、優秀なプログラマーがフリーランスとしてビジネスできる状況ができつつあります。

ITやインターネットの普及は、社会インフラを大きく変えているのと並行して、個人の働き方も変化させています。

フリーランスとしてビジネスしているプログラマーの多くは、アプリケーションソフト、Webサイト、ゲームソフトなどのエンターテインメント用途向けになっています。

ここに、サイバーセキュリティ対策も加えて、優秀なフリーランスのサイバーセキュリティ対策技術者には、高額報酬でビジネスができる事業環境作りも必要になると考えています。

日本では、フリーランスのプログラマーを、一時的な下請けとして活用する傾向が多々見受けられます。

このようなやり方では、優秀なプログラマーが安定してビジネスできる事業環境にならないと考えます。

私の支援先企業の中には、フリーランスのプログラマーや少人数のソフトウエアベンダーと、連携・協業してIoT 対応の商品の開発・実用化を進めたり、組込みソフトウエア内蔵のデバイスを供給する会社があります。基本的には、イコールパートナーシップにより、お互いの強みを発揮できる「Win/Win」関係を築いて事業拡大を実現しつつあります。

まだ、日本では、善玉ハッカーとなるフリーランスのセキュリティ対策技術者が不足していますが、下請けではなくイコールパートナーシップで共にビジネスできる事業環境が整えば、セキュリティ対策を含めた優秀なプログラマーの確保が可能になるとみています。

よろしくお願いいたします。

グローバルビジネスマッチングアドバイザー GBM&A 山本 雅暁

 


 

カテゴリ このコラムの執筆専門家

(神奈川県 / 経営コンサルタント)
グローバルビジネスマッチングアドバイザー GBM&A 代表

起業・企業存続の為の経営戦略立案・実行と、ビジネススキル向上

起業及び、事業拡大や経営合理化を目指す企業に対して経営コンサルを行います。大手メーカーで得た経験を活かし、補助金活用、アライアンスやM&A、市場分析に基づいた事業戦略策定・実行や事業再生を支援します。OJT研修でのビジネススキル向上を支援します。

カテゴリ 「情報・知識」のコラム