...

サイバー攻撃・情報漏洩に備えてMELT up 止揚 −東工大に

by user

on
Category: Documents
13

views

Report

Comments

Transcript

サイバー攻撃・情報漏洩に備えてMELT up 止揚 −東工大に
講演
サイバー攻撃・情報漏洩に備えてMELT up 止揚
−東工大には総合的止揚力のある人材育成を期待する−
蔵前工業会 八王子支部 平成27年度総会・講演会
2015.5.30 八王子商工会議所 4階大ホール
蔵前工業会八王子支部において,5月30日(土)に平成27年度 八王子支部総会・講演会が開催され, 井
重男 東京工業大学名誉教授にご講演いただきました。ここに講演の要旨をご紹介いたします。
東京工業大学名誉教授 報とは何か」 について調べたことがあった。20以上
はじめに
の定義が見つかったが,代表的な定義として,
「情報
今年(2015年)5月に起きた年金機構からの個
とは意思決定に役立つデータ」,及び,「情報とは,
月のベネッセの情報漏洩事件を他山の石としなかっ
に残っている。当時,この2つの定義は,それぞれ,
セとて,かなりのセキュリティ対策をとってはいたのだ
なる立場からなされたものと思われ,両者の関係に
ベネッセからセキュリティ監視委員会の委員長を依頼
る,I o T(Internet of Things)は,これら2つの
細かい対策を協議しているが,そのような時だけに,
昔,桶狭間の合戦に先立って,信長は,「今川義
人情報漏洩については,何故,昨年(2014年)7
たのかという意味で,驚きを禁じ得なかった。ベネッ
が,あのようなことになってしまった。その直後,私は,
され,岡山の本社などへも出張して,事件後のきめ
個人情報漏洩には細心の注意を払うべき年金機構
の対応は腑に落ちないのである。
デジタル・ネットワークの浸透によって,自由で楽
しい世界が拓けてきた反面,右を向いても左を見ても
矛盾と相剋の絡み合いという難しい世の中になって
きた。相反する価値観を止揚するために,文・理の
軸をX軸,理論・実践軸をY軸とする平面の原点付
近で,総合的視野を以って,ダイナミックに活躍する
人材が求められている。
本稿では,そのあたりを,視野を少し広げて,同
窓の皆さんと共に考えてみたい。
1.情報とは何か
―今川義元の脚に半導体センサーを?
今から40年ほど前,故川上正光先生(東工大元
学長)から情報工学の本を書けと言われ,先ず,
「情
8
井 重男(S33電B)
1051
物質とエネルギーの一切のパターンである」 が印象
社会的利用の視点,及び,自然認識の視点という異
は考えが及ばなかったが,昨今,流行語ともなってい
定義を結びつけようとしている。
元の脚は短い」という情報,いやデータを得ていた。
「そうか,義元は,脚が短く,馬に乗れず,籠に乗っ
て来るか。今川勢2万5千とは言え,本隊5千は,遅
れてくるな。そこを奇襲すれば,勝ち目はあるか」。
本当かどうか,信長はそう判断したと伝えられている。
「義元の脚は短い」 は単なるデータである。これを
意思決定に結びつけて情報とするかどうかは,武将
の器量による。
現在,あらゆる物,人,データにタグ・センサーが
貼り付けられようとしている。 義元の脚に健康保持
の為,タグを貼り付けたら,「プライバシィ侵害」 だ
と怒るだろうか。それとも,「織田に機密情報を漏ら
すな」と警戒するだろうか。戯言はともかく,今や I
o Tは人々の健康や建造物の老朽化,或いは農産物
の育ち具合,そして電力消費のチェックなどの為,あ
らゆるモノと連携して,半ば機械的な判断による処置
がなされる時代となった。I o Tは「情報とは,物質
サイバー攻撃・情報漏洩に備えて MELT up 止揚
講 演 −東工大には総合的止揚力のある人材育成を期待する−
とエネルギーの
一 切 の パター
へのDA変換をモジッタのである。 社会的構造がア
ナログ化してくれば,便利で効率が上がる反面,悩ま
ンである」とい
しい問題も生じ,その為の管理や法制度の整備が必
義を,「情報と
るので,20世紀までは,特に必要とされなかった個
役 立 つデ ータ
なった。 機密情報漏洩に関連して,不正アクセス禁
現 実 的 定 義に
とその幅というアナログ的な面があるが,有罪か無
である。I o T
にはデジタル的存在である。これが,DAの次のD
らゆる物,人,
そして,最後のAは何か? 法律や条令で全てが
う抽 象 的な定
は意 思 決 定に
である」という
直 結させたの
の 普 及 は,あ
データの間の通信が行われると言うことであり,便利
要になる。 例えば,個人情報が際限なく流れても困
人情報保護法が,今世紀になって施行されるように
止法が適用されることも多くなった。法律には,解釈
罪か,懲役何年,罰金何万円という具合に,社会的
である。
決着するわけではない。 余り細かく法制度で規制す
で楽しい反面,安心・安全やプライバシィ侵害の面で,
ると,人々の心理や行動が萎縮し,社会の活性度が
が予想される。
面のあり様が,住み易い社会のための課題となる。
即ち,情報セキュリティの面で,深刻な課題の山積
2.社会構造の変化とDADAプロセス
デジタル技術によるネットワークの普及は,音声や
画像など全てのアナログ的データを0,1に還元して処
理する技術であるが,そのことが,反語的に表現す
低下する。そこで,最後は,人間のアナログ的な内
これが最後のAに位置づけられる。
私はこのプロセスをDADA(図1参照)と名付け
ていたが,ある時,背負う子に浅瀬を教えられた。こ
の10年余り,情報処理推進機構(IPA)では,小
中高の生徒達から,セキュリティ標語を公募している。
私は,その審査委員長を務めているが,数年前,あ
れば,社会的構造のアナログ化(連続化)を促進す
る中学生が 「アナログの心受け継ぎデジタルへ」と
の連携が広がる構造となった。これを私は,DA変換
らない」という審査員もいたが,私は強く推薦して入
技術的な意味での,デジタル信号からアナログ信号
なのである。
る結果となっている。情報が流れ易くなり,人や社会
(Digital to Analog Conversion)と呼んでいる。
いう標語で応募してきた。「何を言っているのか分か
賞させた。DADAプロセスにはFeed Backが必要
図1 DADA 変換
1051
9
3.自由の拡大,安心・安全の向上,
プライバシィ保護と三止揚
19世紀初頭,哲学者ヘーゲルは,「歴史とは自由
の拡大のプロセスであり,自由の拡大と共に矛盾が
深まる」と述べている。また,J.S.ミルも「自由論」
揚と呼ぶこととしよう。三止揚を如何にして実現する
か。その対策が次に述べるMELT upである。(図2
参照)
4.MELT up とは?
の中で,同じ説を唱えている。これらの思想の背景
さて,三止揚の実現の為に,より具体的には,激
たか否かは知る由もないが,現在,我々は,自由の
リティ対策を4つの面,
不安に悩まされており,自由の拡大と共に矛盾が深
2)倫理(Ethics)
となった産業革命の時代に一般市民がそれを実感し
拡大とそれに伴う,安全性やプライバシィ侵害への
まることを身を以って感じている。自由は一意的に定
義できないが,ネットワークの活用による効率性・利
便性の向上をベースに,表現の自由を初め様々な自
由を楽しむ時代が到来した。ネットによる効率的な金
銭取引は,不安な面も多い。また,表現の自由は,
増するサイバー攻撃と情報漏洩防止に必要なセキュ
1)経営管理(Management)
3)法制度(Law)
4)技術(Technology)
から考えてみよう。 情報セキュリティは,Manage-
ment,Ethics,Law,Technologyの4者,M,E,
L,Tを巧みに組み合わせて,MELT upしなければ
プライバシィ侵害を起こし易い。
ならない(図3参照)。
バシィ侵害が,矛盾・相剋し勝ちであることは,明ら
4.1 経営管理(Management)
の関係はどうだろうか。両者は必ずしも矛盾はしない
鍵の管理まで,様々なレベルがある。 例えば,情報
自由の拡大に対して,安心・安全,及び,プライ
かであろう。 安心・安全の確保とプライバシィ保護
が,災害時の被害者の安全と個人情報保護の両立
や,監視カメラの設置とプライバシィ保護の関係に見
られるように,矛盾が生じる場合も少なくない。
これらの矛盾を,
初めから「バランスの問題ですね」
と諦めずに,高度均衡を図ること,止揚することが重
要である。この3者間の矛盾の弁証法的克服を三止
Managementには,経営的なレベルから,暗号
漏洩は,外部からの攻撃と合わせて,内部からの漏
洩も多く,後者の方が,金銭的被害が大きいという
報告も出されている。「万里の長城,胡を防がず」,
明王朝は内部から崩壊した。Fire Wallを高くするだ
けでは不十分である。内部漏洩も含めて,情報漏洩
を防ぐには,人事管理,組織内ルール,物理的・技
術システム,教育,保険など
の多くの面から総合的対策
を立てねばならない。そのた
めには,先ず,経営者が,人,
モノ,金,情報と言う経営資
源の中で,特に,情報の価
値が飛 躍 的に高まっている
現状を認識し,情報セキュリ
ティ意識を高めることが基本
であろう。
また,技術的なレベルでは,
例えば,暗号の鍵管理など
を手抜きせずやることが大事
である。 数学的に安全性が
保証された暗号が理論的に
解読されることは絶対と言っ
て良いくらいに起きないが,
図 2 三止揚
10
1051
サイバー攻撃・情報漏洩に備えて MELT up 止揚
講 演 −東工大には総合的止揚力のある人材育成を期待する−
比較してみよう。スエーデンで
は,隣の家の年収や納税額に
ついて知っているのが当たり前
だそうである。また,行 政は,
全ての家族の経済状況を詳細
に把握していて,きめ細かい生
活保護などを実施しているよう
である。
スエーデンには,早くも18世
紀,政府の情報を公開する法
律が定められたというような長
い歴史と文化があるので,日本
人のプライバシィ感覚と簡単に
は比較できないが,日本の場合
は,個人情報保護法の施行以
来,個人情報漏洩に非寛容に
なり過ぎているように思われる。
図 3 MELT up の概念
鍵を,攻撃者が侵入できるメモリーに入れておいた
のでは,話にならない。頑丈な金庫の上に鍵を載せ
ておくようなものである。
4.2 倫理(Ethics)
2.で述べたDADAプロセスの最後のA,即ち,
モラル,行動規範,国民性・文化など,人間の内面
に関わる特性を総称して倫理(Ethics)と呼ぶこと
とする。紙面の都合で,詳細は,拙著 「情報社会・
セキュリティ・倫理」(電子情報通信学会編)を参
照願うとして,ここでは,日本の恥の文化と情報漏
洩の関係,及び,日本人のプライバシィ感覚につい
て考えてみよう。
反面,「ポイントがつくなら,
ある個人情報を出しても良いか」という設問に対す
る回答の統計では,欧米人の17パーセントに対して,
日本人は約半数が,「出しても良い」と答えている。
日本人は,個人情報に関して自分なりの考えを持って
いるわけではないことが窺われる。個人情報の漏洩
は金銭的・身体的損害に繋がりかねないから,一概
には言えないが,日本人は,もう少し,しっかりした考
えと鷹揚な感覚を持たないと,個人情報の保護と活
用とのバランスを失し,窮屈な社会になりかねない。
4.3 法制度
情報セキュリティに関する法律は数多いが(左記
拙著参照),最近の話題は,個人情報保護法の改訂
「恥を知る」ことは,美点でもあるが,失敗を隠す
とマイナンバー法の制定であろう。
場合,それを隠そうとして,被害を増大することも少
点にあった。
ことにも繋がり易い。 組織からの情報漏洩が起きた
なくない。また,
お互いに失敗を見せ合うことによって,
情報漏洩対策を向上させる機会を失うことにもなる。
一般に恥の文化は,当面の面子にこだわる余り,組
個人情報保護法の改訂へ向けての論点,次の2
1)第三者機関の設置
2)個人情報の保護と活用の矛盾の超克
1)については,個人情報保護に関する問題が生
織としての合理的判断の妨げとなる場合のあること
じた時,客観的に評価・裁定する機関が日本にはな
く取り上げ過ぎるのも問題である。これは,失敗や
厳しく制限されているという問題があった。今回の個
も忘れてはならない。更に,メディアが,失敗を大き
不幸な出来事に関する記事が多い方が売れ行きが
良いということにも原因があり,結局は読者のレベル
に還元される課題かも知れない。
次に日本人のプライバシィ感覚について,他国と
かったので,EUからの日本への個人情報の送信が
人情報保護法の改訂では,第三者機関として特定
個人情報保護委員会の設置が決められたので,この
問題は解決される見通しである。
2)については,個人情報の活用を期待する産業
1051
11
界の立場と,保護に力点を置く立場の論争があり,
ものになっていった。情報システム技術者でさえ,無
で改訂が進められた。
などというトンデモナイことをやっている。いくら大き
年10月から施行されることとなった。 行政機関や自
えば,素因数分解は容易であることは,紀元前から
バーの利用を始めるのは2016年1月からである。
技術と言うより,
MとE(管理と倫理)の問題である。
活用を図ると共に,保護規制も厳しくすると言う方向
次に,マイナンバー法は,ご承知のように,2015
治体が税・社会保障・災害対策の3分野でマイナン
2017年以降,利用範囲は拡大される見通しであり,
行政・金融・産業の効率性と公正・公平性の向上
知か,手抜きかは定かではないが,素数の使い回し
な素数を用いても,2つのうちの1つに同じ素数を使
ユーグリッドの互除法として知られている。これも,
公開鍵暗号の重要な役割は,秘匿より,むしろ署
名・認証であり,PKI(Public Key Infrastructure)
が期待される。その反面,個人情報の漏洩の機会
の基本技術となっていることである。特に,「今,送
我々の考案した組織暗号の採用を自治体や医療機関
を社会全般の基盤として整備し直せば,政府・企業
が,社会的認識が追いつかず,残念である。
が増大する恐れがあり,下記に述べるように,現在,
に鋭意,働きかけているところである。
4.4 技術―暗号の役割
ウイルス対策などは他の対策に譲るとして,社会
的認識が一向に進まない暗号の役割について述べて
おこう。1990年代は,暗号が軍事外交以外に,情
信しているのは私に間違いありません。」という認証
などからの情報漏洩もかなり減少できると思うのだ
5.マイナンバー・組織通信・組織暗号
先に述べたように,いよいよ,来年1月から,マイ
報社会でも有用なのかと言う意味で話題になり,例
ナンバーが使用できるようになった。 公平性・効率
局長さん達から「あなたの書いた本(暗号―情報セ
大きな課題となっている。マイナンバーの導入は,自
えば,大蔵省(当時)に呼ばれて,法学部出身の
キュリティの技術と歴史,講談社,学術文庫)は良
く分かった。しかし,素数ってそんなに沢山あるので
すか」というような,玄人裸足の質問を受けたりした
性がよくなる反面,情報漏洩対策への真剣な対応も
治体,医療機関,金融機関や企業など,組織間の
通信が普及させる。20世紀までの通信は,個人間
の電話が主であり,「通信の秘密」をその価値観と
ものである。少し説明しておこう。1970年代,自分
していた。また,放送は,公共放送のみで,公序良
る公開鍵の2つの鍵で用意して,署名・認証,及び,
う魅力的でもあり課題の多いシステムが普及してき
明された。ある科学史の本には,公開鍵暗号の発
4類型の1つとして加えている(図4参照)。 組織通
体的な公開鍵暗号としては,RSA暗号が広く使われ
るが,中でも,個人情報や企業情報の機密性保持
だけの秘密とする秘密鍵と,不特定の相手に公開す
秘匿(いわゆる暗号)に利用する公開鍵暗号が発
明は,火薬の発明にも匹敵すると書かれている。具
ている。これは,例えば,3と7を秘密
俗を価値観としていた。21世紀に入ると,SNSと言
た。私は,これ等に加えて,組織通信を放送通信の
信には,図3に示すように,多様な価値観が求められ
鍵とし,それらの積,21を公開すると
いう方式である。21を3と7に分解す
ることは小学生でもできるが,300桁
の2つの素数を秘密鍵として,それら
の積,600桁の数を公開鍵とすれば,
世界最高速のスーパーコンピュータを
1年回しても,素因数分解は不可能な
のである。
1990年代には話題となった現代暗
号も,社会インフラとして定着されるよ
うになると新技術の常として,人々の
関心は薄れ,使われ方も中途半端な
12
1051
図 4 放送・通信の4類型と組織通信
サイバー攻撃・情報漏洩に備えて MELT up 止揚
講 演 −東工大には総合的止揚力のある人材育成を期待する−
図 5 組織暗号の利用例
が重要である。 中央大学では,現在,
私がリーダーとなって,NICT(国立
研究開発法人情報通信研究機構)か
らの委託研究として,組織暗号の研究
とその実用化への取り組みを行ってい
る。 組織暗号の1つに再暗号化という
方式がある(図5参照)。 一般に組織
間で暗号通信を行う場合,平文に戻す
機会を出来る限り減らすことが,情報
漏洩対策の基本である。
現在,我々は,楕円暗号と言う安全
性の高い暗号を再暗号化に利用し,担
当者以外には,平文を読めないように
する方式を開発し,長野県,新潟県,
兵庫県などで実証実験を行っている。
図 6 求められる人材像
6.終わりに―東工大には,
総合的止揚力のある人材育成を期待する。
以上述べた情報セキュリティの課題を要約すれば,
「情報技術によって拡大する自由に伴う遍在化する
矛盾を如何に止揚するか」ということである。その
ためには,経営管理,倫理,法制度,技術を総合し
て強連結・融合させることが求められる。
現在,国立大学における文系のあり方が問題とな
っているが,そもそも,文理の間に線を引いていては,
現実問題を解決することは出来ない。 東工大には,
専門分野を深く鋭く掘り下げると同時に,総合的止
揚力をもって,社会を先導する人材の輩出を期待し
たい(図6参照)。
本稿は,2015年5月30日に,蔵前工業会八王子
支部で行った講演が基となって執筆したものである。
蔵前工業会の本房事務局長,松村八王子支部長は
じめ支部の方々,ジャーナル編集部会長大野理事に
感謝の意を表する。
1051
13
Fly UP