New Normal
~変化の先に見えてきたもの~
2020.10.09(FRI)
オンライン開催
新型コロナウィルス感染拡大のインパクトは、社会と組織の構造的な変化と個人の行動・価値感の変化の両方を否応なく求めています。
世界のだれもがかつて経験したことのない変化の先に何があるのかについて、今年はオンラインで議論と交流を深めていければ幸いです。
「シン・テレワークシステム」は短期間で開発費はわずか65万で出来た。
日本企業のICT技術者が、どういうふうにすれば、こういうシロモノを作れるようになるかの話と、そのためには自由なおもしろ環境を用いてICT人材を育成することが重要という話でした。
シン・テレワークシステムやSoftEther VPN等は無償で提供するようにしているが、この理由として十分な専門能力や予算がなくても、サイバー空間を利用する個々のユーザが安心して暮らせる最低限の権利と保障を行うというものだ。
それから、無償で高機能なものを提供すると、民間企業は無償より良いものにしようとするので市場が活性化して、より良いものが出来てくるといった狙いもあるとのこと。
若手ICT人材が、自律的で自由に技術開発ができるようなれば、自然に人材が育ち技術が生まれる。
それを実現するために登さんが経験した以下の2つの話が今回のポイント。
その1.ICTプログラムの研究開発環境
国・大学による人材育成の支援を受けたり、けしからん他国の通信攻撃をやっつける事で潜在能力を強化した。
その2.ネットワークの研究開発環境
けしからんNTT東日本をやっつけるために、あの偉大な局舎、光ファイバ、NGN、通信設備をいじって自分の環境構築した。
国から予算をもらうときは、かならず説教が付いてきて色々いわれる。これに対応することがスキルを高めることに繋がったようだ。
2012年に某外国政府の検閲用ファイヤーウォール(Great Firewall)が筑波大のサイトを遮断した。
これを受けて、他の国がまねをしないように。VPNゲートを作った。
これにより、Great Firewallを麻痺させ、筑波大学からコントロールし、任意のIPアドレスを遮断することに成功。
この対応でスキルがさらに高まったとのこと。
シン・テレワークシステムは企業のF/Wの内側ですぐ使えるのは、この対応によるものとのこと。
よくよく考えると、外国の企業は自由に研究できる環境があって伸びている訳で、日本でも次世代のICT人材を育成するためには自律的にいじれる環境が必要である。
しかし日本のやりかたは間違ってなく、たぶん面白環境を作らせることが、これから20年後くらいには日本は昔の家電や半導体が世界1位になったようにICTの分野も1位になるのは間違いないと思う。
その後、大学地下のNW網の探検を切っ掛けに、NTT東日本の施設に自作のおもしろNW網を作った。
後のシン・テレワークシステムが2週間で構築できたのは、このNW網があったからだ。
NTT東日本は世界最大級のコンピュータネットワーク環境である。
これは、日本における高度なICT人材を育成し事業を発展するために大変価値が高いものである。
この世界最大級の環境を有効に用いれば、日本でも世界最大級のICT能力の成長と、ICT技術の創出、世界への普及が可能である。
最後に、ICT人材育成法スーパーまとめとして
1.ICT人材にはシステムの裏側を分析して知ろうとする欲求があり、これを満たすためには低いレイヤへのアクセスが必須。
2.直接触れて自律的に構築・改良できる試行錯誤の環境があることが重要
3.国、大学、NTT東日本等は豊富な面白環境を有しているので若手ICT人材に活用させることが重要
4.けしからんと思ったときは、放置してはならない。納得がいくまで追求し偶然思わね道が開ける。
それが、だいたい正しい方向である。
ICT人材が育って、20年後くらいすれば日本は何も怖いものはなくなる。
そのためにも、日本に昔あった、おもしろ実験環境を復活させようではないかというお話でした。
冒頭、七十七銀行とSBI証券のドコモ口座を使った不正利用の話が出た。七十七銀行は地銀のWeb口座のユーザ認証が弱すぎ。
SBI証券は銀行の窓口で行われる身元確認の脆弱性を突かれたものだ。
本人確認という英語はないが、一番近いのがIdentity Proofingで、これに関する詳しいことを定めたものがNIST SP-800-63
これらはDigital Identity GuideLinesとよばれ、SP800-63-3,SP800-63A,SP800-63B,SP800-63Cという4つの文書で構成されている。
これらを全部組み合わせてやらないとちゃんとしたものにはならない。
ただNISTは連邦機関向けなので民間でやる場合は少し工夫が必要。
Identity=ある実態の属性の集合で、人にはそれぞれ属性があり、友達に出す属性、上司に出す属性があり関係性を維持している。
Identity Proofing(本人確認)には目的がある。その目的のために、以下の5点をやることが重要。
1.目的のためにどの属性が必要か明らかにし、
2.その属性の値を確認するための証拠を集めに検証し、
3.そのアイデンティティが使われ続けていること、
4.他にアイデンティティを使っている人がいないこと
5.そのアイデンティティと、その人の肉体が結びついていること。
これらを構成するコンテキスト中唯一性に氏名・住所は生年月日を求めるのは過去の慣習に引きずられてリスクがある。
それは氏名や住所は変えられるからだ。
唯一性を求める場合は、マイナンバーや運転免許証番号、パスポート番号などの方が良い。
属性確認のための証拠の確認には、
まず、1.その証拠が偽造でないか、2.内容の権威的源泉の確認、
3.また、その人物をよく知る人間複数人数の署名付き証言=トランスアンカーが上げられる。
安全にインターネット上でのトランザクションを行うには、上記3つのプロセスを行う必要がある。
全てが高いレベルである必要はない。
まとめとして、
1.まるっと「本人確認」というのはやめよう。
2.書面確認とIdentity Proofingをごっちゃにするのはやめよう。
3.目的を達するように合理的な対策を立てよう。
4.オレオレプロトコルはやめよう。
5.これから分散Identityが来る!
この分野の国際標準にかかわってPricelessな人生を選ぼう。
Pricelessの意味の説明はなかったですが、私は貴重な!価値のある!という意味ととらえた。
それから、YouTubeチャットでは、
﨑村さんがmmhmmを使って説明されていたので、カッコイイ、教育用のコンテンツとして公開すべきレベルだな~
というコメントも上がっていた。
2001年にIT基本法が施行され、行政手続きのデジタル化に向けたインフラを整備してきた我が国だが、新型コロナウイルスとの戦いでは十分に結果を残せなかったことで、内外から「デジタル敗戦」と評価されている現状、2010年代から内閣官房番号制度推進管理補佐官、政府CIO補佐官を歴任し、今年は2020年からマイナンバー制度及び国と地方のデジタル基盤抜本改善WG構成員として活躍している楠氏より、これまでの取組みと課題についてお話しいただいた。
新型コロナウイルス感染症対策において政府が調達した情報システムのうち、楠氏が関わったものは、特別定額給付金オンライン申請(総務省・内閣府)と、COCOA:接触確認アプリ(厚生労働省)の2つ。短期間でアジャイルに開発したことは政府として初めての経験となった。
-COCOA:接触確認アプリの取組み
3月頃より日本版TraceTogetherの必要性が議論され始め、民間を含む複数の組織で検討が進められたが、5月連休明けに厚労省が一本化して調達する方向が決まり、6月19日に試行版がリリースされた。
リリースまでにはいくつかの課題があったが、Apple、Googleが提供するAPIの頻繁な仕様変更に追随していくのが困難だった。内製であればよいが調達の場合契約上に工数を乗せるのが難しい。またC4Jなどのコミュニティとの連携やGitHubでのPullRequestへの対応も大きな課題であった。
-特別定額給付金オンライン申請の取組み
4月の政府方針決定からわずか2週間で稼働にこぎつけた。
入力ミス等で混乱が発生したが、国と自治体が持つ住民情報システムが分断されていること、法律上給付事務にマイナンバーが使えなかったことでなどでシステムに乗せられる部分が少なく、人手に頼らざるを得えなかった。
-国と地方の情報システムの見直し
6月、政府内に「マイナンバー制度及び国と地方のデジタル基盤抜本改善WG」が組織され改善のための議論が始まっている。目標は3つ「デジタル完結率の向上」「新たなデジタルセーフティネットの構築」「国と地方の一体推進」。
プロセスとしては、オンプレを脱し共通SaaSを構築する、次いで自治体システムの仕様の標準化と共同利用化を目指す。同時にネットワーク構造を見直し、団体間のクラウド内接続、回線の集約と論理分離、ゼロトラストとBYOD対応を推進していく。
-デジタル庁創設へ向けての課題
「危機に対する即応体制」:システムの内製化も含めた検討が必要であり、ベンダーとの関係や雇用の流動性などを考える必要がある。
「国と地方の役割分担」自治体システムの変革に国がどうコミットするかが課題。
「デジタルIDの普及」:対面窓口がボトルネック、拡充が必要。本人確認の精度を上げていく必要。
「デジタル・セーフティネット」:預金付番、インボイス制度、困っている人にピンポイントで手を差し伸べる工夫が必要。
総務省発信者情報開示の在り方に関する研究会のメンバーである北條様より、
著作権と発信者情報開示についての諸問題についての御講演を頂いた。
前半は著作権に関する御講演で、音楽・映画といった著作物の利用料金を具体的に例示頂いた後、
授業目的での利用に関するここ数年の急激な変化のお話を頂いた。コロナ禍でリモート授業が
汎化した現在、授業においても著作物のインターネット配信が行われるようになり、その際の
利用許諾や補償金の考慮が必要であることが示された。
後半の発信者開示に係る御講演では、インターネット上での著作権侵害・名誉棄損といった
民事・刑事の問題における発信者情報開示のお話を頂いた。
従来の表現の自由と対抗言論という根源的な問題に加えて、インターネットにおけるSNSの発展に伴い、
プロバイダへIP開示請求すれば良いという単純な話ではなく、書き込み者を同定するためには
IP情報の保持の在り方や、契約段階での本人確認の強化の必要性、法整備の強化の必要性といった
面にまで踏み込んだ御講演を頂いた。
質問時間には、著作権侵害の判断の難しさ、不適切な書き込みの削除に係る問題、そもそも名誉棄損の名誉とは何か、といったことに御説明を頂いた。
◆青野社長
どちらも働き方改革を十年以上、すすめてきた人たち。
至言いただきました!
「あほをゆるしてうそをにくむ」=心理的安全性をつくるために
心理的安全性をつくる
公明正大の風土
誰でもOK
率先垂範
監視しすぎない
NEW NORMALの一般例
タイプA:とりあえずデジタル化してツールひそひそばなしを続ける
タイプB:オープンに情報を共有化して幸せになるのか
Aは滅びの道、Bは生き残る。
決定的なキーワードは「心理的安全性」~しみる。心にしみる~!
◆越川社長
クロスリバー越川氏、ちょいとすべりましたが。
マーケティングデータ=数字で証明。
説得力ありますね。
コロナ対応 87%できません→意外とできたよ
意識の改革前に行動改革を学んだ、これが実態!
NEWNORMAL
新型コロナウイルス禍の中、社会的にリモートによる事業継続などが取り組まれましたが、政府においても同様でした。行政における経験も踏まえて、ニューノーマル時代におけるサイバーセキュリティ対策をどのようにしていくべきかについて、米国などの取り組みの紹介なども交えた講演がありました。
お話の中で、この様な状況下では機密性・完全性のみならず事業継続の観点から情報システムの可用性にも着目した取り組みが重要であり、さらに経営視点・ビジネス視点での対策(BCP)が大切である旨が示されました。
また、今後の上振れリスクとして危機を乗り越えたあとに増大するニーズにも備えておきべきであり、当面の対応だけでなく今後の業務拡大を見据えたBPRと、本来のミッションを達成する上での手段としての情報セキュリティ強化の必要性が示唆されました。
なお、講演の当日はチャットを活用してリアルタイムに活発な議論が行われ、質問にも丁寧に答えていただきました。
2000年 警察庁入庁(技官)
2015年 弁護士登録(東京弁護士会)
デジタルリスクは、様々なものが存在します。「お金」がデジタルとして扱われるようになったため、お金に対するリスクが増加しました。同様にデジタルなコンテンツが増加し、様々なリスクが増加しました。そのようなリスク対策の一つとして、発信者情報開示は位置付けられると思われますが、まだまだ多くの課題があり、解決に向けての議論が行われています。本日は、そのような課題と解決策の方向性、それでも残る課題についてお話しします。
外資系ベンダ等で、ネットワーク構築、セキュリティ監査、セキュリティコンサルティングなどに従事。2003年 IIJ Technologyに入社、セキュリティサービスの責任者として、セキュリティ診断など数多くの案件を担当。現在は IIJのセキュリティインシデント対応チームに所属し、主にセキュリティ情報の収集、分析、対応にあたっている。2007年より SANSトレーニングコースのインストラクター、2012年より OWASP Japan Advisory Boardのメンバーでもある。
インシデントや脆弱性などセキュリティ関連の話題に目がなく、年中追いかけつつ、気の向くままに調べたり、まとめたりすることに従事。CISSP。
Twitter : @piyokango
Blog : https://piyolog.hatenadiary.jp/
マイクロソフト、ヤフー等を経て2017年からJapan Digital Design CTO。2011年から内閣官房 番号制度推進管理補佐官、2012年から政府CIO補佐官、2017年から内閣府 情報化参与 CIO補佐官に任用され、マイナンバー制度を支える情報システム基盤の構築や政府のIT戦略の推進に携わる。2015年、福岡市 政策アドバイザー(ICT)、一般社団法人OpenIDファウンデーション・ジャパン代表理事。2020年からマイナンバー制度及び国と地方のデジタル基盤抜本改善WG構成員。
新型コロナ感染症対策として行われた特別定額給付金のオンライン申請、接触確認アプリの開発運用について、取組や課題を明らかにするとともに、係る対応での経験を踏まえて6月に立ち上がった、マイナンバー制度及び国と地方のデジタル基盤抜本改善WGで検討されている、電子政府と自治体情報システムの標準化・共同運用の方向性について解説する。
略歴 1995年京都大学大学院工学研究科博士後期課程研究指導認定退学。京都大学大学院工学研究科助手、和歌山大学システム工学部講師、京都大学大学院工学研究科助教授、同学術情報メディアセンター准教授、総務省通信規格課標準化推進官を経て、2013年より現職。和歌山県警サイバー犯罪対策アドバイザー、京都府警サイバー犯罪対策テクニカルアドバイザー、芦屋市最高情報統括責任者(CIO)補佐官。専門は情報セキュリティ、デジタル・フォレンジック。
新型コロナが産んだ「突然テレワーク祭り」は、多数の企業を無理なテレワーク体勢にいきなり放り込んだのではないでしょうか。テレワークの入り口となるVPNと、急に増大したBYODは攻撃者の格好の標的です。これらに対する攻撃への対応は粛々と行うしかありませんが、各組織の情報システム担当にかかっている負荷は高く、より安全で管理負荷の低いテレワーク手法を求めて色んな組織が頭をひねっているのではないでしょうか。この車座では皆さんの悩みを持ち寄って、より安全なテレワークを実施するためのアイデアを話し合いたいと思います。
昭和62年陸上自衛隊入隊、通信科幹部として通信部隊等で勤務、技術研究本部第2研究所(現防衛装備庁通信電子装備研究所)、陸上自衛隊システム防護隊技術隊長、陸上自衛隊通信学校教官、自衛隊指揮通信システム隊サイバー防衛隊等を経て令和元年定年退官、現在日本電気株式会社勤務、サイバー防衛シンポジウム熱海実行委員長
現代戦の様相は、陸・海・空という従来の領域のみならず、宇宙、サイバー、電磁波といった新たな領域を組み合わせたものとなっています。「領域横断作戦」において、サイバー分野はどのような地位を占め、どのような役割を持つものとなるのか。皆様と一緒に考えていきたいと思います。
2009年よりネットトラブルに関する全国からの相談に対応し、現在は消費者トラブルやサイバー犯罪による被害・加害を防ぐための啓発活動、子どもたちのネット利用に関する調査研究を行う。大分県警察サイバーセキュリティ対策アドバイザー(情報リテラシー)、公益財団法人ハイパーネットワーク社会研究所 共同研究員、大分大学理工学部 非常勤講師、大分県立芸術文化短期大学 非常勤講師、聖マリア学院大学 非常勤講師
学校や大学の休校期間が長く続き、インターネットに接する時間がこれまでより増加した子どもたちも多くいます。定点観測や学生アンケートの結果等を踏まえ、ソーシャルメディアに流れる情報とどう接するか、情報の取捨選択はどうするか、参加者の皆さんと意見交換ができればと考えています。(子どもたちに関することだけでなく、Twitterに流れる健康に関する情報、儲け話などなどの事例を複数紹介します。)
弁護士法人駒澤綜合法律事務所・弁護士、株式会社ITリサーチ・アート代表取締役。情報セキュリティ/電子商取引の法律問題、特に、脆弱性情報の責任ある流通体制・ネットワークにおけるプライバシーとセキュリティのバランスなどを専門として研究する。
著書に「実践!! 電子契約」「デジタル法務の実務Q&A」「デジタル証拠の法律実務Q&A」「仮想通貨」(ともに共著)。平成24年3月 情報セキュリティ文化賞を受賞。
サイバースペースにおける活動において、個人や法人が、自らを示し、契約し、種々のサービスを受ける。ここで、「自らを示す」というのは、どういうことか、それにかかわるサイバースペース上のリスクと対応するための方法、それに対する法律の取り扱いについて総合的に考えるが車座の課題となる。
ソフトイーサ、IPA、筑波大学、NTT東日本の4つに所属。2003 年に IPA 未踏事業で SoftEther VPN を開発。ソフトイーサ社を起業。筑波大学では、それを発展させて外国政府の検閲用ファイアウォール (Great Firewall等) を貫通する VPN システム等を研究し博士号を取得。2017 年よりIPA 産業サイバーセキュリティセンターでサイバー技術研究室を設立。2020 年より NTT 東日本に特殊局員として入社。シン・テレワークシステム等を開発。
「シン・テレワークシステム」は、IPA と NTT 東日本との連携で、新型コロナウイルス対策のために本年4月に急いで開発をし、国内の7万人の方々に役立っています。Raspberry Pi 4 (1 台 1 万円以下) を大量に並べて多数の SSL-VPN を中継しています。本システムの開発秘話についてお話をさせていただきます。
一橋大学経済学部卒業後、野村総合研究所を経て現在NATコンサルティング代表、東京デジタルアイディアーズ主席研究員。米国OpenID Foundation理事長を2011年より、MyData Japan理事長を2019年より務める。Digital Identityおよびプライバシー関連技術の国際標準化を専門としており、現在世界で30億人以上に使われている、JWT, JWS, OAuth PKCE, OpenID Connect, FAPI, ISO/IEC 29100 Amd.1, ISO/IEC 29184など国際規格の著者・編者。
ISO/IEC JTC 1/SC 27/WG 5 アイデンティティ管理とプライバシー技術国内小委員会主査。ISO/PC317 消費者保護:消費者向け製品におけるプライバシー・バイ・デザイン国内委員会委員長。OECDインターネット技術諮問委員会委員。総務省「プラットフォームに関する研究会」を始めとして、多数の政府関連検討会にも参画。
新型コロナ・パンデミックにより、わたしたちは「サイバー大陸」への移住を余儀なくされました。そこでは、わたしたちは触ることのできない実体の写像〜デジタル・アイデンティティ〜を使って、コミュニケーションも金融取引も行わなければならなくなりました。しかし、昨今世相を騒がせている事件に見ることができるように、現実世界はこのニュー・ノーマルに対応できていないようです。
本講演では、こうした観点に鑑み、日本独特の用語である「本人確認」とは本来どういうことなのかということを各種規格を参照しながら解説し、本来どうあるべきなのかということを考えます。
1971年生まれ。愛媛県今治市出身。
大阪大学工学部情報システム工学科卒業後、
松下電工(現 パナソニック)を経て、
1997年8月愛媛県松山市でサイボウズを設立。
2005年4月代表取締役社長に就任(現任)。
社内のワークスタイル変革を推進し離職率を6分の1に低減するとともに、
3児の父として3度の育児休暇を取得。
また2011年から事業のクラウド化を進め、売り上げの半分を越えるまでに成長。
総務省、厚労省、経産省、内閣府、内閣官房の働き方変革プロジェクトの外部アドバイザーや
CSAJ(一般社団法人コンピュータソフトウェア協会)副会長などを歴任。
著書に『ちょいデキ!』(文春新書)、
『チームのことだけ、考えた。』(ダイヤモンド社)、
『会社というモンスターが、僕たちを不幸にしているのかもしれない。』(PHP研究所)がある。
国内および外資系通信会社に勤務、ITベンチャーの起業を経て、2005年に米マイクロソフト本社に入社。
業務執行役員としてOffice365の事業責任者などを経て独立。
2017年にクロスリバーを設立し、メンバー全員が週休3日・複業で、支援した企業は623社。
著書『トップ5%社員の習慣』など11冊。
1987年通商産業省入省、2005年IPAセキュリティセンター長、2007年経済産業省商務情報政策局情報セキュリティ政策室長、2009年同貿易経済協力局安全保障貿易審査課長、2012年内閣官房情報セキュリティセンター内閣参事官、2015年内閣官房内閣サイバーセキュリティセンター内閣参事官、2016年内閣官房内閣サイバーセキュリティセンター副センター長・内閣審議官、2018年経済産業省サイバーセキュリティ・情報化審議官兼内閣官房内閣サイバーセキュリティセンター内閣審議官兼同IT総合戦略室副政府CIO、2020年7月退官。博士(工学)
新型コロナウイルス禍の中、社会的にリモートによる事業継続などがなされたが、政府においても同様であった。こうしたことも含めて、行政における経験を踏まえて、ニューノーマル時代におけるサイバーセキュリティ対策をどのようにしていくべきか考察してみる。考察にあたっては、日本政府の対応のみならず、米国などの取り組みなども参考となるので、それらも含めて、今後、どういったところがポイントとなるかを論じる。