該当する結果がありません

一致する検索結果がありませんでした

日本オラクル特集記事

夏野剛氏に聞く、スマホ決済、5Gの時代だからこそ問い直したいセキュリティ対策

慶應義塾大学 政策・メディア研究科 特別招聘教授 夏野剛。1988年早稲田大学卒、東京ガス入社。95年ペンシルベニア大学経営大学院(ウォートン)卒。ベンチャー企業副社長を経て、97年NTTドコモ入社
99年に「iモード」、その後「おサイフケータイ」などの多くのサービスを立ち上げた。2005年執行役員、08年にドコモ退社。現在は慶應義塾大学政策・メディア研究科特別招聘教授のほか、ドワンゴ、セガサミーホールディングス、トランスコスモス、日本オラクルなどの取締役を兼任。

サイバー攻撃によって個人情報の漏洩が発生したり、鳴り物入りでスタートしたスマホ決済サービスで不正利用が起こったり、5Gで激変するIoTに潜むセキュリティリスクなどなど……サイバーセキュリティに関する様々な事件や話題がメディアをにぎわせるようになった今、企業はどのようにこの問題に備えるべきなのでしょうか。慶應義塾大学 政策・メディア研究科 特別招聘教授で日本オラクルの社外取締役も務める夏野剛氏に尋ねました。

セキュリティの問題はテクノロジー進化の副作用

Q:「iモード」が始まってから20年、世界は大きく変わりましたね。

夏野:スマホやクラウドをはじめとするこの20年のテクノロジーの変化は、人類が未だかつて経験したことのないくらい大きな価値をもたらすものだと思います。人類の歴史を振り返ってみると、テクノロジーの進化によって1人の人間が生み出すアウトプットが大きくなり、皆が同じことをする必要がなくなって仕事の分化が起こり、その結果、文明が発展してきました。

ただ、西暦2000年以前のテクノロジーが可能にしたのは、せいぜい2倍、3倍のアウトプット拡大でしたが、この20年のテクノロジーは1人の人間が100人、1,000人分の仕事ができるほどの変化をもたらしています。それくらいインパクトの大きな変化を一番うまく活用し、社会制度の中に織り込んでいった国が米国であり、中国でしょう。ただ、その副作用としてセキュリティの問題が出てきています。

Q:副作用とはどういうことでしょう?

夏野:テクノロジーが進化して人間社会の効率が上がり、1人当たりのアウトプットが増えると申し上げましたが、実はこれは犯罪の世界も同じで、1人が起こせる犯罪の社会に対する影響、深刻度が上がるんですね。テクノロジーが進化すれば同時にどういうセーフガードが必要かということを、個人としても政府・企業としても、そして社会としてもより考えなくてはならない。これは人類の進化の宿命です。

Q:今起きている問題は、インターネットの副産物でしょうか。

夏野:インターネットで繋がることにより、見えない敵が見えないところでアタックしてくるということが日常的に起こるようになってしまいました。これをいかにうまくマネージしていくかは、非常に大きなテーマだと思います。例えばOracle Databaseの暗号化の仕組みもそうですが、クラウドの中にも、そうしたセーフガードの仕組みをいかに組み込んで来るかが鍵になってくるでしょう。

 皆がクラウドを使うようになったことで、これから、一定の「役割分担」ができてくると思います。これまでは、各企業がサーバを買ってオンプレミス環境に置いて、第三者からセキュリティソフトを購入してインストールするといった具合に各々で対策を講じ、管理者がすべて責任をカバーしてきました。これに対しクラウドの場合、大規模なDdoS攻撃などはクラウドのデータセンターに一気に来るわけですから、システムとしてのセキュリティも重要になっていくでしょう。

 データが集まっているところは、ターゲットになりやすいのですが、それは悪いことばかりではありません。毎日ものすごい数のアタックにさらされ、常に訓練されているがゆえに、強い体制が整っています。クラウドサービスにはそういう役割も求められていくのかなと思います。

 普及し始めた当初は「クラウドは危ないんじゃないか」と言われたこともありましたが、それはまったくの勘違いです。一企業で何かセキュリティ対策をしているといっても、規模の面でまったく攻撃にかなわない状態になっています。「Economies of scale(規模の経済)」というのがあるように、「Security of scale」というのもあって、ある一定のスケールを持たないとキープできないレベルのセキュリティが、これから益々求められると僕は思います。

IoTや社会インフラとの連携で、ITシステムだけにとどまらない課題に

Q:エンタープライズITを考える上で、もう一段高いセキュリティが求められるということですね。

夏野:そうですね。それともう1つ、やはり「IoTのセキュリティ」がまだ確立しておらず、これから非常に深刻になっていくと考えられます。IoTデバイスがネットワークの中に組み込まれ、そこに存在するセキュリティホールから侵入されてしまうことも考えられるでしょう。IoTデバイスの中にはハードウェア性能がそんなに高くないものがある上、あちこちに分散した形で置かれるため、必ずしもセキュリティが高いとは限りません。

 このIoTも受け皿はクラウドです。なぜなら、データの量が圧倒的に多いからです。僕自身、ビッグデータを「人間では取り扱うことのできないボリュームのデータ」と定義していますが、IoTデバイスが仮に1万個設置されることになると、1万個のデバイスが24時間ずっとデータを上げてくるわけです。これを人間が監視するのはとうてい無理ですし、オンプレミスで対応するには効率が悪いですから、やっぱりクラウドに置いて処理することになります。となると、IoTデバイスとクラウドのセットに対するセキュリティポリシーを、これから皆が考えていかないといけないと思います。

Q:物理的な世界との関わりも考慮する必要があるのでしょうか。

夏野:セキュリティというと情報漏洩の問題、ITシステムの問題と捉えられがちですが、今後は、もっと広い観点で見ていく必要があります。例えばテロ対策です。物理的なテロではなく、IoTと連携し、電力システムや鉄道のネットワークといったものにサイバー攻撃がやってくることを想定しなければいけない時代になってきました。例えば発電ネットワークがハッキングを受けると、大停電が引き起こされる恐れもあります。

 もちろん政府も含め、IT産業全体がこの問題への対応に取り組んでいますが、クラウドだけの問題ではなく、社会インフラそのもののセキュリティという意識を高めていかなければならない時期にきています。特に日本は、地政学的に複雑な状況に置かれていますから、こうしたナショナルセキュリティの観点も重要だと思います。

セキュリティを意識しても、使い勝手は悪くなってはいけない

Q:課題は分かったとして、では、どのように対策していけばいいのでしょうか。

夏野:まず、そもそもシステム設計をするときに最初からセキュリティを意識して作ることが大事です。これがまず1点目。

 もう1つ大事なことは、今既にあるもののセキュリティをどう確保していくかです。ただ、これはけっこう大変です。既存の動いているもののセキュリティホールに手を打ちつつ、新しいものはきちんとセキュリティを守れるものにしていかないといけない、この両方をオンゴーイングでやっていかなくてはなりません。だいたい人間、新しいものに目が向きがちですが、サイバー攻撃をする側は弱いところから攻めてくるので、特別弱いところを作らないために全般にセキュリティレベルを上げていかなければなりません。

Q:はい。ただ、いくら対策に万全を期しても、人間のやることに完璧なものはあり得ません。

夏野:そうですね、ここでも2つのことを考えなくてはならないでしょう。

 まず1つは、セキュリティが完璧に守れるような仕組みって絶対あり得ません。もしできたとすれば、ものすごく使いにくいシステムになるでしょう。だから、一定のセキュリティレベルを担保しながら、効率的に使える仕組みにしなければいけません。

 人的ミスの最たる事例は何かというと、交通事故です。テクノロジーの進化によって年々減少していますが、それでも年間4,000人弱の命が失われています。これをどんどん少なくしていく努力は必要ですが、それでもゼロにはできないでしょう。もしゼロにするとしたら、本当にそれがいい結果かどうかはよく考えないといけないと思います。車の最高速度は20kmくらいで、バイクも自転車も禁止。あと80歳を超えた高齢者も外出禁止……そうすれば交通事故による死亡者はゼロになるでしょうが、それって本当に望ましい社会なのかという話です。このように考えると、絶対にミスの起きないシステムを組んだら、おそらくものすごく効率が悪く、生産性が低いものになるでしょう。このバランスはよく考えなければいけません。

 ただ、これは一番難しいところですし、正解もありません。だから僕は、あらゆるシステムの基本設計には経営者が関わるべきだと思っています。情報システム部任せにするとセキュリティ偏重になりがちですし、会社のリスクをとるのは経営者の仕事です。経営者がある程度セキュリティリスクを理解した上で、どのあたりでバランスを取るかを考えていくべきだと思います。

 また我々には「保険」という仕組みがあります。100%フェイルレスで物事が進まないことを前提に、カバーし合う仕組みとして、少なくとも補償ができる仕組みとして保険があるわけです。ある一定の確立で何かがあったときにもそれをカバーできる、保険のような仕組みを社会として同時に整備していくことも必要でしょう。

Q:もう1つのポイントは何でしょうか。

夏野:もう1つ大事なことは「横並び」です。隣の家と比べて楽に忍び込めそうな家があれば、泥棒はそこに入ってきます。それを避けるために、一定のスタンダードを満たすことが必要でしょう。もちろんスタンダードというものは決めたらすぐに陳腐化していく部分もありますから難しいのですが、最低限の対策は満たすべきです。そうでないレベルの低いところはアタックを受けて簡単にやられて、市場から退場するだけですね。そうやってきちんと対策をやっていないところが退場するところに、意味があると思います。

 この時、クラウドを活用して全体として保護するというのはすごくいい発想だなと思っています。これまでセキュリティは、そのシステムの開発者とかが全部責任を担っていましたが、そうではなく、クラウドによる全体としてのセキュリティと、企業個別のセキュリティをどのように分担していくかを、あらためてセキュリティポリシーとして定めていかなければならない時期にきているのではないでしょうか。

 過去に「これでよかった」と作って運用してきたセキュリティポリシーが、これから先を照らしてみた時に本当にいいのかと、常に見直していくことが必要なのかなと思います。今は、ある意味、いいタイミングだと思います。クラウドが普及し、通信ネットワークの速度が上がり、5Gが登場して多数のIoTデバイスが繋がってきている……そんないいタイミングだからこそ、2020年に向けて今持っているシステムや、新しく作るもののセキュリティポリシーと実装を全部レビューする、すごくいい機会なんじゃないかと思います。

情報システムとセキュリティに対する見解は経営者に必須の資質に

Q:日本の経営者は、「テクノロジーのこと、セキュリティのことはよくわからないから任せるよ」と言ってしまいがちですが……。

夏野:セキュリティと効率性のバランスの取り方は、これから本当に難しくなるでしょう。あまりにガチガチにしてしまうと仕事にならず、誤びゅう率率の悪さで他の企業に負けてしまうでしょう。その意味からもこれからの経営者にとっては、情報システムに対する理解とセキュリティに対する見解が必須の資質だと思いますね。

Q:最後に、読者の皆さんに、あらためてメッセージをお願いします。

夏野:今まで以上にきちんとセキュリティ意識を持たないとまずいタイミングにきています。それは何も情報システムに関わる人だけの話ではありません。セキュリティは、経営者や政治家、ナショナルセキュリティにも関わる問題になっているわけですから、「ああ、それは私、関係ないです」とは言えないわけです。情報セキュリティを身近な問題として、国家安全保障のレベルから企業のセキュリティ、そして社会の問題として、一段上げたレベルで議論していかなければならない時にきているのだと思います。