政府クラウドの開発推進

情報漏洩

北京冬季五輪はおかしなことになっているようだが、触れるつもりはないのでスルーして、ちょっと変わったニュースを紹介したい。

【独自】国家機密の管理は国産クラウドで…技術開発を後押し、23年度の運用目指す

2022/02/07 05:00

政府は、行政データをオンラインで共有するため整備を進めている「政府クラウド」で、国家機密にあたるデータに限り日本企業のサービスを採用する方針を固めた。機密情報の海外流出を防ぐとともに、米巨大IT企業に先行された日本企業の技術開発を後押しする。2022年度に企業を選定し、23年度の運用開始を目指す。

「讀賣新聞」より

デジタル庁が立ち上げられ、国産クラウドでのデータ運用という基本方針を示しているが、個人的にはこの方針には賛成している。

ただ、不安もあるんだよね。

スポンサーリンク
同カテゴリーの人気記事

この記事は「惣郷木霊の四方山話」でお送りしております。

<同カテゴリーの人気記事>

スポンサーリンク
スポンサーリンク

技術力だけの問題ではない

特定秘密の取り扱い

政府のお役所仕事っぷりななかなかのもので、未だに紙が主体の業務になっている。ある程度はデータ化されているようだが、それぞれの省庁でのデータ管理ということになっているため、効率が悪い。

そこで、国産クラウドを作って運用する。そうすると効率の面でもコストの面でもメリットが出てくるはずなのだ。実際にうまいこと行くかどうかは設計次第だろう。

3段階の機密性区分のうち、防衛装備や外交交渉の資料を含む最高レベルの「機密性3」や、漏えいすると国民の権利を侵害する恐れがある「機密性2」の一部などが対象になる見通し。政府は、NTTデータや富士通、NECのほか、新興企業の参画も念頭に置く。3月末までに必要とする要件や基準を定め、4月にも公募を始める。

「讀賣新聞”【独自】国家機密の管理は国産クラウドで…技術開発を後押し、23年度の運用目指す”」より

一応、日本の名だたるメーカーが並んでいるが、情けない話、日本のこの分野における技術の遅れは深刻である。

政府クラウドはAmazonが

技術的な遅れやコストの問題を考えて、日本政府はなんとアメリカのクラウドを利用していた。

昨年10月に始まった政府クラウドの先行事業では、米アマゾン・ドット・コムの傘下企業と米グーグルが採用された。不特定多数が利用できるインターネットを通じてデータを共有する「パブリッククラウド」と呼ばれる方式で、世界的に広く使われている。低コストで使い勝手が良く、比較的機密性が高くない情報で利用されている。

「讀賣新聞”【独自】国家機密の管理は国産クラウドで…技術開発を後押し、23年度の運用目指す”」より

まあ、比較的気密性の高くない情報を扱っているというのだから、あまり問題はないようにも思われるが、この機密の重要度は国によって異なる。日本政府が「あまり重要ではない」と判断していても、相手にとってもそうであるとは限らない。

それこそ、データを蓄積してビックデータのような使われ方をされれば、スパイ活動を行う上で極めて有用なデータになる可能性がある。安全保障という意味では、あまり望ましいことではない。

日本にはスパイ防止法もないしね。

サイバー戦争は行われている

せっかくなので実例を上げておこう。

北朝鮮、仮想通貨50億円超盗む

2022/2/6 14:42 (JST)2/7 11:03 (JST)

国連安全保障理事会の北朝鮮制裁委員会の下で制裁違反の有無を調べる専門家パネルが年次報告書の中で、北朝鮮が2020年から21年半ばにかけ、暗号資産(仮想通貨)取引所へのサイバー攻撃を通じ計5千万ドル(約58億円)分以上を盗み出したと指摘していることが分かった。加盟国からの情報だとしている。

~~略~~

報告書は、北朝鮮が制裁を逃れながら外貨を獲得する手段として「仮想通貨を狙ったサイバー攻撃は依然として重要な収入源だ」と分析。昨年の年次報告書では、北朝鮮が19~20年にサイバー攻撃で仮想通貨計3億ドル余りを盗んだと指摘した。

「共同通信」より

米メディアにサイバー攻撃、中国のスパイが関与か

2022.02.07 Mon posted at 10:02 JST

ニューヨーク(CNN Business) 米紙ウォールストリート・ジャーナル(WSJ)を傘下に持つ米ニューズ・コーポレーションは7日までに、「継続するサイバー攻撃」を受けていたと明らかにした。サイバー攻撃について調査を行った企業によれば、攻撃は中国のスパイが行っていた可能性がある。

「CNN」より

更に、どことは言わないが国をあげてサイバー攻撃に力を注いでいる国もあるのだ。しかし、アメリカをしてサイバー攻撃を完全に防ぐことは不可能であると言わしめている。

過去にも言及してリウが、実際に2021年5月にこんな事件が発生した。

サイバー被害の米パイプライン、身代金4.8億円の支払い認める 米紙報道

2021年5月20日

サイバー攻撃を受けて5日間にわたり操業停止となった、アメリカ最大の石油パイプライン「コロニアル・パイプライン」が、ハッカーに対して440万ドル(約4億8000万円)の身代金を支払ったと認めた。米紙ウォール・ストリート・ジャーナルが19日、同社のジョゼフ・ブラウント社長の話として伝えた。

「BBC」より

これはあまり民法などでは取り上げられず、その深刻さについてさほど議論はなされなかった印象ではあるが、民間人のライフラインを人質にとられたという、極めてやばい案件である。

犯人はロシアであると言われているが、アメリカはこの攻撃を防ぐことができなかった。「いつ」「だれが」「どうやって」攻撃を仕掛けてくるかがわからないのだから、攻撃を防ぐことは極めて難しいのである。

ただし、アメリカが徹底しているのは、このあとの対応を見ると理解できる。

サイバー被害の米パイプライン、身代金の大半を回収 米司法省が発表

2021年6月8日

アメリカ司法省は7日、サイバー攻撃を受けて先月5日間にわたり操業停止となった同国最大の石油パイプライン「コロニアル・パイプライン」がハッカーに支払った440万ドル(約4億8000万円)の身代金について、大半を取り戻したと発表した。

「BBC」より

なんと、相手方にサイバー攻撃を仕掛けて、お金を取り返したというのだ。このことは何を意味しているかというと、サイバー戦争というのは、攻めるに易く守るに難いということなのである。

サービス開始は可能だろうが

可能か不可能かで言えば、日本の技術でも可能ではあると思う。

政府は経済安全保障の観点から、機密性の高い情報の管理では日本企業のサービスを利用する必要があると判断した。プライベートクラウドであれば、日本企業でも米巨大ITと同等のサービスを提供できるとみている。

21年版の情報通信白書では、クラウドサービスの世界市場規模は20年の3281億ドル(約37兆円)から23年には5883億ドル(約68兆円)に拡大すると予想している。

「讀賣新聞”【独自】国家機密の管理は国産クラウドで…技術開発を後押し、23年度の運用目指す”」より

ただ、安全かと言われればかなり怪しく、データを抜かれていたとしても気付かない可能性すらある。

この手の話は、技術だけが問題なのではないのである。日本国内にスパイは多数入り込んでいて、これを排除することが難しい。当然、日本の名だたる大企業の内部にも食い込んでいて、必要とあらばバックドアくらい平気で仕込むだろう。

漏れてからでは遅いのである。

技術支援だけではなく、必要な法整備を進めて欲しいものである。

コメント

  1. 法の壁、技術の壁、デジタル庁の馬鹿の壁
    幾重もの壁を打ち破ったその先にあるものは・・ポッケナイナイ

    • ポッケナイナイは何処の国でも心配される話ですが、話しを膨らますメディアもいますから、何を信じたら良いのやら。
      色々心配はアリマスが、政府クラウドもトライをしないことには始まりません。

  2. 木霊さんこんばは、これも3-5周遅れでしょうが、、、、

    >技術力だけの問題ではない

    まったくその通りで、
    しかし木霊さんご指摘の法整備、情報分類以外にも、いわゆる「情報リテラシー」が 役所どころか日本国民全員に、大いに不足してますよねぇ。

    木霊さんのようなサイト運営者には常識でしょう「公開鍵」「秘密鍵」この技術に基づいた「電子署名」+「多要素認証」の安全性・危険性と危険回避方法の知識は、ネット情報やり取りする人間にすべからく必要な知識と思いますが、私の周囲の非情報系エンジニアでも、用語さえ知らない方多数。お役所は困ったことの当然のように知らない。
     (国民の生命に直結するコロナワクチン予約システムの多数がLINEベースとか、上記レベル以前、気が狂ってるとしか)

     一番困るのはネットで見かける自称セキュリティー専門家の低レベルリテラシー。例えばパスワード・ハッシュ・テーブルに関するSALT、Stretchに関する絶望的解説とか、、、日本語の解説で正しいのを見たことがない。

     木霊さん試すようで失礼ですが、国家機密レベルで数年は破られないパスワードの要件をご存じです? 私の数年前の雑な計算では「21桁以上の暗号学的乱数」すなわち、UUID・GUIDレベルの乱数となります。今だと30桁ぐらい必要かな?

     理由:パスワード・ハッシュ・テーブルに対するブルートフォースアタックは、ビットコイン用マイニングマシンと僅かな差異しかない機器で実行可能です。支那に多数あった体育館いっぱいにマイニングASICクラスタを詰め込んだようなスーパーマイニングマシンの実行レートは平均して数EH/秒もあり、これをパスワードブルートフォースマシンに改造すれば16桁程度の乱数パスワードは数分で解析できます。支那は去年マイニングを違法化しましたから、これを徴収すれば恐るべき、、、、、