最近話題のサイバーセキュリティ“事案”を振り返る ～キャッシュレス、HRTech、仮想通貨～

イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共にゲストを迎え、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第7回をお送りします。

前回に引き続き、ゲストとして登場するのは取締役の林達也です。

最近、大きく問題になったサイバーセキュリティのインシデントや認証問題について、サイバーセキュリティ、ID、認証のプロフェッショナルは、どのような視点からインシデントから学んでいるのか？

本当の“問題”はなんなのか、忌憚ない意見と今後の展望が次々と飛び出してきます。どうぞお楽しみください！

“サイバーインシデントにおけるメディア対応の現状”

川口洋（以下、川口）：7payの問題が起こってから、名刺が無くなりそうなほど取材陣に配る事態になってしまったそうですね。なんでそんなことになってしまったんですか？

林達也（以下、林）：まず大前提として、IDのプロフェッショナルが少なすぎるのが問題なんです。関係者になってしまうとNDA等の契約書にサインするから、対外的に喋れる人が減ってしまうんですね。そうすると、少ない「取材を受けられる人」に記者さんたちが集中するという事態になってしまう。

また今回のことはすごく世間の注目を集めた為に、僕たちが日頃接している技術に詳しい記者さんだけではなく、経済部の記者さん、コンビニ流通担当の記者さんたちといった方々が、セキュリティや認証技術に興味を持ったんですね。それで取材が非常に増えました。僕は、こんなにいろんなところから話を聞かせて欲しいと言われたのは、今回が初めてです。

川口：じゃあ、たくさん記事が出たんですね。

林：いやいや、全然ですよ。取材はめちゃくちゃされましたけど、載るところまでは全然いかなかったです。NPO日本ネットワークセキュリティ協会（JNSA）の記者懇親会は記事になって、ちょっとだけ載りました。（【7pay、Omni7問題】企業、利用者、メディア、エンジニアは何を教訓にすべきか）

川口：取材協力したのになかなか記事にならないのは寂しいですね。

林：僕がdisった新聞からは、問い合わせが無くなったのは分かってましたけどね。

川口：どこの新聞とは聞きませんが・・・何があったんですか？

林：これは言って良い話だと思うので言いますが、日経新聞さんが、ある日、「明日の12時に7payが脆弱性対策で外部連携を止めます」といった記事を出したんです（「セブンアプリに脆弱性、情報漏洩の恐れ　外部ID遮断」初出2019/7/11 13:31、2019/7/11 18:36更新 ）。これはもう、すごく危ない話ですし、全てがダメな対応だったと思います。

この内容は「明日の昼まで外部連携に脆弱性があります」って大きなメディアで公表してしまったことになります。これは「みんなの知ってる大きな金庫の鍵が、明日の昼まで開けられるよ」って話を大々的に公言しているのと同じなんですよ。

これが例えば物理世界の犯罪だったら、報道協定があるので編集デスクで止まる内容だと思うんですよ。でも今回のような新聞社にとってのマイナージャンルでは、そういうことが分からない。「PV稼げる」「すっぱ抜きだ」と喜んで出してしまったんだと思います。

これによって誰が被害を受けるかっていったら、消費者ですよね。消費者保護の観点から、あり得ない対応です。課金だけではなくて、個人情報も危なかったわけです。日経新聞ほどの規模の媒体が、何も考えずに攻撃者に対して「明日の昼まで情報抜き放題ですよ」、「タイムリミットは明日の昼までですよ」って教えてることになるわけです。そんなことがあっていいのか、という話なんです。

実は、その瞬間まで、僕の見る限りツイッターも含めて外部ID連携の脆弱性がそんなに話題にならないように、皆、暗黙のうちに伏せていたんです。もちろん、この「暗黙のうちに伏せていた」のがいいかどうかは議論があって、本来はコーディネーションされるべきだと思うんですけど。

今回、実際にこの公開でどのくらい被害があったか、まだ分からないですけど、公開されたその瞬間に、セキュリティ界隈ではスクリプトキディ（編集註※他人の製作したプログラムやスクリプトをの脆弱性を悪用して、興味本位で第三者に被害を与えるクラッキングやクラッカーのこと）などが攻撃できるようになっちゃったわけですよ。記事に掲載されてしまったことを受けて、7payは外部ID連携を予定より前倒しでシャットダウンしました。（「セブンアプリに脆弱性、情報漏洩の恐れ　外部ID遮断」初出2019/7/11 13:31、2019/7/11 18:36更新 ）

川口：未修正の脆弱性があるものは、対処した後に記事にして欲しいですね。

林：そうなんですよね。とはいえ、確かに、こういう時に“どうあるべきか”という基準についての議論は、されていないのが現状です。記者さん達ともその後、JNSAの記者懇親会で質疑応答したんですけど、「じゃあどうしたらいいんですか」と聞かれまして、何から始めたらいいのかは分からないんですね。

セキュリティのジャンルって、例えばOSSなどのソフトウェアには暗黙の90日ルール（編集註※脆弱性の認識後90日以内に修正パッチを提供する）があったり、CERTやコーディネーションがあって、という仕組みがなんとなく整ってますよね。

でもサービス主体の人達の世界では、こういうルールって何の役にも立たないわけですよ。CERTに「情報を提供します」って1サービスで提供しても、受け取ってもらいにくい。1企業の1サービスに対してものすごくインパクトがあるっていうときに、どう対応していいかは分からない。

Googleとかならバグバウンティングとかでサービス名出しますけど、7payがあの時点でバグバウンティングを始めることなんて、まずあり得ない。そういう危うさが露出した部分が、あの事件にはあったと思います。

“大規模な脆弱性事件から我々が学ぶべきことは何か”

川口：7payはサービスが終わることになりましたけど、1社の問題として片づけるのではなく、あの事件から我々は何を学ぶべきか、とても気になっています。システムの作り方とか、運用の仕方とか、経営層に向けたメッセージとか、何かが発生したときの対応方法とか色々あると思いますけど、いかがですか。

林：経営層に向けてのメッセージはシンプルで、「ああいう記者会見をする羽目になったら、その時点で、その事業は無くなるということ」とお伝えしたいですね。

今回学ぶべきひとつの要素は――これは法律用語らしいので注意して使いたいですが――「予見可能性」だと思うんです。「こういうことがあったらこれがありますよ」って自明なことは、ちゃんと用意しておけよ、という話です。

競合がいないジャンルで「やるべきことをやっていたけど犯罪者にやられました」っていうのは、単なる“被害者”であって、ことさら叩く必要はない。むしろ攻撃手順や被害を積極的に公開して共有することで、後続の被害を減らすことができますよね。

でも今回は、7月1日にコンビニチェーン2つが決済システムを始めたわけですから、攻撃者が攻撃してくると分かり切ってるじゃないですか。しかも少し前にPayPayがメチャクチャやられていたわけです。（ PayPayで「クレカ不正利用された」報告相次ぐ　運営元は「速やかに対策を行う」 ）「やらなければいけないことがわかっていて、準備できたのに、やってませんでした」というのは、非常に問題があると言われてしかるべきだと思います。

川口：今回の件では、記者会見の受け答えが批判されましたよね。（7pay終了へ　記者会見の一問一答まとめ ）多くの企業のトップは、セキュリティ問題で人前で話す羽目になる想定なんてしていないわけですから、突然人前に出た時、うまく受け答えができない状況は充分あり得るわけで、同情するなとは思うんです。ただ、同情する反面、世の中の人は記者会見の内容で全て判断するので、そこは非情な世界なんだろうなと思います。記者会見は練習させておくべきなんですかね。

林：理想を言えば、社長に謝らさせないのが1番いいと思うんですよね。セキュリティのトップ、CISOなどが表に出てくるのが理想形です。社長がやることになってしまったのは企業の準備不足と言えます。

一方で、これはインシデント対応の最後の砦とも言えると思うんです。犯罪捜査中のものは話せないという事情もあるんですが、お客様に1通1通メールを出すよりよっぽど効率的に情報を伝えられるわけで、インシデントレスポンスのフォローアップのタイミングだと思うんですよね。そういう意味では、そこに対して一定量の学習コストを割くのは悪いことじゃないと思います。

「謝らなければいけない」っていうのはポジティブな状況では無いですが、謝れるシチュエーションは、無いよりはあった方が絶対良いんですよ。つまびらかに何をやったかを話して、こういうシチュエーションで、これができませんでした、ここが穴でした、みたいな話をするべき場所なんです。でも日本ではそういう認識があまりなくて、当事者が泣いちゃったり、ひたすら謝ったりとかしがちですが、そういう場ではないと思うんです。今回は明らかに、テクノロジーに関する会見者へのレクチャーが足りていなかったと思います。

“プロダクトオーナーとしての責任感と「認証」”

川口：7payの件の難しさの一つは、システムを1社でイチから作ったわけじゃなくて、いくつかの関連する会社を繋ぎ合わせて作らないといけないというところにありましたよね。自分たちで作ってるもの以外も使って、コストや技術的制約も織り込んだものを作らないといけないわけです。そこって難しいところですよね。

林：日本で、認証部分を持っていて、ゼロから同じチームでピュアにモノを作り続けられてる所なんてそうそう無いと思うんですよ。そんな中で、ちゃんとしたシステムとしてバランスが取れるようにできてるかって考えると、それはなかなかできないよね、とは思います。

もしそれができているとしたら、「プロダクトオーナーとして、このサービスをやってるんだ」という体制だったりチームだったりができてることだと思うんですよね。単に「指示書書いたら終わり」「うちのサービスじゃない」っていう意識がどこかにあったなら、どうしても手を抜いてしまったり、どうすればいいのか分からなくなってしまうと思うんですよ。

今後、API連携していくスマホアプリが増えて、全体像を見ないで物を作っていく中で、この辺はどんどん危なくなると思います。

川口：グループ企業をまたがってビジネスを回していこうとすると、テクノロジーとプライバシー、両方の側面から難しい話がありますよね。うまく動かしている例はありますか。

林：最近新興のweb企業で、インフラチームを持ってる会社は強いと思いますよ。ソーシャルゲームの会社さんとか。「自社でインフラを持つ」っていう覚悟って強いなと思います。インターネット屋がいう“インフラ”ではなくて、ウェブ屋としての“インフラ”ですけど。

あと、ポジショントーク的な言い方になってしまうかもしれませんが、ペンテストとかレッドチームといった存在が世の中に出てきたのは、こういう問題意識から出た需要という側面があると思うんですよ。

日本だとサービスを限定した上でのテストになりがちですが、「無条件であのクレデンシャルを盗んでこい」という攻撃が、もし業務としてテストできるなら、より確実に安全になっていくとは思いますよね。イエラエであれば、コスト的な面も含めてそれを普及させていける可能性がありますから、見ていてワクワクしますね。

“HRTech業界のプライバシー意識と危機管理”

川口：最近HRTech（Human Resource × Technologyを意味する造語）の分野では、リクナビが就職活動中の学生の内定辞退率販売していたサービスが問題になりましたね（リクナビ「内定辞退率」予測データ、トヨタなど２０社超が購入  ）。こちらもサービスを辞めてしまうという話です。

林：データが機械処理されることと、人間が配慮して振舞うことには大きな差があるんですけど、これを大きな差と認識しにくいんですよね。例えば、従業員のサービスがとても良いホテルがあって、来た人の顔も覚えていて、好みも覚えていて、すごい良いサービスをしているのと、カメラが自動的に撮影をしてプロファイリングをしているときの差って、分かりにくいのは確かです。

プライバシージャンルにはそういう難しさがあると思うんです。そこの差をちゃんと分かるようにしていかないといけないし、それはすぐにできることではないと思いますね。今回のことも、是非はともかく、企業とリクナビの担当者同士が、人間同士でフィードバックし合っていたらこういう問題にならなかったかもしれないですよね。

川口：今回は個人情報保護委員会からの是正勧告が出されるまでの事態になってしまいましたので、受け入れられるのは難しそうですね。（プレスリリース『リクナビDMPフォロー』に係る当社に対する勧告等について ）

また会社としては問題を認識して、頑張って収束させようとしてる中で、社員か関係者（かどうかも分からない人物）が息巻いて「機械学習勉強しろよ」と荒ぶっている状況がありました。（※リクナビDMPフォロー？自称運用関係者曰く「自分達で生み出したものが間違った情報で叩かれるのは黙ってみていられない」  ）

林：僕自身は好きなことを呟きたいから、SNSポリシーとか嫌いなんですけど（笑）、一方でリスクとしては確実にありますよね。インシデントがあると絶対何かしら漏れてて、誰かが呟いている。

川口：被害者が呟くのとは違って、中の人が呟くとコントロールというか、対応が難しいですよね。

林：今回のことを真に受けていいかは分からないですけど、あのツイートは心の底から信じていることを呟いただけかもしれないなとは思います。

川口：「俺たちは正しい」と。

林：ビッグデータ解析をしている人たちって、プライバシーをあまり気にしないジャンルだったりするんですよ。そうすると、あのツイートも、たぶん彼なりの正義というか、正論を話してると思うんですよね。

一方で、あれが本当に中の人が呟いたことかどうかは分かりませんよね。コンペティターが中の人を装ってるとか、株価を操作しようとしてあれをつぶやいている人がいるかもしれないとか、あるじゃないですか。そういうことまで僕らはまだ配慮も及んでないし、準備も出来てないわけです。そういう準備ができてない会社がほとんどです。そういうところまでやれて、広義の意味での企業のセキュリティだと思うんですよね。

川口：あのアカウント、事件以降つぶやいてないんですよね。真実は闇の中です。

林：「こいつの情報を開示しろ」ってツイッターにやるしかないですよね。企業がそこまでやる姿勢を見せるのは、1つの手だと思います。でも、そういう道具立て、準備、メソッドみたいなものがまだまだ全然足りていない、というのが実情でもあるんですよね。

7payのときも「GitHubにソースコードがありました」って話がありましたが、アメリカのDMCA（デジタルミレニアム著作権法）という法律を使って削除したんですよ（【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。｢GitHub｣上で誰でも入手可能だったか ）。恥ずかしくないですか。お前の国は何をやってるんだ、アメリカのDMCAに従ってテイクダウンしているのか？と思ってしまいます。まだまだこの分野は未成熟で、やれることは大量にあるなと思いましたね。

“「本人確認」「認証」整備の道のりは、地道な積み重ね”

川口：最近の林さんの活動の中に「仮想通貨・暗号資産」や「ブロックチェーン」というキーワードが出てきますが、どういうきっかけで関わることになったんですか。

林：インターネットのP2P通信が好きで、暗号通信のこともそこそこ分かっていると、ブロックチェーンは面白いんですよね。黎明期のビットコインの立ち上げはインターネット立ち上げ時期のような面白さがありました。

ただ、仮想通貨は経済学、しかもマクロ経済学なので全然わからない。コインチェック事件のときに、あまりにセキュリティの話ができていないということで、前回の対談でもお名前を出させて頂きました楠さん（Japan Digital Design ）のお声がけで私的な研究会、CGTF（Cryptoassets Governance Task Force）が始まりました。“セキュリティ何でもあり”みたいな研究会です。会合は年に50回、ワーキンググループ単位だとその3倍くらいやってます。

川口：年間50回？！　ものすごい回数やっているんですね。

林：いろいろ事件が起きますから、ネタが尽きることもないんですよ。7payがやっと一息ついたと思ったら、ビットポイントさんが2桁億円もっていかれたりして。（参考「【独占】ビットポイントに10億円賠償訴訟、ビットポイント台湾CEOインタビュー」）

川口：仮想通貨の世界だと、被害額で「何億」って話題が普通に出きますね。「なんとかペイ」だと何百万〜何千万という金額ですから、コトの重大さからいうと仮想通貨はインパクトありますね。

林：電子タバコを転売して稼げるスケーラビリティと、ボタンをポチポチして稼げるスケーラビリティには天と地ほど差がありますね。デジタルアセット（編集註※デジタルデータとして保有される資産）は喫緊の課題ですから、議論するしかないということで、有識者が集まってCGTFをやっています。ディスカッションが面白いので続いている感じですね。

川口：CGTFのホームページには、議事録がとても沢山公開されてるんですね。

林：情報公開が大事になりそうなので、可能な限り議事録を公開しています。組織そのものも透明性を重視していて、トップは実業をやってないアカデミアの3名（京都大学・岩下直行教授、立命館大学・上原哲太郎教授、ジョージタウン大学・松尾真一郎教授）で固めて、中立性を保ちました。一方で宙に浮いた話ではなく、実効性のある人たちにもいて欲しいということで、産業界の楠さんや崎村さん、セコムISの松本さんと、僕が知っている手持ちで誰にも文句を言われない一番良いカードを切って組織を構成する提案をさせてもらいました。

セキュリティといっても色々なレイヤがありますよね、扉の開け閉めの話から物理的なセキュリティ、保険の話とかもでてきます。アカウンティングとか本人確認・KYC（Know Your Customer=本人確認義務 ）とかもやらないといけない。自分の顧客のことをそれを知らないことで、効率よくビジネスできたのがデジタルの世界なんですが、ちょっと水準が変わってきてますね。

川口：「顧客をちゃんと知る」ってどういうことなんですか。名前を知って、そのあとは何をどこまで知っていれば「知る」ことになるんでしょうか。

林：良い質問ですね。一般的に「本人確認」といったときには、実際にはいろんなプロセスがあります。例えば銀行窓口での確認書類。携帯電話の不正利用防止法で本人確認に準ずる書類。そういうものによる手続きを総称して「本人確認」と呼んでいるというのが実態です。日本でいま、オンライン本人確認で一番安全だと言われているのは、身近なものではマイナンバーカードですね。

川口：そういうのを整備するのもCGTFのミッションというか、活動の一環だったりするんですか。

林：やらないといけないですよね。「こういうプロセスが必要ですよね」という話を、ガイドラインやドキュメントに入れていくのは仕事の一つだと思います。実際にどれくらい厳しい本人確認をするかという基準も我々から提言していますが、まずは基本的なところを決めていくところからですね。

例えば7payの記者会見でも話題になった「二段階認証（多要素認証）」についても、本来であれば最初から全仮想通貨の取引所に実装しておいて欲しかったものだと思うんですけど、それはなかなか難しいですよね。

川口：今日明日で何かが一気に変わるというわけでは無くて、こういう関係者の想いとか危機感で、いろんな面がちょっとずつ整備されていくのですね。

林：セキュリティの人たちは実感あると思うんですが、こういうことは、本当にちょっとずつちょっとずつ積み上げていくものなんですよね。それも、もし可能だったら、一組織の一部門で頑張るよりも、外に出て、コミュニティとしてそれを積み上げていく。地道で地味な活動ですが、この方が、効率よく物事ができていくと思うんですよね。

川口：何も無かった場所が舗装されて街並みになってきたね、みたいな感じですね。こういうのって、体験した人はその感覚や感動がわかりますし、誰でもそれが大事だというのは分かってるけど、関わっていくことは難しいですね。

林：これは年寄りの話みたいになってしまいますが、10年くらいやって振り返ってみると、「おー、前に比べてすごい良くなったね」って思えるんですよ。これがずっと継続していくことの喜びの1つになっていますね。

“セキュリティは「チーム戦」。横に繋いで、前へ進もう”

川口：今回は世の中の事件について熱い思いを語って頂き、ありがとうございました。最後に、これを読んでいる皆さんにメッセージをお願いします。

林：DeNAの茂岩さんが「セキュリティは総合格闘技」っていう話をされているんですが、その通りだと思っているんです。（茂岩祐樹『DeNAのサイバーセキュリティ　Mobageを守った男の戦いの記録』日経BP 2016 ）

セキュリティは、技術はもちろん、サービスとかID、法律も知っていなければいけないし、ビジネスのシチュエーションでも判断は異なります。そうなるとこれはもう、総合格闘技の「団体戦」みたいなものですよね。それぞれに役割があって、チームで勝負できて、やっとスタートポイントです、という時代が来た。来てしまったな、という感じです。

川口：チーム戦でセキュリティを堅牢化する演習「Hardening Project」は、やはり最高のセキュリティ競技だな、って話を聞いて思いました。

林：本当にそうですよ。セキュリティは1人でやる必要はないんです。チーム戦です。1組織に閉じている必要もありません。横に繋いで前に推し進める。実務としてそれが出来るシチュエーションまでいって、やっと社会の水準が1つ上がるイメージがします。

ですから、国内でも海外でもいいんですが、自分の興味のある別のコミュニティに出て行って、活動して持って帰ってくるということを是非して欲しいですね。こういうサイクルは本当に重要だなと思っています。

違う場所に行くと、「そんな話があるんだ、知らなかった」とか、逆に「こういう話って興味持ってもらえるんだ」「役に立つんだ」ということがある。セキュリティのカテゴリもそうですし、産学官連携といった場もそうだと思うんですけど、違う場所にただ行って活動するだけでも、お互いにプラスを得ることができます。アウトプットもインプットもできる。僕は、そういうコミュニティワークはすごく重要だなと思います。

川口：そういうのは僕も大好きで、応援したいですね。

林：保守的じゃないことをするように意識的にすると、面白いですよってことですね。イエラエのエンジニアもそうですが、やっちゃいけないことをやって試したからセキュリティが分かる、ということもある。または、仕事以外の余力を全然違うことに突っ込んでみる。そういう保守的じゃない選択肢を自主的に取ってみると、世界が変わる瞬間があるよ、というのは伝えられるといいなと思いますね。

川口：そういう世界を楽しんでもらえるといいですよね。今日は、ありがとうございました。