Posts

artificial-photography-119282 (1)

【コラム】 超スマート社会の始まりは、クレジット取引から

 

今日の日本社会は、大きな変化に直面している。高度化された情報社会、「超スマート社会」への変化だ。 これは、政府が積極的に推進している公的制度と政策のためにでも避けられない変化に見える。しかし、その変化に対して、不安を話したり政策推進の理由を分からないという不満もさんざん聞こえている。それで、情報と変化の目的と意義を調べてみて、変化が本格化する前に予め確認しなければならない現実的対応策を検討しようとする。

 

「マイナンバー」の不安払拭

まず検討するものは、超スマート社会を成す各構成員に対する識別手段である「マイナンバー」だ。2015年10月から施行された「マイナンバー」制度は、まだ定着段階にあるとみられるが、すでに全体社会底辺に大きな変化を起こしている。肯定的には、当初制度を打ち立てる趣旨によって、租税行政及び社会保障などの国家システムが前に比べて、より透明で公正になっているとみられる。一方、否定的には財産追跡を避けるため、銀行ではなく家に現金を保管するいわゆるたんす預金が大幅に増えるなど、社会システム変化の過渡期的な現象も現れている。

 

たんす預金問題は、意外にかなり深刻で、この1年間、3兆円以上増加し、現在43兆円規模だという。この1年の増加額は、日本国内総生産(GDP)の0.6%に該当する規模だ。紙幣相当分が市場で流通せず、すぐにたんすの中に入ったわけだ。その理由をすべてマイナンバーの影響と見ることはできないかも知れないが、たんす預金現象の最も大きな理由と分析される政府の課税強化政策の技術的基盤がマイナンバーということは確かな事実だ。

 

しかも、一部市民団体は、マイナンバー制度の導入前、そして施行中の今までも個人識別番号の情報セキュリティ的な危険性を懸念し、韓国の類似した制度である住民登録番号と関連された頻繁なセキュリティ事故を取り上げながら、不安を訴える。しかし、韓国の住民登録番号は、マイナンバーと似ているようで似ていない。同じ識別番号ではあるが、住民登録番号は該当番号を通じて「識別」と「認証」を一緒に処理しようとして、問題を起こしたものであることに比べて、マイナンバーはただ「識別」だけに使われるので、根本的に安全だとみなすことができる。そして韓国は情報化導入初期には、住民登録番号を、暗号化していなかったから事故が絶えず発生したことに比べて、マイナンバーは制度的に暗号化が必須的だ。したがって、マイナンバーの情報セキュリティ的危険性は、それほど大きくないと見られる。

 

「Society 5.0」変化の不可避性

社会構成員の識別手段であるマイナンバーと共に社会情報化に大きく影響を及ぼすのは、現在の日本政府が「超スマート社会」実現を目標として積極的に推進している「Society 5.0」政策だ。これは、ドイツの「Industry 4.0」政策と似ているようで似ていない。モノのインターネット、ビックデータ、クラウド、人工知能、ロボットなどの先端技術を産業現場特、特に工場に適用することにより、生産性を向上しようとする目的の「Industry 4.0」に比べて、「Society 5.0」はそこからさらに一歩進んで、情報化革新を通じて社会全体を全般的に成長軌道に引き上げるという超巨大計画だ。

 

現在、日本の人口は大きく減少していて、平均年齢は増加している。低い出生率と高い寿命増加がもたらすことになる結果は深刻で、これからは今までそうしてきたように若い労働者たちの負担だけでは社会的な脆弱階層の面倒を見ることができなくなるだろうという判断による決定が「Society 5.0」政策だ。これは、とても現実的判断で、政府の立場で大きな社会変化の推進は不可欠な選択だと考えられる。日本のように自然災害が頻繁な国家でかなり老朽化した産業インフラを保有したまま、労働力が減少するというのは国家において極端に危険なことだから、国家生存のためにも自発的に大きな変化以外は、避ける方法がないということは、ただ、日本だけでなく、今日、全世界のほとんどの国が直面した深刻な問題だ。

 

一応、その方向性だけは本当に正しい。企画者の能力がうらやましいほど適切だ。しかし、いくら正しい方向性であっても、現実的に適切な対策の支えがなければ無用の長物になってしまうだろう。超スマート社会を構築する第1の現実的条件は、信用である。私たちがお互いに信じて相生しようという抽象的な意味での信用ではなく、厳格な電算的定義による信用である。そういう意味で、社会そして国家の情報化という十分な電算的な信用を確保するための総体的努力と見られる。そして、「マイナンバー」そして「Society 5.0」などは、まさにそうした努力の一環だ。そういう意味で筆者は情報セキュリティ専門企業としての自社ビジョンを「開放された社会のための信用、Trust for an Open Society」に設定したことがある。

 

超スマート社会の基盤は、電算的な信用

超スマート社会政策の実際の適用について考えてみよう。そうすると、先に頭の中に浮かんでくるのが電算的な信用の不実さだ。その不実さは、公的制度だけでなく、特に私的システム、すなわちクレジット取引で大きく表れている。日本の商取引文化は、クレジット取引という世界的な動向から大きく離れていて、現金使用に固執してきた。現金の代わりにカードを使っても、クレジットカードではない銀行デビットカードを使用するので、それもまた現金使用の延長線上にあることだ。クレジットカードでは最初から支払うことができない店もよく見られるが、文化的にも電算的な信用が不実な環境だと判断される。

 

現金払いの強要を置いて、事業者の脱税への疑惑を持つのは変ではない。これは、非常に疑われることでもある。しかし、脱税の意図まではなくても、政府によって自分の財産状況が明らかになること自体が嫌な自己保護心理が大きく作用するようだ。過度な国民統制や監視に対する懸念は過ちではなく、国民としてとても当然な権利だと見られる。しかし、先にも述べたように、情報社会への変化、つまり電算的な信用システムの構築は国家生存のためにも避けられないことだけに、懸念の方向を変化そのものではなく、変化要素の適切性に集中することが適切な態度だという気もする。

 

国家的レベルの情報化推進の目的は、行政的な手続きの浪費を除去し、行政効率を向上することで、国民の負担は減らし、利便性は高め、厳格な租税正義を通じて確保した十分な財政で社会保障など国家システムを円滑に運営するためだ。効率的かつ透明な公正社会を実現するための社会インフラの情報的基盤がまさに電算的信用ことだ。これは、政策的側面だけでなく、技術的にもそうだ。たとえば、モノのインターネット技術(IoT)は、究極的には人ではないモノとモノの間の取引にまで至ることになるだろう。このため、ブロックチェーンなどの技術を通じて、事物にも商取引が可能な電算的な信用を付与する研究が進行中にある。これはもうすぐやってくる未来だ。

 

しかし、ほとんどの変化はまるで手の平を返すように急変することではなく、少しずつ徐々に近づいてくるものだ。そのため、大きな変化であっても事前に対策を立てることが可能だ。それでは、今、急を要する問題から調べてみよう。

 

最も急がれる問題は、オフライン電子商取引の現場

あまりにも当然なことだが、最も急がれる安全措置は、最も危険なところからまず保護することだ。クレジット取引の文化定着において、今最も危険なところはよくある誤解とは違って、オンライン電子商取引ではない。オンライン上で取り交わされる信用情報は、各種の関連規制によって相対的に厳しく検証されたインフラを通じて起こるため、オフラインの現場に比べては比較的安全に維持される。一方、オフラインの電子商取引は、実際の取引が起こる現場の数があまりにも多いために、取引に使用されるPOS(Point Of Sale.販売時点情報管理)端末機などのデバイスに対する基本的な安全性さえ十分確保することが難しいという現実的問題がある。

 

オフライン電子商取引の安全が特に重要なもう一つの理由は、消費者そして販売者ともにクレジットカードという実物を通して、取引プロセスに直接参加する、クレジット取引関連行為の中で最も具体的かつ可視的な行為だからだ。したがって、もしオフラインの現場でクレジット取引事故が発生するようになると、それによる社会的な不安が今後の信用社会構築においてとても大きな障害になるためでもある。

 

オフライン電子商取引の現場の中でも特にPOS端末機のセキュリティに集中する必要がある。オフライン取引現場にも安全関連規制があるが、オンライン環境に比べて相対的に管理に盲点が多いしかないため、セキュリティを疎かにする場合が多い。POS端末機の運営体制から見ても、すでに製造会社の技術的サポートを終了した運営体制を使用する場合をよくみられる。最も危険なところにも関わらず、最も管理が疎かにしているのだ。

 

超スマート社会の基盤は、社会構成員各自の電算的信用確保、そして今現在、電算的な信用の安全のための最も至急な措置は、オフライン電子商取引の現場だ。オフライン電子商取引セキュリティの具体的な内容については、以前書いた「POS&CATの決済、財布からサーバーまでデータの流れ」そして「クレジット取引セキュリティ、P2PE暗号化で安全」を参照してほしい。

ペンタセキュリティ、オープンソースDB向け暗号化ソリューションMyDiamoで日本市場進出加速化

 

ペンタセキュリティ、

オープンソースDB向け暗号化ソリューションMyDiamoで日本市場進出加速化

 

日本Soft Agencyとのパートナーシップを結び、日本暗号化ソリューション市場シェアの拡大に乗り出し

データベース暗号化とWebセキュリティ専門企業のペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、http://www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が8月24日、日本のSoft Agency社とパートナーシップを結び、日本市場でオープンソースデータベース向け暗号化ソリューションであるMyDiamo(マイ・ディアモ)の供給を本格的に拡大することを明らかにしました。

 

IT専門調査会社IDC Japanが日本企業1482社を対象に実施した調査によると、日本企業内のオープンソースソフトウェア(以下、OSS)の使用率は約30%に過ぎないが、企業の規模によってOSSの導入率が高くなる傾向がありました。また、クラウドサービスを利用している企業のOSS導入率はそうではない企業に比べて約2倍ほど高いということが分かりました。最近、日本でクラウドサービスの利用率が増加している中、顧客がこのようなサービスをより安全に利用できるようにするため、両社が戦略的パートナーシップを結びました。

 

日本Soft Agencyは、データベース、オープンソース、インターネット事業専門会社としてオラクルが付与する日本OPN(Oracle Partner Network)MySQL 5 Specializaionのパートナー認定を通じ、MySQLソリューションの販売及び開発部門で専門性を認められた企業です。当社は、ペンタセキュリティとパートナーシップを結び、日本の顧客にMySQL、MariaDB、PerconaDB環境にも対応可能なMyDiamo(マイ・ディアモ)を供給できるようになりました。MyDiamo(マイ・ディアモ)は、クラウドおよび仮想化環境でも柔軟に適用が可能なため、クラウドサービスを利用する顧客の需要を満たすのに貢献するものとみられます。

 

ペンタセキュリティは、2016年6月、グローバルリサーチコンサルティング機関であるFrost & Sullivanが選定した「2016アジア・パシフィック地域の最高のセキュリティベンダー」に選ばれ、すでに優秀な技術力を検証されたことがあります。今回、Soft Agencyとのパートナーシップ締結を通じて供給するMyDiamo(マイ・ディアモ)は、ペンタセキュリティの技術的なノウハウを込めた製品で、今年、米国CDM Awardsの「Editor’s Choice in Data Leakage Prevention for 2016(編集者が選定した2016年のデータ流出防止ソリューション)」部門で受賞しました。また、ペンタセキュリティは、MyDiamo(マイ・ディアモ)を通じて米国CIO Reviewで「20 Most Promising Database Technology Solution Providers 2016(2016年最も期待されるデータベース技術およびソリューション提供企業20)」に選定されました。

 

ペンタセキュリティの最高技術責任者であるDS Kimは、「クラウドサービスの普及とともに日本でオープンソースソフトウェアに対する需要が増加している。」とし、「Soft Agencyとの協業は日本市場内でMyDiamoのシェアをさらに拡大し、日本市場攻略のための踏み台になると思う。」と述べました。

 

MyDiamo (マイ・ディアモ)

 

MyDiamoは、OSS(Open Source Software)のMySQLとMariaDBに特化したDBMSエンジンレベルの暗号化ソリューションであり、エンジンレベルのカラム暗号化セキュリティとパフォーマンスの両立を実現させるアプリケーションから独立したコンポーネントです。ペンタセキュリティでは、オフィシャルサイトにて個人用の非営利的利用のため、無償ライセンスを提供しています。

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

wheel

【コラム】「また?」 個人情報漏洩の危険

マスコミで報道されるニュースを見ると、ほぼ毎日と言っても良いほど頻繁に「個人情報漏えい事故」が起こっている。まるで当然のことのように起こることだ。以前は、だから、インターネットの大衆化以前には、このような事故が起こると、社会全体が怒りを発するたりしたが、最近はあまりにも頻繁に事故が起きているからもう慣れてしまい、みんながただ「えっ、また?」とちょっとかんしゃくを起こしてすぐ忘れてしまう。個人情報は、私だけのものではなく、誰でも使える公共財になったという嘲笑さえ聞こえる。しかし、個人情報漏えい事故は、そんなに軽く考え、適当に笑ってすますことでは決してない。本当に本当に危険千万なことだからだ。

「火車」、他人の人生

社会派ミステリの巨匠である宮部みゆきの小説の「火車」には、他人の身分を偽装し暮らす女性が登場する。宮部さん特有の文体のおかげで最初から最後まで軽快によく読み取ることができたが、読んでいる間、心が重くなるとても暗い犯罪小説である。

不動産開発ブームに陥った父親の無理な融資のせいで、家族が借金取りに追われて家を離れ、各地を放浪していたところ、両親を失って本人も四面楚歌の状態に追い込まれた新城喬子は、女性向けの下着を販売する通販会社の職員として働きながら、顧客の中で家族と連絡せず、職業が不安定な若い女性である関根彰晃の個人情報を盗んで、身分を偽装してその人の振りをしながら生きていく。構成員は断絶され、相互コミュニケーションがなく、形式的なシステムだけますます複雑になっている現代社会ではどんな人のアイデンティティがその人の性格や人柄などの自然な性質より、身分を証明する各種の番号と短い文章により決定される。だから新城喬子も小説の中で特別な事件が起こる前までは盗んだ個人情報で無難に他の人として生きていくことができたのだ。
しかし、小説のタイトルである「火車」は、人の魂を地獄に連れて行く「燃える車」を意味する言葉で新城喬子の偽人生の最後はハッピーエンドではない。

個人情報とは?

個人情報は、それこそ個人そのものだ。どんな人を特定し、識別できる情報として住所、氏名、年齢、性別、生年月日、電話番号などの基本情報のほか、学歴、経歴、勤務先、結婚歴、クレジットカードの番号、兵力、前科の有無などをすべて含む。私たちは、個人情報を通じて自分が自分であることを証明しながら日常生活を維持するのだ。

ICT技術の発展により、過去には収集や取り扱いが難しかった種類の情報まで簡単に取得して利用できるようになるにつれて、個人情報漏えいによる危険性も高まった。このように高まっている危険性を解消するため、この2015年9月「個人情報保護法」がほとんど10年ぶりに改正された。従来の問題の解決だけでなく、より効率的に個人情報を管理するため、追加的に特定の個人情報、すなわち「マイナンバー制度」を新設することによって、より厳格に情報を管理するという意味もある。

しかし、マイナンバーという、特別に管理しなければならない代表的な個人情報をもう一つ追加したわけであるため、情報漏えいによる危険性の問題が解決されたのではなく、むしろさらに増加したという指摘は相変わらず議論の対象だ。さらに、マイナンバーセキュリティの関連法規がまだ具体的ではないので、制度が実際に施行されてから数ヵ月が経っているが、最も基本的なセキュリティ措置であるデータ暗号化さえ施行していない企業がほとんどだ。だから、マイナンバーのせいで個人情報漏えいの危険がさらに増えたという不満の声は妥当である。それにもかかわらず、相変わらずまともな個人情報保護措置を取らせようとする努力は見つけられない。自発的には行動することを期待してはならない仕事だから、関連法の規制内容をより具体的に補強してこそ、解決される問題であるようだ。

個人情報漏えい事故の経緯とその対策

ところで、個人情報は、どうやって流出されるか?外部の攻撃によって個人情報が流出される場合は、ほとんどがハッカーの内部ネットワーク侵入の試みそして内部の人のミスによって起こる。ある日、メールが届く。普段よく連絡している取引先から来たメールだ。開けてみたら、メールの中に業務と関連されたファイルが添付されていた。何気なく開いたが、特別な内容がなくて、そのまま閉じる。しかし、この時、すでにシステムはファイルの中に隠されていた侵入用マルウェアに感染され、これを通じて内部ネットワークに侵入して、データベースにアクセスしたハッカーは、情報を外に流出させる。「いや、そんなメールは最初から開けなければ良いのではないか!」 さあ、取引先からきた業務メールを開けないというのがむしろおかしくないか?

漏えい事故は防ぐことも難しいが、事故発生後の対処も難しい。情報を流出されたという事実自体を認知できない場合がほとんどだからだ。「わが社はセキュリティに特別に気を使わないにもかかわらず、運が良いのかまだハッキングされなかったよ。」

いや、すでにハッキングされたことに気づかなかったのかもしれない。ハッキングは、セキュリティに特別に気を使ってからこそ、やっと侵入者の存在に気付くぐらいだから。

ハッキングとセキュリティは、矛と盾の終わらない戦いだが、今までの成績を見れば、矛が盾を完全に勝っている。盾の立場ではいくら最善を尽くしても結局は突き通してしまうから、これは、どうも方法がないように思われるのだ。

こうなると、認めざるを得ない。 内部ネットワークの侵入は避けられない。最善を尽くして事故発生の確率を減らすために努力するが、残念なことに流出事故は必然的なので、結局は起きてしまう。過去、漏洩事故の経緯を調べたところ、事故が起きた後、なんとかかんとか口だけうるさく言っているが、実際に未然に防止することができたことはほとんどなかった。いくら注意しても、ハッカーたちの専門性はそれを軽く超越してしまう。

いや、じゃ、何をどうすればいいのか?まずは、防御力を実際の事故多発地点に集中する。最近、起きているほとんどの流出事故は、Webコンテンツを通じた侵入により発生する。経済産業省の情報処理推進機構(IPA)で発表した報告書クリックすると、原文を見ることができます。)によると、現在の情報セキュリティの危険性1位は「Webアプリケーション脆弱性」が占めている。したがって、最優先的な措置としてWebアプリケーション領域を死守することでWebコンテンツを悪用した攻撃を遮断する道具である「WAF(Web Application Firewall)」の使用をおすすめする。WAFを使用すれば、既存の代表的なセキュリティツールだったアンチウイルスプログラム、ネットワークファイアウォールでは防ぐことができなかったWebコンテンツ攻撃を防ぐことができる。なので、まずは、WAFを使って事故発生確率を最小限に減らすことから始めよう。

しかし、再び強調したいのは、どのようなルートを通じても侵入は結局起きてしまうことという点を忘れてはならないことだ。このような場合、情報を守れる唯一の方法はデータ暗号化だ。しかし、単純にデータベースを暗号化するとして、全てのリスクが完璧に消えるわけではない。データが流れる経路を最初から最後まで全部暗号化する、つまり「DEP(Data Encryption Platform)」概念に充実した暗号化体系を構築しなければならず、さらに企業全体の業務文化がDEP内部で発生して行われなければならない。そうすることで流出事故を事前に防止でき、もし事故が発生しても、流出による被害を最小化することができる。

個人情報流出による2次被害

ハッカーたちは、盗んだ個人情報を人質にして情報を盗まれた企業を相手に身代金を要求して脅迫したりもするが、ほとんどの情報は、ハッカーの闇市場で1件あたりにいくらというやり方で取引される。そして、このような方式で取引された個人情報はまた他の犯罪に悪用される。

例えば、通信を利用した「振り込め詐欺(フィッシング詐欺)」犯罪組織に対して、個人情報はとても立派な餌になる。受話器が鳴って、受けたところ、知らない人が「あなたの口座が危ないから、早く安全な口座にお金を移しなさい!」といえば、ほとんどは笑いながら無視して電話を切るだろう。

しかし、「私はOO市検察庁のOOです。OO市OO県OOマンションに居住しているOOOさんですね。現在、誰かがOOさんの名義を盗用して、通帳を開設してOOO万円の融資を受けましたが、OOOさんがその犯罪に加担していないということを確認しなければなりません。まず、口座を確認します。OO銀行の口座番号OOOOOOOがOOさんの口座で間違いありませんか?」と聞くのであれば?誰だって不安になるのは当然だ。

また、これはどうか。「OOOさん、私は厚生労働省に務めているOOOと申します。OOOさんの国民健康保険に問題があって電話いたしました。OOOO年O月OO日、OO病院で診療を受けたことがございますね。その時、OOOさんの名義が盗用されたみたいです…」とか。このような電話を受けたら、当然相手が公務員と信じれるしかないんじゃないか?実際、振り込め詐欺(フィッシング詐欺)犯罪に騙されて財産を失った被害者たちの記録をみると、相手が自分の個人情報、特に、住所や診療記録などの詳しい情報を知っているという事実に最も不安を感じたという。

フィッシング詐欺は、「釣り」という意味だ。釣り師は、釣りに個人情報というえさをかけ、被害者たちを狙う。一応、不安を感じた被害者は、相手が言うとおりに自分の口座にあるお金を全部送金してしまって、無一物になったり、犯罪に悪用される架空口座を作ることなどに名義を盗用されたことで、2次的な被害を被ることになる。じゃあ、その餌はどこから得たのだろう?

忘れないこと。流出されたた個人情報は必ず犯罪に悪用される。そうでなければ、ハッカーがなぜ自分たちの貴重な時間と費用を投資して情報を盗み出そうとするのだろうか。ハッキングにかかる費用も少なくない。だからハッカーは、情報を売らざるを得ないし、情報を買う人もその費用を回収するためにも、情報を利用するしかない。難しいことでもない。「火車」に戻って話を続けてみると、新城喬子は、関根彰晃を偽装するために関根彰晃を殺人するなど、仕事を複雑にするしかなかった。だが、よく起こる個人情報の悪用犯罪は、簡単に利用してしまえばそれで終わりなので、本当に簡単にそしてあっという間に起きる。誰かが私の個人情報を盗んだというのは、私も知らないうちに自分の名義の通帳が作られ、その通帳を利用して私金融から融資を受け、自分の名義の自動車が道路を通って、自分の名義の携帯が犯罪に悪用される危険にさらされているという意味だ。

マスコミの「個人情報漏えい事故」報道は珍しくないが、珍しくないからといって普通のことだと考えてはいけない理由がここにあるわけだ。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

【コラム】 マイナンバーセキュリティを無視したら、韓国のようになる

話を始める前に、先に言っておきたい。私は韓国のマイナンバーである住民登録番号のセキュリティ専門家だ。大学院で暗号化を専攻して、この仕事を始めたてから住民登録番号を含む様々な個人情報の暗号化、そして個人情報が最もたくさん流通されるチャンネルであるWebセキュリティの最前線を離れず、現場を守ってきた。長年の経験を通じて断言するが、マイナンバーは保護できる。ただし、積極的に保護しようとするときにだけ。

ハッカーより怖いのは、楽天主義者

情報セキュリティの戦場で起こられる大小の戦いの絶対的多数は、ハッカーとの戦いではなかった。当然保護すべきのそしてしようとすれば十分保護することができる情報セキュリティをおろそかにして「まさか。私にそんな事故が起こるはずないじゃん。」と呑気に考える楽天主義者たちとの戦いだった。非常に強い敵である。到底かなわない。長い悪戦苦闘に私はほとんど敗北し、その結果、韓国から流出した住民登録番号の数は算術的にいえば韓国の人口数よりも多い。それによる被害額もとてつもない。もっと大きな問題は、住民登録番号の当初の目的と機能をほとんど失ってしまって、これを代わりになる新しいものを探しているという事実だ。国家的に膨大なコストがかかるに違いない。何の無駄な浪費か!

韓国の住民登録番号と趣旨が似ている個人識別番号である日本のマイナンバー制度の導入も2016年1月以来、半年が経った。韓国はこのざまだが、日本はどうであろうか。導入後の状況が知りたくて、あれこれ調べてみたところ、結構驚いた。どうしてこんなに韓国と同じ状況であろうか!と。マイナンバーの暗号化措置を十分にしている企業がほとんどない。このまま放置されると、結局韓国の住民登録番号と同じ道を歩むことになるのは明らかだ。

マイナンバーセキュリティに対してどう措置しているかを調査してみて驚いたのは、たぶん日本は韓国に比べて安全問題に敏感であるはずだという先入観のせいかもしれない。なぜ、我々はどの国についても根拠もない先入観から脱することができないのか?と思った。そして、マイナンバーの現況調査のために進めた日本企業に勤務する電算担当者とのインタビューを通じて、たくさんのことに気付いた。韓国と日本は、似てるところも多く、また異なるところもたくさんあるんだなーと。当然なことなのに、改めて驚いた。

韓国と日本。両国とも「後の祭り」

両国の似ている点は、危険が目に見えるのにそのまま無視して、セキュリティ事故が起きた後になって慌てて対策を立てるという事実だ。韓国には、このような諺がある。「死後の処方箋」。これは、患者が死んだ後に薬を処方するという意味だ。また、「牛を失ってから牛舎を直す。」という諺もある。泥棒が盗んだ後、育てる牛もないのに牛舎を直すという意味だ。知人に聞いてみたら、日本にも同様の諺があるという話をしてくれた。「後の祭り」。祭りが終わった後に無駄な花馬車を準備するいう意味。

「盗人を見てなわを綯う」という言葉もおもしろい。昔から非常によくある情けないことだったから、このような諺もあるのだろうが、苦い経験を通じても学習できないというのは…。ため息しか出ない。

韓国と日本、両国のセキュリティ文化の違い

それでは、似ている点よりもっと意味深いはずの韓国と日本の違う点について見てみると、まず情報セキュリティに対する考え方が完全に違う。韓国で情報セキュリティは、したくなくても無理やりにしなければならないものだ。韓国の企業は、必ず法を中心にしてセキュリティシステムを構築する。これは、韓国の情報セキュリティの関連法規内容がかなり具体的であるためでもある。韓国の法規は、かなり技術的な内容までいちいち指示していて、これに応じない場合の処罰内容もかなり具体的だ。したがって、韓国企業は法律が要求することをそのまま従って、セキュリティシステムを合わせようとする傾向がある。だから、韓国のセキュリティ文化は嫌がっても無理やりにしている感じがする一方、日本企業は普段安全を最優先とする社会文化にふさわしく、強引にするのではなく、本当に安全なシステムを作るために導入計画を立てるのが一般的のように見える。両国のセキュリティ状況の違いは、このようにシステム構築の哲学からもはっきりした違いがある。

そして、日本は各種の情報セキュリティ製品の選択において「ビジネスにどれほど役に立つか」をまず念頭に置く傾向があり、これは安全なシステムの構築に邪魔になったりもする。

韓国は、前に言及したように具体的で処罰が強力な法的規制があるため、規制を満足させることができる製品をまず探す。韓国の場合、長所と短所がある。短所は、セキュリティに対する態度の積極性が下がるというのがとても深刻な短所であり、長所は法律による強制を通じてでも全般的なセキュリティレベルはとにかく総体的に高くなるということだ。もちろん、このような短所を改善するための努力と長所を活かすための努力も当然存在する。

そして速度の違いもある。韓国のIT市場では、日本とは違って新しいものをとにかく早く受け入れようとしている雰囲気なので、新しい製品が登場すれば、すぐ導入しようとする傾向がある。つまり、速さの危険があるということだ。日本は、韓国に比べてより慎重な方である。したがって、性急に何かをすることから発生する危険もはるかに少ないようだ。

ここまでは、両国の文化に対する一般的な先入観とだいたい一致している。しかし、今度日本企業の電算担当者とのインタビューを通じて、他の側面の違いも分かるようになった。両国いずれも住民登録番号やマイナンバーセキュリティをおろそかにするというところは同じだが、その理由と背景は両国が相当違っていた。

「マイナンバーセキュリティが必ず必要か?」

ところで疑問が沸いてきた。安全を優先視する文化なら、いまだにマイナンバーセキュリティ措置が不十分な理由が説明できないのではないか?と。それで、インタビューを通じて日本企業の電算担当者に聞いてみた。「マイナンバー漏洩の危険を知りながらも、まだデータ暗号化などのセキュリティ措置をまったく取らない理由は何ですか?」

返ってきた答えは、3つだった。

第一.お金が結構かかることなのでより慎重に判断することにした。
第二.わが社は、マイナンバーなどの重要情報は、印刷して金庫に入れて保管しているので、すでに安全だ。
第三.他社がセキュリティシステムを導入する過程や導入後の結果を見てから判断しようとする。

それでは、簡単に上の答えに対して反論してみよう。

第一.お金がたくさんかかることではない。事故発生の際、被害規模によって比較してみると、マイナンバー保護措置は、同規模の他のセキュリティ措置に比べて最も低い。
第二.すべての情報がWebを通じて流通して処理される「本格Web時代」に、どんな情報であれ、それを印刷して金庫に保管するというのは、その情報の効用性を最初から諦めることだ。
第三.セキュリティ事故はいつでもどこでも発生できるが、先に動いたら起きない。だから、導入した後の結果を見ることができなかったはずだ。適切な措置を取らなかった会社でだけ、事故が発生すから。

そしてこのような話も聞いた。

「いつ発生するか分からない事故のためにあらかじめ備えるというのがちょっと理解できない概念なので…」

これじゃ、いつ泥棒が来るかも知らないのに、会社の防犯はどうしてして、いつ火事が起こるかもしれないのにどうしてきちんと保険金を払い込むのでしょうか。

もしかしたら「有事の際」の出口戦略?

脈絡をすこし変え、再び質問した。「日本にもマイナンバーのセキュリティをおろそかにすると、処罰が伴わないですか?」
そして、反ってきた返事を聞いてやっと現況をまともに判断することができるようになった。「規制の内容を見ると、有事の際、マイナンバーセキュリティのために適切な技術的措置を取らなかった場合、処罰を受ける恐れがあるというぐらいの内容でしたよ。」

そうか! これが、まさに韓国と日本の決定的な違いだな、と思った。もし韓国だったら、当該法律は「マイナンバーの保護のため、データベースを暗号化するものの、アルゴリズムはこれ、またはこれ、これを使わなければならず、一定の周期でセキュリティ点検監査を受けなければならず、これを違反すれば、セキュリティ担当者のほか、CEOを含めた関連者はいくら以上の罰金、またはいくら以上の禁固刑になる」というふうに書かれているわけだから、これは避けたくても避けることができないことだ。

といっても、法律を変えろうとは言えないので、一つの事実だけ知っておこう。

「適切な技術的措置を取らなかった場合、処罰される」という言葉は、「セキュリティ事故が発生すると処罰される」と似たようだが、違う。やや危険な発言ではあるが、前の場合、もしセキュリティ事故が発生したとしても、適切な技術的措置を取って置いてあれば、処罰されない場合もあるという意味だ。これは、非常に重要である。世の中のすべての事故はいつか必ずしも発生するようになっている。先立って、積極的に保護しようとすれば、情報は保護できると言ったので、矛盾のように聞こえるかもしれないが、組織内部者個人の逸脱などで人力では絶対止められない事故もある。もちろん、内部者による事故を防止する手段も用意されているのだが・・・。このように、情報セキュリティは本当に終わりのない戦争のようだ。

要するに、現在日本のマイナンバー、このまま放置すれば、韓国の住民登録番号のようになる。その時になって、これをどうしようとか、大騒ぎをしてももう遅いことだ。マイナンバーセキュリティ措置は安い。被害規模に比較してみると、行き過ぎたいうぐらい安い方だ。遅れる前に、早く措置を取った方が良い。すでに大失敗してみた経験者として、残念な気持ちで勧める。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として2,100ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティ、韓国情報保護学会において優秀企業代表表彰を受賞

 

ペンタセキュリティ、韓国情報保護学会において優秀企業代表表彰を受賞

第22回情報通信網情報保護カンファランス(NETSEC-KR)参加を通じて受賞
データベース暗号化とWebセキュリティ専門企業ペンタセキュリティシステムズ株式会社 (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が4月27日、28日の両日間開催された「第22回情報通信網情報保護カンファランス」に参加し、行政自治部長官が授与する優秀企業代表表彰を受賞たことを明らかにしました。韓国インターネット振興院(KISA)が主催し、韓国情報保護学会(KIISC)が主管した今回の行事は、「大韓民国セキュリティ、どこまで来ているか。」をテーマにし、金融セキュリティ、産業セキュリティ、基盤保護、セキュリティ管制などの分野で韓国の情報セキュリティ現況を調べる時間を持ちました。また、優秀な研究事例の発表および今後の情報セキュリティ産業が進む方向に対する専門家の講演も行われました。

行事の開会式では、大韓民国情報保護の発展に貢献した優秀情報保護人材に対する授賞が行われました。ペンタセキュリティは、暗号プラットフォーム及びWebセキュリティ専門企業として約20年間、絶え間ない研究および開発活動を通じて、セキュリティ技術レベルの向上に努めてきた功労を認められ、優秀企業として選定され、ペンタセキュリティの李錫雨(り・ソクウ)代表取締役社長が賞を受賞しました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「NETSEC-KRを通じて、参加者に最新情報保護技術を紹介し、専門家と情報を交流することができる場になった。」とし、「今回の情報保護優秀企業表彰をきっかけに、韓国のセキュリティ技術力をリードするセキュリティ会社として技術開発さらに努力していく計画である。」と述べました。

【コラム】ファイル暗号化 VS データ暗号化

暗号化セールス現場は、苦しい戦場である。暗号化製品の紹介に先立って、「ITとは一体何か?」の講義から始めなければならない困惑した状況ももう大分慣れてきたが、相変わらず大変なことで、古代ギリシャから今日に至る「暗号の歴史」を聞かせてほしいという要請も時々聞く。それで、話をしてみても第2次世界大戦の時、ドイツの暗号機械である「エニグマ」以後は興味が冷えてしまう。そこからが本当に大事な内容なのに!

 

一般的に人たちが「暗号」という言葉に対して持つ好奇心や期待のレベルはどうも幼い頃、スパイ映画を見ながら秘密要員活動を想像した少年期にとどまっているようだ。

 

もちろん、そういう「暗号」や「暗号化」が無関係なわけではない。現代暗号化もまた、置換と移動などの古典的な暗号理論に基づいて構築された体系だから。しかし、学校ではなく実務現場ではこのような教養や常識は全く(!)重要ではない。「暗号化」は、古典的な暗号理論よりは安全なITシステムの「設計」及び「構築」のための技術だが、その事実に興味を示す顧客は非常に少ない。セールスの困難さを訴える前に、情報セキュリティの根本の根本である暗号化に対する誤解は、本当に深刻な問題ではないか?だから、下のような曖昧な質問もとてもよく聞く。

 

「ファイルを丸ごと、いや、ハードディスクを丸ごと暗号化してしまえば、いいんじゃないんですか?」

 

もちろん、このような措置が必要な時もある。世の中、どんなものであれどこかにはきっと役に立つから。しかし、ほとんどの場合「ディスク暗号化」は情報セキュリティ的に適切な措置ではなく、「ファイル暗号化」ではなく、「データ暗号化」がもっと重要な概念である。 理解のため、まずは「ファイル暗号化」とは何かから調べてみよう。

 

 

ファイル暗号化とは?

 

 

当然のことだが、「ファイル暗号化」はファイルを暗号化することである。ところで、「ファイル」は一体何? 毎日口に出している、慣れた言葉だが、こう聞かれると何だか不慣れに感じられる。「ファイル」は、意味ある情報を盛る論理的な単位だ。それで、私たちはコンピュータを使用するとき、ファイルを単位として会話する。「ファイルは何個?」 「このファイルの容量はいくら?」 「そのファイルはこのフォルダの中に入ってる。」 このようにファイルを基準として情報を保存して、分類して、管理する。 それで、ファイルという言葉にすごく慣れている。 そのため、「ファイル暗号化」という言葉も、もともと慣れていた言葉のように聞こえる。聞くだけで、それが何かを全部理解したような気がする。 しかし、「ファイル暗号化」はそんなに簡単な概念ではない。

 

私たちはファイル単位にまとめ、そこに名前を付けて閲覧と検索のためにどこに保存するかなどを決めることにより情報を管理する。それではコンピュータの内部では1)物理的保存装置、2)運営体制カーネル、3)アプリケーションなどの3つの領域でそれぞれ違う方式を通じて、ファイルを処理する。したがって、私たちがよく言う「ファイル暗号化」も、またその3つの領域でそれぞれ違う方式で行われる。これに対するより詳しい説明は本一冊ぐらいのが必要なので、今は簡単に概要だけ見てみよう。

 

しかし、1)物理的保存装置、主にハードディスクを丸ごと暗号化する「ディスク暗号化」は、現在論点から遠く離れているので一応論外としておこう。もちろん、ハードウェア暗号化が必要な場合もある。 情報セキュリティがとても致命的なところでは想像できるすべてのセキュリティ措置を一つも抜かさずすべて適用しなければならないのでその場合は、ハードウェア暗号化措置まで必要だ。例えば、核発電所とか。しかし、そのような場合でも追加または補完措置になるだけで、情報セキュリティの基本は「データ暗号化」でなければならない。

 

簡単に言って、2)運営体制カーネル領域で3)アプリケーション領域にいくほど、マネジメントの対する負担が増大する代わりに、セキュリティ性は高くなる。これは、すべての情報セキュリティ技術全体にわたって適用される一種の原理である。セキュリティを高めると、どうしても使用が不便になるのだ。言い換えれば、便利さを求めるとセキュリティ性は低くなるしかない。それにもかかわらず、便利さはとても強力な魅力なので、「ファイル暗号化」や「ディスク暗号化」製品を販売する人たちは、よくこう言う。

 

 

「ファイルやディスクを丸ごと暗号化してくれるから本当に便利です!」

本当に魅力的な話ではないか? 便利であるというものは良い事だから。しかし、適当に逃さず、こんなにまた問わなければならない。

「便利にするために暗号化するのではないじゃないですか?」

そうだ。 暗号化は、セキュリティ性を高めるためにするものである。

 

 

実際の業務現場での、ファイル暗号化の危険性

 

 

こう単純に考えてみよう。過渡な単純化に見えるだが、一応、

―ファイルは、データを盛る箱である。

―ファイルに入っているそれぞれのデータがみんな同じ危険性を持っているわけではない。

 

実際はさらに複雑な違いがあるが一応、簡単に言うと「ファイル暗号化」はデータが入っている箱を丸ごと暗号化することであり、「データ暗号化」は箱の中に入っているデータの中で必ず隠さなければならない危険なデータだけを選別して暗号化するものである。二つの方式はそれぞれの長所と短所があるが、上の「マネジメントの対する負担が増大する代わりに、セキュリティ性は高くなる。」という原理はそのまま適用される。ファイル暗号化は管理が簡単である。しかし、セキュリティ性は低い。なぜだろう?

 

ある会社に顧客情報が保存されているデータベースファイルがあるとしよう。「ファイル暗号化」方式はそのデータベースファイルを丸ごと暗号化する。言い換えれば、ファイルを使用するためには暗号化されたファイル全体を復号化して、作業が終わったらまたファイル全体を暗号化して保存することである。このような場合、危険は下の通りである。

 

 

1.使用者のミスもしくは故意で暗号化しない場合: 使用者のミスで暗号化しない場合が頻繁に発生する。暗号化すべきだということを忘れたり、ただ暗号化の手続きが面倒で、平文のままに保存する場合が多い。セキュリティ事故の大半は使用者のミスのためだという事実を忘れてはならない。使用者のミスを未然に防止して監視する装置が必要である。

 

 

2. ファイル全体の内容が平文のままでメモリに存在:ファイル丸ごと暗号化されているなら、ファイルに入った情報内容を読む時、やむを得ずファイル全体を復号化するしかない。そうなると、暗号化されていない全体平文がメモリに存在するようになって、メモリダンプなどの手法を通じたデータ漏えいの危険がある。平文露出は何があっても最小限に減らす方が良い。

 

 

3.鍵管理およびアクセス制御、セキュリティ監査などの追加的な道具必要:暗号化は暗号化だけでは無用な技術である。暗号化および復号化作業のための鍵管理及びアクセス制御、セキュリティ監査など他のセキュリティ道具が一緒に動作しなければならない。しかし、様々なものを加えると「ファイル暗号化」の最も大きい長所である単純性から離れてしまう。便利さを強調するが、結局は同く複雑になるわけである。さらに、性質が違う他の道具を一つのシステムの中に結合する技術的な危険もある。実際、暗号化というそれ自体はそんなに難しい技術ではない。前に述べたように、安全なITシステムの「設計」及び「構築」のための技術なので難しいことである。

 

 

この中で特に注目しなければならないのは“2.ファイル全体の内容が平文のままでメモリに存在”しているので発生する危険である。しかし、これはどんな暗号化方式にも同じく該当する危険である。情報を読み取るためにはメモリに平文が存在しなければいけないから。しかし、どれほどたくさんの情報をどれだけ長く露出するかによる差はかなり大きい。実際の業務現場における状況を考えてみよう。

 

 

ファイル全体を一日中平文のままに露出する暗号化?

 

 

顧客情報が保存されているデータベースファイル全体を丸ごと「ファイル暗号化」したとしよう。そうすると、ファイルの中に入っているどんな情報であれ閲覧するためにはファイル全体を復号化しなければならない。探そうとするデータがマイナンバーなどの重要な個人情報ではない場合にも全体内容をすべて露出しなければならないのだ。それでは検索、閲覧、処理などの作業を終わってからまた暗号化する時まではすべての情報がメモリ上に平文のままに放置されてしまう。顧客管理業務が多い会社であれば、職員が出勤するやいなや暗号化データを復号化して一日中全てのデータを平文の状態に露出して、帰り道に再び暗号化するとしても決して誇張ではない。

 

逆に、重要なデータだけを暗号化した場合にはどうだろうか? 「データ暗号化」は、重要データを別に暗号化して該当情報が必要な時だけ復号化して処理して、再び暗号化する。露出しても、特に危険ではない一般情報だけを開いて作業して、特定暗号化データが必ず必要な瞬間に一連の手続きを通じて、復号化して作業を終えてから再び暗号化する。上の「ファイル暗号化」に比べると、危険性への露出時間が顕著に短いのである。そして暗号化のほか、別に必要な鍵管理及びアクセス制御、セキュリティ監査などの道具も全て一つの製品として統合されて提供されるから、 異種技術結合による不安定性も非常に少ない。

 

しかし、個人が使うコンピュータで、そして企業でもどんな特需な要求のため、情報をファイル単位で区別して管理する場合がある。その時は「ファイル暗号化」も選択すべきの方法かもしれない。しかし、「ファイル暗号化」は「データ暗号化」に含まれる一部とみる方が良い。言い換えれば、「ファイル暗号化」は一部のデータをまた別のものにして暗号化する方法がないが、「データ暗号化」はファイル内容の部分もしくは全体を選択して暗号化することにより、ファイル暗号化と同じ効果を得ることができる。

 

「ファイルやフォルダを丸ごと暗号化してくれるから本当に便利です!」

そうだ。 便利だ。 しかし、「便利にするために暗号化するのではないじゃないですか?」

 

 

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

製品に関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

ペンタセキュリティ D’Amo、韓国初でSAP社のHANA DB認証獲得

ペンタセキュリティ D’Amo、韓国初でSAP社のHANA DB認証獲得

HANA DB環境でも安定的なSAP暗号化提供

暗号プラットフォームとWebセキュリティ企業のペンタセキュリティシステムズ (日本法人代表取締役社長 陳貞喜、www.pentasecurity.co.jp、以下ペンタセキュリティ、ソウル/韓国本社、ヒュースト/米国法人)が、 SAP暗号化ソリューションD’Amo for SAP(ディアモ・フォ・エスエイピ)が韓国初でABAP Add-On Deployment認証を獲得し、HANA DBのための暗号化サポートを公式的に認められたことを明らかにしました。SAPは、多くの企業が使用している経営および管理のための資源管理(ERP)システムとして、企業の重要な情報が含まれており、徹底したセキュリティが必要だが、データ構造や下部システムの修正が難しく、特にSAPの場合、データの長さや形式を変更することが非常に難しいため、一般的な暗号化ソリューションでは暗・復号化が不可能です。ペンタセキュリティは、高度化された暗号化技術に基づき、SAP暗号化ソリューションであるD’Amo for SAPをすでに2012年にリリースして、2014年にはSAP本社のセキュリティ認証を獲得したことがあります。今回は、SAPで自らで開発したHANA DB連動に対する認証である「ABAP Add-On Deployment Certification」を韓国初として獲得しました。この認証は、SAP社がHANA DBと当該アプリケーションの間の連動に対して検証した後、該当ソフトウェア開発社に与える認証で、まだ日本でこの認証を獲得して、HANA DBに対応できるようにした暗号化ソリューションはリリースされていません。

最近、SAP社では、従来に使用していた3rd Party DBMSの代わりに、独自で開発したHANA DB環境を適用していたので、ペンタセキュリティはSAP ERPを構築した顧客が安定的にD’Amo for SAPを使用できるようにHANA DB環境での暗号化認証を準備してきました。これを通じて、SAP HANA環境でSAPの暗号化方式である形態保存暗号化(FPE:Format-Preserving Encryption)やトークン化(Tokenization、トークナイゼーション)をさらに効果的に運営できるようになったことと共に、データの暗・復号化、アクセス制御、監査および鍵管理も安定的に提供して、SAP暗号化分野における立場をさらに強固にすることができるようになりました。

ペンタセキュリティの最高技術責任者であるDS Kimは、「SAPセキュリティは、企業の情報セキュリティにおいてかなりの割合を占めているため、昨年にSAP S/4HANAがリリースされた直後からDB環境最適化に対する認証を持続的に準備してきました。」とし、「韓国初でHANA DBとの連動を認められた分、D’Amo for SAPで高レベルのセキュリティ性を確保するSAP ERP環境を作っていく計画です。」と述べました。

D’Amo(ディアモ)

 

今年2014年リリース10周年を迎えたD’Amoは、韓国初のDBMS暗号化ソリューションを商用化した以来、セキュリティ市場No1として3,200ユーザ以上の安定された稼働実績を誇ります。長年の経験とノウハウ、そして研究を重ねてきた暗号化のコア技術をもとに、さらなるステージへとセキュリティソリューションの進化をリードしてまいります。

 

 

D’Amoに関するお問い合わせ

E-Mail : japan@pentasecurity.com / TEL : 03-5361-8201

 

【コラム】ペーパーレス時代の金庫、暗号化

ペーパーレス時代の金庫、暗号化

セールスは難しい。 海外セールスは国ごとに異なる文化のため、さらに難しい。 時と場所によって地位の高い人が座る上座の位置など礼儀の形式が国ごとに異なり、さらに、会った時に握手する方法や酒席でグラスの飲み物がどれほど空いている時、お酌をしなければならないのかなど、日常的な行為の意味も国ごとに違う。なので、海外で活動するセールスマンは国家別の文化差に応じた多様なビジネスマナーを学んで、身につけなければならない。

しかし、中途半端に学ぶと、それもまた失礼になる。日本で働く外国人のセールスマンが「日本人は約束時間を非常に重要に考える」という先輩のアドバイスを聞いて「では、素早く行って待ちながら真心を示そう。」という覚悟で、約束の場所に1時間も早く到着し、日本人の顧客を待った。顧客が到着し、「早く会いたくて、1時間も早く来ました!」と自慢したら、顧客が「いや、なんでそんなことをしましたか。 じゃ、約束時間を早くするのが良かったんじゃないですか?」と開き直って反問したため、驚いて緊張しすぎて仕事を台無しにしたという話を聞いた。「約束時間を重要に思う」ということは、正確性と効率性を重要に思うという意味ということを気づかなかった文化的な誤解のエピソードである。

セールスの中でも、ITセールスほど難しいことがあるだろうか。IT製品を販売するためには、その技術がどうして重要で、どうして必要なのか、この製品を導入すれば、顧客の事業にどんなふうに、そしてどれだけ役に立つか説明するに先立って、その技術がいったい何なのかからすべてを説明しなければならない。「ITとは、一体何か!」何冊分量の内容を昼夜問わず、騒いでも足りない。それに、前述した国家別の文化差まで重なった状況に追い込まれるようになると、目の前が真っ暗になり、頭の中ががらんと空いて何も思いつかないときもある。下は、最近直接経験したことである。

マイナンバーを紙に出力して金庫に入れる?

マイナンバー暗号化ソリューションのセールス現場で、自社の製品が競争社の製品に比べて、どのような長所を持っているかを一生懸命説明していた時や直ちに顧客が「いや、私たちはそんなに難しくて複雑なのは必要ありません。マイナンバーでも何でも重要な情報は、ただの紙に印刷して金庫に入れておけば安全なんじゃないですか?」 詰った。一瞬、頭の中ががらんと空いて何も言えず、しばらくぽかんと座ってばかりいた。いや、これは一体どう説明しなければならないのか、韓国では一度も経験したことのない状況だったので、準備することもできない状況だった。

いや、韓国でも15年前には、ソフトウェアのソースコードなどの情報を紙に出力して金庫に保管したりした。今は、そうせず、すべて適切なセキュリティ装置とともにサーバに保管する。たまに、ソースコードが入ったハードディスクを銀行の貸与金庫に保管する会社もあるが、セキュリティのためというよりは、「わが社はこのように重要なことをする会社だよ!」という心理的な圧迫感を演出する目的であるだけなので、一旦入れておいてほとんど探さない。ソースコードを修正しても、銀行に保管したハードディスクはそのままだ。15年前にもマイナンバー、韓国で言えば、住民登録番号などを随時に取り出して閲覧して処理しなければならない情報を金庫に保管することはなかった。それはあまりにも不便な事だから。だから、考えもしなかったことである。

韓国の企業文化は、早い。どんな文物であれ、区別せず、早く受け入り、また他のものが新たに登場すると、既存のものはすぐ捨てて、新しいものに乗り換える。試行錯誤の危険や負担を燃料にして走る暴走機関車のようにも見える。一応はよく走る。 たとえば、わずか作曲家数人でやっと維持しているK-pop市場の全世界的な規模を見ると、「驚く」という言葉では足りず、むしろ不思議に見える。

一方、日本の企業文化は韓国に比べると遅いというのはとにかく事実のようだ。なぜだろう。日本の企業文化が韓国より長くなったためではないかと思う。日本は韓国に比べて、主要経済主体の「富の伝統」が歴史的な断絶なく、長期間続いてきた長い経済歴史を誇る。会社という経済的な利益追求集団の歴史を見ても、韓国の企業に比べられないほど長く続いてきた長寿企業が国家経済の脊椎として堂々と構えている。現代的な企業の中にも過去、明治時代から出発した企業が多い。資料を探し、読みながら、驚いたりもする。数百年の伝統の老舖文化、そして長い時間を投資し、技術を鍛える職人を尊敬する社会的な雰囲気もそのような長い歴史性に貢献しているだろう。

長年を通じて鍛えられた企業文化は長所が多い。意思決定の過程やその手続きが落ち着いているし、冷静で、より長い時間単位で思考することで、百年の大計を丹念に構築するという覚悟や態度は新生企業がなかなか持つことができない立派な武器である。しかし、このようなところはまるで両刃の剣のようで、「長所は短所」になることもある。新しい方法論や新技術を受け入れるしかない、避けられない状況に直面した時は、明確に短所として作用する。上の状況に戻って、考えてみよう。「重要な情報は、ただの紙に印刷して金庫に入れておけば安全なんじゃないですか?」 結論から言えば、そうではない。

これはITセキュリティではなく、むしろ「ペーパーレス」時代に対する理解から解決する問題のようである。

ペーパーレスの時代

紙の使用を止揚して電子文書を活用する文化、つまり「ペーパーレス」時代の到来は、電子文書の長所のおかげである。見てみよう。

第一に、電子文書は紙文書より生産性が高く、送・受信が迅速で、保管が便利である。特に、修正および補完作業に有利である。したがって、随所で積極的に活用され、完全に定着したし、スマートフォンやタブレットPCなどの個人端末機の普及に支えられて残っていた紙文書まで全て代替している。

第二に、電子文書は情報をデータ状態で保管するため、簡単に検索することができるし、情報の保管および管理が便利で迅速である。特定情報を探すとき、紙文書なら文書全体を全て調べなければならないことも電子文書なら、関連キーワード検索を通じて迅速に、そして便利に探すことができる。

第三に、電子文書は紙文書に比べて安全である。電子文書のセキュリティに対する漠然としたおそれがあるが、十分に構築されたITセキュリティインフラを基盤とした電子文書は文書の作成及び保管、そして送・受信記録などがすべて残るため、外部流出に対する危険性が低く、文書偽造・変造を防止して、文書に対する接近や閲覧を制御することができる。