東京大学大学院情報理工学系研究科 電子情報学専攻 教授 坂井修一先生インタビュー「情報法学・マネジメント論と侵入防止技術の融合による超セキュア情報システム」(第1回)

 会社のパソコンや個人のスマートフォンなど、ICT(情報通信技術)は私たちの日常に当たり前に存在し、ビジネスでもプライベートでも欠かせないものになりました。一方で、急速に発展した背景にある“危うさ”について、正しく理解し、意識してICTを使っている人は、決して多くありません。
 昨今メディアでよく取り上げられ、人々に大きなリスクを与えている『情報機器への攻撃』や『情報の漏洩』はなぜ起こり、これを防ぐためにはどうしたらいいのか。東京大学大学院情報理工学系研究科長の坂井先生は、技術の向上だけではなく、法律やマネジメントを含めた総合的なセキュリティについてご研究されています。その内容について詳しくお伺いしました。

「助成研究者個人ページへ」

1981年東京大学理学部情報科学科卒業。1986年東京大学大学院工学系研究科情報工学専門課程修了(工学博士)。通産省電子技術総合研究所(現経済産業省技術総合研究所)主任研究官を経て、1991年に米国マサチューセッツ工科大学に1年間所属。帰国後、新情報処理開発機構超並列アーキテクチャ研究室長を3年間勤め、筑波大学電子情報工学系助教授、東京大学大学院工学系研究科助教授を経て、2001年に情報理工学系研究科教授となり、2013年研究科長に就任、現在に至る。
http://www.mtl.t.u-tokyo.ac.jp/~sakai/index-j.html

まずは先生がこの研究を始めた経緯について、教えてください。

 私自身は理科I類の出身、つまり技術系の人間で、コンピュータ構成法の研究などをしていました。インターネットが普及していなかった当時は、コンピュータやパソコンは専門知識を持った一部の人しか使わないもので、処理能力がひじょうに遅かったのです。そのため処理能力が高くて快適に動くパソコンを作ることが重視されていました。
 しかし1990年代以降、Microsoft社のWindows95やApple社のMac OSが発売され、同時にインターネットが普及し、一般の人々がパソコンとインターネットを活用して活発に情報交換を行うようになりました。社会が大きく変わっていくなかで、私は「これからはコンピュータの処理速度を上げるより、安全安心な情報通信を構築するほうが重要だ」と感じ、研究の軸足をセキュリティに移したのです。

ICT技術が進化した現在でも、システムが第三者から攻撃されたり、情報が盗まれたりしています。それはコンピュータの性能を上げても防げないのでしょうか。

 技術の向上はもちろん必要ですが、それだけでは不十分です。加速度的に進化し続けるICTは経済の発展に不可欠なものとなり、社会は安全性よりも「その場ですぐに使えるもの」を求めるようになりました。その結果、システムの穴がたくさんあるソフトやハードが一般的に使われるようになってしまったのです。
 このため「安全ではないものを安全に活用する」ことが、今の情報社会における重要課題です。ハードの高性能化や、より優れたセキュリティソフトの開発も必要ですが、それだけでは問題は解決しません。ICTを使う人間と人間社会を含めた、総合的なセキュリティの研究が必要なのです。

技術だけではない、より広い視野でのセキュリティ研究とは、どのようなものですか。

 どれほど高度な暗号化技術や、高性能・高機能なコンピュータが開発されても、パスワードを打ち込む瞬間を第三者に見られてしまったら、その情報はすぐに盗まれてしまいます。これはソーシャルエンジニアリングといって、ICTを使用せずにパスワードなどの重要情報を盗む方法です。たとえば電車内での株取引やネットショッピングは、隣に座っている人や背後に立っている人に、IDやパスワード、クレジットカード番号などを見られてしまう恐れがあります。オフィス内であっても、シュレッダーにかけるべき書類をそのままゴミ箱に入れたり、鍵がかからない引き出しや机の上に置いたままにしていると、外部の人間の目に触れたり、盗まれたりしてしまいます。
 人間のマネジメントの問題によって機密情報が漏えいし、会社が大きな損害を受けるというケースは、決して少なくないのです。

ベネッセの個人情報流出事件も、社内の人間が起こしていましたね。

 そうです。ベネッセグループのシステム開発・運用を手がける株式会社シンフォームは、顧客データベースの運用・保守義務を複数のIT企業に委託していました。そのうちの1社に勤めていた派遣社員が顧客名簿を盗み、名簿業者に販売したのです。その名簿を買った業者がさらに別の名簿業者に転売するなどして、約3504万件もの顧客情報が広く流出してしまいました。

 また2005年には「東証ジェイコム株誤発注事件」がありました。これは、みずほ証券の社員が新規上場されたジェイコム株を「1株61万円」で売り注文を出すときに、誤って「1円61万株」と入力してしまったことが原因です。
 すぐに誤入力に気づいて取り消そうとしましたが、東証のシステムに不具合があったためにそのまま売買が続いてしまい、最終的にはみずほ証券が買い戻しをして取引を停止させました。この受渡不能の株券購入により、みずほ証券が受けた損害は407億円になります。