もしも自動運転の車が普及し、その制御がインターネットで繋がれば、ハッキングによって大規模な交通事故やテロなどが引き起こされる可能性は、高くなるでしょう。その対策は自動運転技術の開発とともに進めていかなければなりません。他にもマイナンバー制度や個人情報保護法など、情報に関するさまざまな社会制度や法律が、どんどん新しく作られています。その流れの先を予想し、必要とされるマネジメントシステムを先取りして構築することが重要なのです。
　そこで私は、同じ東京大学で情報理工学研究科の入江英嗣先生、公共政策大学院の奥村裕一先生、新潟大学法学部の鈴木正朝先生と一緒に「侵入検知」「マネジメント」「情報法」の３分野が融合した「超セキュア情報システム」の開発に取り組みました。

　現状の課題は３つあります。
　（１）クラウドなど、外部の人物が企業や組織の重要データを管理していること。
　（２）ユーザプログラムの脆弱性を突くゼロデー攻撃や、巧妙化が進む標的型攻撃への対策が不十分であること。
　（３）パスワードや鍵管理などが、ユーザに大きな負担を与えるセキュリティ操作であること。
　順番にご説明します。まず（１）についてですが、昔はほとんどの会社にオフィスコンピュータがあり、会社のサーバは会社自身が管理していました。しかし現在はクラウド化が進み、クラウドサービスの提供者が複数の会社のサーバを管理しています。そこに悪意のある攻撃が仕掛けられると、一瞬で重要なデータが盗まれたり、データを書き換えられたりしてしまいます。

　可能性は低かったと思います。ふつう、自分が勤めている会社の不利益になることを社員はしません。もちろん派遣社員でも責任感を持って働く人がほとんどでしょうが、機密に触れられる場所に外部の人間がいると、情報漏洩のリスクが高まります。
　次に（２）の脆弱性について説明します。
　パソコンを使っている人は、たびたびシステムのアップデートを行っていると思います。アップデートが必要な理由は、多くの基本ソフトや応用ソフトが、完璧ではない状態で販売されているからです。システムの不具合や脆弱性が発見されるたびに、その問題を改善する更新データを配布してユーザにアップデートを促すことで「完璧ではないが最善の状態」を保っているのです。
　現在、新しいソフトを使い始めるときは「使用許諾契約書」を読み、内容に同意をしなければそのソフトは使えない仕組みになっています。使用許諾契約書の中には「このソフトの提供者は悪意のある人物からの攻撃を防ぐための最善の努力をするが、それでも生じてしまった故障や脆弱性に対しては何も補償しない」という内容の一文があります。「最善は尽くすが補償はしない」サービスを、ベストエフォート型のサービスといいます。

　ＩＣＴ業界が「全てのミスとバグを完全に排除しなければ、ハードもソフトも世の中に出してはいけない」という方針であれば、スマートフォンなどの情報機器は、おそらくまだ実用化されていないでしょう。安く早く提供することが可能で、かつ技術の進歩や顧客からの故障情報等をもとに素早く修復・改良できるベストエフォート型サービスであったからこそ、今日の情報社会が形成されたのです。
　もちろん、サービス提供者にとって予想外の故障や脆弱性が発生した場合、利用者は補償を受けられずに損をするというデメリットも忘れてはなりません。そうした「サービス提供者が発見していない脆弱性を突く攻撃」をゼロデー攻撃といい、特定の企業や組織を狙った攻撃を標的型攻撃といいます。
　標的型攻撃は、主にメールで行われます。たとえばある会社の社員に対して、人事部長を装った第三者が「必ず目を通すこと」と書いてメールを送り、ウイルスが入ったファイルを開くよう誘導したり、ＩＤやパスワードなどの重要情報を答えさせたりして、会社の機密情報を盗む取る手法です。今年５月に起こった日本年金機構の情報漏洩事件が、これにあたります。