ITエンジニアのための「経済安全保障」。序章

【経済安全保障の基本】
世界情勢の混沌が始まった、という感じが日本人の誰にもあるだろう。特に、これから始まるかもしれない、と一部では言われている「新・東西冷戦」に伴い「経済安全保障」は、特にITエンジニアにとって、多くの「規制」が始まる、ということをも意味している、と言ってよい。私は以前の記事で「経済安全保障」とはどんなものか？ということを、概略、noteに書いた。これをまずはしっかり読んでおいて欲しい、と思う。

【現在のIT技術の成り立ち】
現在のIT技術は、デジタル技術が基本で、インターネットが正常に動いていることが大前提だ。しかもハードウエアはほとんどコモディティ化しており、製品の機能はほとんどソフトウェアで実現される。チップの技術以上にソフトウェアの技術が重要になった。なので、実はアナログ時代の技術とはかなり異なる。多くのエンジニアが「Github」などのリポジトリを使い、技術情報は様々なWebのシステムでのエンジニアどうしの企業も国も超えた「横のやり取り」で、その多くが成り立っている。つまり、オープンソースというものが前提となっているので、このオープンソースのソフトウエアをオンラインで取ってきて、その利用ライセンスなどに従って組み合わせ、製品としてのソフトウエアを作る、ということが普通になった。これらの「道具」は、企業も国も超えるからこそ、強力なエンジニア支援のツールとなり、劇的に短い時間・安い人件費での経済的・効率的なソフトウエア開発を従来以上に可能にしている。古いソフトウエアエンジニアの方のために言い直すと「一行一行、プログラムを組んでいる時代ではない」ということだ。「お金」でソフトウエア開発を見た場合、従来のやり方ではコスト高になりすぎ、新しいやり方と比べて競争にすらならないのだ。

【全ての知財がITに載っている】
この時代には、アナログ時代の技術が消えたわけではないが、その情報もデジタルで保存され、議論され、結果が共有される。「国や地域を超えたもの」にアナログ技術もなっている。それが今だ。既に医療など他の分野の知財も含め、IT・インターネットが国境を当たり前に、今このときも超えている。ちまちまと地域で技術や知識がまとまっていた時代とは、今は違う。

【ITエンジニアが「お縄」になる？】
つまり、現代のソフトウエア開発は、国も企業も超えたソフトウエアの「共有」コミュニケーションシステムがその中核にあり、効率的で安価でいながら、高機能なソフトウエアを作れる様になっている。これはIT以外の分野でも同じだ。こういったシステムでは、それぞれのライセンスによって公開されているオープンソースのプログラムの部品などについて、開発者に質問を投げたり、というコミュニケーションも重要になる。ということは、冒頭に書いた、本noteの主題である「経済安全保障」について、IT技術者はこれまで以上に十分に気をつける必要がある、ということでもある。これはエンジニア一人ひとりが気をつける必要のあることで、もしも経済安全保障を意識しないで技術情報漏えいなどがあった場合は、エンジニア自身が「お縄」になることだって十分に考えられる。

【「IT先進国」と言われている韓国を見てみよう】
私は、韓国でITの大学教授をしたことがある。そこで2年間(2013年～2015年)を過ごしたが、韓国はお隣には依然として数十年戦争状態で「休戦」という状況の国が国境を接している。そのため、経済安全保障には日本以上に気を付けなければならなかった。実際、その隣国の仕業と思われるハッキング事件も何度かあった。

私が韓国の大学にいた2013年、韓国で非常に良く使われているセキュリティソフトウェア(V3というものが多く使われている - 韓国の官公庁・大学・教育機関・銀行などのほとんどが使っている)のウィルス情報ファイルや更新プログラムを入れたサーバーが何者かにハッキングされ、ウィルス対策ソフトウエアそのものが書き換えられ、朝一番でPCの電源を入れると、そのアップデートのファイルがPCにサーバーから読み込まれ、ハードディスクを破壊し、役所、銀行、企業、などなど、韓国中のPCを動作不能にした、ということがあった。韓国は既に私がいたときから、役所への提出物などはオンラインで手続きが全てできる、というくらいで、その普及と使われ方は日本以上だったので、被害は非常に大きかった。当時の朴槿恵大統領は「なんでWindowsばかり使っているのか？」などの発言もあったほど、ITには精通していた。PCやスマホがなければ生活が成り立たない、というほどだ。だから、業務用などの多くのPCの死は国の機能を一時麻痺させた。が、それにしてもあまりに簡単に「やられた」のを目の当たりに見て、驚いたものだった。それにつけても、その韓国とくらべて、日本は平和だよなぁ、と言うのが実感ではあった。また、同じ2015年、韓国のIT最大手「ダウムカカオ」が、自社のメッセージングサービス「カカオトーク」の情報は、ユーザーに断りなく韓国政府がアクセスできるようにしてあった、ということが公にされ、問題となった。しかしながらその当時も今も「戦時下」であり「安全保障」をより重視する国の政府としては、そういうことはやっていても不思議ではなかったが「休戦中」という戦時下とは言え、数十年の長い平和慣れした韓国の人たちにも、これは意外なことで、大きなニュースとなり、しばらくはユーザーのカカオトーク離れが進んだ。

私も、当時はインターネットへのアクセスは十分に気をつけておこなっていた。韓国の大学の自室や教授用の寮で自分が使っているPCでは暗号化技術等を駆使し、東京の自宅のサーバーとも連携して、盗聴対策等、各種のセキュリティ対策を行った上でのインターネット利用をしていた。おそらく、これから日本人研究者などが外国で活躍する場合があるときなど、経済安全保障対策のために、日本国政府の運営する同様なセキュリティの仕組み等の提供も必要になるかもしれない。

※写真は韓国のテレビ画面から、韓国の国会。完全IT化されており、投票などは各議員の席に設置された大きなタブレットで行っている。

【会社の仕事には「守秘義務」があるが】
現在の日本でも、会社の仕事や役所の仕事をするにあたって、必ず「守秘義務」がその人に課せられているのは良くご存知だろう。会社など組織の業務上で知った情報は他には漏らしてはならない、という「契約」だ。しかし、経済安全保障は、その守秘義務が「国」というレベルで行われているもの、と考えても、ITの業界では、あながち間違いではない。しかし、その重要性は企業単位、組織単位ではなく、国単位なので、場合によったら、エンジニアの何気ない一言が「機密漏洩」と認定され、国レベルの大事になることもある。また、経済安全保障に関わる不正な言動は、当然だが、国が動くから、警察なども場合によっては出動する、ということもある。つまり、ITエンジニアをしている以上、それが末端のエンジニアリングとか、これまではお気楽なネコの鑑賞動画集Webみたいなものでも、十分に「経済安全保障」に気をつけた上での開発やその情報の管理を考える必要がある。

【システムのセキュリティはスマホを使う人でも重要】
セキュリティについても、単なる「おまじない」程度の「やっていますからご安心を」という言い訳の書き物ではなく、実質的な対応を求められることも、これから増えて来ることだろう。特に最近のハッカーによる悪意の攻撃は、重要な業務とは関係の無いサーバーやPC等をハッキングして自らの制御下に置き、それを多数使って目的のサーバー等を攻撃する、という間接的なハッキング手法も取られる。一般に使われているPCやスマートフォンなどは直接の攻撃対象ではないので、ハッキングされてもそれがハッキングされたとはわからないように、悪意のあるプログラムが表向き何事もないかのように潜伏している、ということもある。今や一般人が使う様々な端末なども、セキュリティが重要な課題となっている。

【対策：どんな組織にも「セキュリティ管理技術者」を置こう】
セキュリティ関連の技術は、現在でも発展中だ。ハッカーは毎日のように新たな技術を磨いて高度化しており、それに伴って毎日、防ぐほうの技術も変わるからだ。インターネットなどのごく基礎的な技術はしっかり持っていた上、これらの時々刻々と変わるセキュリティ情報に目を通して応用が効かなければならないが、こういうことは現場でシステム開発をしている技術者がその忙しさの中で「ちょっと加える業務」というわけにはいかない。一度システムがハッキングされ、組織そのものが機能不全に陥れば、組織全部の信頼にも関わり、場合によっては会社などでは、突然の業績不振や倒産などに直接それがつながる事例も既にある。役所などでは行政への信頼の極端な低下や機能不全をもたらす。であれば、これからの組織は当然のように「セキュリティ専門技術者」を置くべき、ということになる。「ITを扱う」ことに組織の例外は今や無いからだ。これは企業などの組織にとって「リスクが高まった社会での少し高くなった保険料」ということだ。それも、単に「資格を持っている人がいる」で済む話ではない。資格とは関係なく、実質的にITシステムセキュリティについて実効のある動きができる人材が必要になる。いくら「資格のある人」がいても、実際にハッキングされれば意味が無い。

【ITの時代を生きる】
普通に生活していても、道路を歩き、あるいはクルマで運転し、道路を使って生活する。今、ITは道路のようなものになった。それを当たり前に使って生活や仕事を過去に比べてより良いものにすることが当たり前になった。道路の利用でも、利用に伴う危険なども当然のように回避することを知らなければならない。いま「ITセキュリティ」「経済安全保障」とは、そんなものになった。