社会技術研究開発センター 「情報と社会」研究開発領域 計画型研究開発 「高度情報社会の脆弱性の解明と解決」 平成18年度成果報告書 平成19年3月 独立行政法人科学技術振興機構 社会技術研究開発センター 「情報と社会」研究開発領域計画型研究開発 2 まえがき 社会技術については、社会の様々な問題を解決し新しい社会システムを構築すること を目指し、平成13年度に設置された「社会技術研究システム」により自然科学、人文・ 社会科学を統合した俯瞰的な立場から研究を進め、さらにこれら研究成果の社会への展 開を強力に推進することを目的として平成17年5月に改組された「社会技術研究開発 センター」の新しい体制により研究開発を推進している。 この中で、平成15年度に社会技術研究システムにおいて誕生したミッション・プロ グラム II の「高度情報社会の脆弱性の解明と解決」に係わる研究は、平成17年5月 から「情報と社会」研究開発領域における計画型研究開発として引き継ぎ進めている。 高度情報社会では、ネットワークによる情報通信機器や高度な情報システムの統合に よる利便性が強調される反面、それらに影響を及ぼすような事故が発生した際の脆弱性 への不安も過ぎる。平成16年11月の新潟県中越地震や平成19年3月の能登半島地 震は、こうした不安を一層掻き立てるものであった。さらには、平成17年5月には誤 ったウイルス定義ファイルにより、多くの情報システムにて機能障害が発生し、新たな る脆弱性を曝け出した。 一方、高度情報社会においては情報システムおよび情報システム間を接続するネット ワークが過度に複雑な様相を呈してきており、その脆弱性の所在を可視化することは極 めて難しい状況にある。 こうした背景のもと、計画型研究開発「高度情報社会の脆弱性の解明と解決」におい ては、高度情報社会の脆弱性を俯瞰的に見せるためのハザードマップ、高度情報社会に おけるリスク対策に関して相反する主張を解決し合意を形成するための多重リスクコ ミュニケータ、今後の電子政府や一般社会における電子商取引等を支える暗号基盤、健 全なデジタルコンテンツ流通の基盤となるデジタル著作権管理(DRM)、大規模災害 時における安否確認や復旧活動を支える非常時情報通信の維持、情報セキュリティに対 する効果的投資方法および情報セキュリティ関連政策・法律のあり方等について研究を 行ない、解決策を提示することを目指している。 平成18年度は、概ねこれらの課題のすべてについて基本的な研究成果を得ており、 本研究プログラムの最終年度である平成19年度にそれらの実証と評価を残すという 段階に至った。 本報告書は、計画型研究開発「高度情報社会の脆弱性の解明と解決」(5ヵ年計画) の4年目の報告書である。 高度情報社会の脆弱性の解決のための遥かなる道筋への意 欲を感じ取って頂ければ幸いである。 研究統括 3 土居 範久 研究者名簿(平成18年度) 1. 総括グループ 研究統括 土居 範久 研究統括補佐 山口 英 大野 浩之 岡本 栄司 中央大学/社会技術研究開発センター 奈良先端科学技術大学院大学 /社会技術研究開発センター 金沢大学/社会技術研究開発センター 筑波大学/社会技術研究開発センター 佐々木 良一 東京電機大学/社会技術研究開発センター 田中 秀幸 東京大学/社会技術研究開発センター 松浦 幹太 東京大学/社会技術研究開発センター 岩下 直行 日本銀行/社会技術研究開発センター 熊平 美香 財団法人クマヒラセキュリティ財団 /社会技術研究開発センター 長嶋 猪俣 敦夫 東京海上日動火災保険株式会社 /社会技術研究開発センター 社会技術研究開発センター 吉武 靜雄 社会技術研究開発センター 村瀬 一郎 株式会社三菱総合研究所 (委託先) 川口 修司 株式会社三菱総合研究所 〃 牧野 京子 株式会社三菱総合研究所 〃 江連 三香 株式会社三菱総合研究所 〃 蓮井 久美子 株式会社三菱総合研究所 〃 吉永 京子 (旧姓:土屋) 株式会社三菱総合研究所 〃 常時評価委員 岡本 潔 龍明 日本電信電話株式会社 〃 武市 正人 東京大学 〃 土井 美和子 (株)東芝 〃 鳥居 宏次 奈良先端科学技術大学院大学 〃 早貸 洋子 有限責任中間法人 JPCERT コーディネーションセンター 〃 宮崎 緑 千葉商科大学 <五十音順> 4 2. 多重リスクコミュニケータワーキンググループ(MRC−WG) リーダ 佐々木 良一 東京電機大学/社会技術研究開発センター 村山 優子 岩手県立大学/社会技術研究開発センター 矢島 敬士 東京電機大学/社会技術研究開発センター 長嶋 潔 藤村 明子 東京海上日動火災保険株式会社 /社会技術研究開発センター 日本電信電話株式会社/社会技術研究開発センター 猪俣 敦夫 社会技術研究開発センター 吉武 静雄 社会技術研究開発センター 吉浦 裕 電気通信大学 芦野 佑樹 東京電機大学 大井 朋子 東京大学 岡田 裕司 電気通信大学 沼崎 拓也 岩手県立大学 日景 奈津子 岩手県立大学 日高 悠 東京電機大学 藤本 肇 東京電機大学 守谷 隆史 東京電機大学 山根 信二 東京大学 渡部 知浩 東京電機大学 坂本 弘章 株式会社NTTデータ 村瀬 一郎 株式会社三菱総合研究所 (委託先) 赤井 健一郎 株式会社三菱総合研究所 〃 千葉 寛之 株式会社日立製作所 〃 八重樫 株式会社ピンポイントサービス 〃 清美 5 3. 暗号リスクワーキンググループ(CR−WG) リーダ 岡本 栄司 筑波大学/社会技術研究開発センター 猪俣 敦夫 社会技術研究開発センター 吉武 靜雄 社会技術研究開発センター 勅使河原 可海 創価大学 川西 英明 創価大学 ラミレス・カセレス・ギジェルモ・オラシオ 創価大学 4. 宝木 和夫 株式会社日立製作所 冨高 政治 富士通株式会社 赤井 健一郎 株式会社三菱総合研究所 (委託先) DRMワーキンググループ(DRM−WG) リーダ 山口 英 奈良先端科学技術大学院大学 /社会技術研究開発センター 近 5. 勝彦 大阪市立大学/社会技術研究開発センター 金野 和弘 岡山学院大学/社会技術研究開発センター 大貫 恵理子 大阪大学 奥田 奈良先端科学技術大学院大学 剛 塚田 清志 株式会社毎日放送 (委託先) 谷奥 孝司 株式会社毎日放送 〃 櫻井 暉子 株式会社毎日放送 〃 横山 孝文 株式会社毎日放送 〃 非常時情報通信システムワーキンググループ(EIS−WG) リーダ 大野 浩之 熊平 美香 金沢大学/社会技術研究開発センター クマヒラセキュリティ財団 /社会技術研究開発センター 猪俣 敦夫 社会技術研究開発センター 多田 浩之 みずほ情報総研株式会社 (委託先) 能瀬 与志雄 みずほ情報総研株式会社 〃 6 エグゼクティブ・サマリー 7 8 エグゼクティブ・サマリー (1) 研究の背景と概要 自然科学を基礎においた科学技術は、社会に住む我々に多大な便益をもたらしてきた。 しかしその飛躍的な進歩は大きな成果を生んできた一方、社会システムに予期しない機能 不全を起こし、いわゆる負の側面としての環境劣化、資源枯渇、社会の脆弱性の増大知識 の不均衡等の問題を引き起こした。 我々にとって科学技術の便益を享受しつつ真に安 全・安心な社会を実現していくためには、従来の自然科学を中心とする技術知見をのみな らず、人文・社会科学の複数領域の知見をも統合することによる新たな社会システム構築 のための技術すなわち「社会技術」として捉えた研究・開発の推進が重要となる。 現代において、とりわけ情報技術は情報システムの形で社会の末端まで浸透し、社会の重 要インフラ(電力、通信、鉄道、航空、金融等)の中でその機能を最大限に発揮している。 一方、オフィスや家庭においてもパーソナルコンピュータに代表される各種IT機器に搭 載された情報技術が我々の生活を支え続けている。 その反面、社会の情報技術への依存 度が高まることを背景に、情報システムに関連する事故や犯罪は後を絶たず、近年、火災 停電により全国のサービスに影響する事故や、インターネット上の情報の偽装・改竄によ る被害、個人情報流出が深刻な問題になっている。 こうした背景のもと、 「情報と社会」研究開発領域の計画型研究(旧ミッション・プログ ラムⅡ)では、「情報技術の展開および多様化がもたらす社会への影響を調査し、想定しう る社会的リスクを最小化するための情報システム・セキュリティに関する基礎的事項を提 示すること」を目的に以下を目標として平成15年度から5ヵ年の研究を実施している。 (a) 高度情報社会の持つ脆弱性を俯瞰するための「ハザードマップ」を作成する。 (b) 脆弱性に対し、法制度、社会制度、技術開発、普及・啓蒙・教育の多様な切り口から 実効性の高い解決法を提示する。 (c) 脆弱性について政策立案者が包括的理解を得るための基礎的な資料を提示する。 (d) 情報セキュリティ・システム分野における今後の新たな研究展開の見通しを得る。 研究体制としては概ね昨年度体制を踏襲した上で、昨年度末に実施された中間評価にお ける指摘事項を反映し若干の課題再配分と強化を行なった。 具体的には、総括グループ では従来から継続のハザードマップの作成、法律・政策事項の調査検討に、新たに情報セ キュリティ投資方法の調査検討を加え(中間評価指摘に対応)、また、各技術的課題に対応 するワーキンググループ(WG)においてそれぞれ、多重リスクコミュニケータ、暗号リ スク、DRM(デジタル著作権管理)、非常時情報通信システムの研究を進めている。 9 (2)情報システムインフラの脆弱性と被害予測(ハザードマップ/コストモデル) 昨年度に引き続き、本年度は重要インフラである電力、通信、水道、運輸、金融を対象 とし、それらの相互依存性解析の結果を反映しつつ、情報システムの脆弱性解明と被害予 測を目的とするハザードマップのシミュレーションならびにコストモデルにつき、特に結 果の妥当性向上を主眼として拡張とブラッシュアップを行った。 ハザードマップについては、従来から力を入れてきたマクロモデル(全国都道府県単位 での被害予測)については引き続き情報システムと重要インフラとの相互関係および重要 インフラ間の相互依存性に焦点を当て、シミュレーションによる被害拡大状況の精度を高 めるためのブラッシュアップを進めた。 さらに本年度は特にミクロモデル(首都圏市町 村単位での被害予測)について、情報システムの稼動の前提となる電力、通信、水道の供 給状況とデータセンターの稼動の関係に焦点を当てシミュレーションモデルの構築とそれ に基づくシミュレーションを実施した。 ミクロモデルのシミュレーションに当たっては 中央防災会議による首都圏直下型地震による電力、通信、水道の被害推定データおよび復 旧データを活用してシミュレーションを実行し、地図上での被害波及状況および復旧状況 の表示に成功した。 従来、情報システムへの供給インフラとして電力、通信に着目して きたが、加えて冷却用水(空調を含む)の供給がキーとなること、また洪水、雷害による 情報システム停止の危険性も考慮する必要があることが認識されそのデータを収集した。 コストモデルについては、従来被害コストがシステム停止時間に比例する単純な関係に あった点につき、営業利益、営業時間、IT依存度などを加味した「影響率」の概念を導 入することで、より現実的な被害額を算出するための改良コストモデルを作成した。 こ のモデルに基づきアンケート等により入手したデータを用いて被害額累積の時間的経緯を 考察した。 業種により被害発生の傾向が異なるが、許容停止時間(システムが停止して も利益逸失を及ぼさない時間)という視点からは、1時間経過では被害発生企業は20∼ 30%にとどまるものの、1日経過後では90%程度の企業に被害が発生すること、また 情報システム停止時の利益への影響度という視点からは、利益の40%程度に影響がでる ことが判明した。 ハザードマップとコストモデルに基づきシミュレーションした結果、例として、東京全 域で 1 時間の停電が発生した場合、自家発電装置が設置されていない場合には136億円 の被害が発生するが、自家発電装置を適切に配置した場合(局舎100%、データセンタ ー95%、企業50%)には16億円の被害にとどまることが明らかになった。 業種別 の傾向では、製造業が最も広範囲に亘り被害規模が大きくサービス業は製造業より被害は 小さい。 金融・保険業は大都市圏を中心に被害が発生する傾向にある。 10 (3)多重リスクコミュニケータ 最近の情報技術の急速な発展に伴って派生する多くの多様なリスクに対し、的確な対策 が強く望まれる状況にあるが、それにはセキュリティやプライバシーと対策コストなど互 いに相反する要素の調和を保ちつつバランスの取れた対策を一般市民、専門家、行政が合 意した形で実施する必要がある。 この目的のため、この複雑な作業を効率よく支援する 「多重リスクコミュニケータ」の開発構想を固め、実験的な開発と試適用を進めている。 また、中間評価の指摘を踏まえ、暗号危殆化に対する適用についても検討を開始した。 本年度は、昨年度までのプロトタイプ開発ならびにロールプレーヤによる適用実験の経 験に基づき、本格的な実験用プログラムの開発を行なうとともにそれを用いた試行的適用 を実施した。 開発においては、多重リスクコミュニケータの全体構成を定義するととも に、特に専門家分析クライアント(専門家利用インタフェース)の機能と構成を整備し使 い易い利用者インタフェース(画面)を作成した。 与者支援部、ネゴシエーション基盤の検討を行った。 さらに来年度の拡張開発に向け、関 試行適用については、課題例とし て個人情報漏洩、不正コピーによる著作権侵害問題、暗号危殆化時の対策、J-SOX 法等の 内部統制整備をとり上げ多重リスクコミュニケータを試行的に適用し評価を行なった。 特に暗号危殆化時の対策については、本年度から暗号リスクWGとの共同による専門のサ ブWGを設置し、公開鍵暗号基盤による電子署名等を題材として深く検討を行なった。 (4) 暗号リスク 高度情報社会における暗号技術の重要性は加速度的に増しつつあり、情報セキュリティ の基盤が暗号に多く依存すると社会的な危険が伴うことになる。 すなわち、暗号インフ ラ自体の脆弱性、暗号危殆化のリスク、暗号システムの利用形態によるリスクが大きな問 題となり、本WGではその脆弱性を解明し情報セキュリティ水準を確保するため、暗号基 盤およびその利用システムのリスク評価、暗号SLA(Service Level Agreement)につい て検討を進めている。 本年度は、暗号危殆化と社会的リスクについてRSA暗号を対象とした危殆化予測分析 に着目し、今後10年間に限れば鍵長128ビット程度で十分であることを明らかにした。 さらに暗号解読ソフトウェアおよび解読専用ハードウェアを考慮した並列計算機環境にお ける解読可能性について調査・分析を行った。 暗号SLAについては、その有用性を評 価するために暗号SLAが対象とする利用者を想定したロールプレイングシミュレーショ ンを実施し、さらに暗号SLAの普及を目指して暗号SLAポータルサイトの設計と作成 を行なった。 11 (5) DRM(デジタル著作権管理) インターネットの急速な発展によりデジタルコンテンツの流通も一般的になりつつある が、その反面、コンテンツの無断複製・改変などによりコンテンツ著作者の機会損失や権 利侵害の被害を生じる問題が顕在化してきている。 この問題への対処にはDRM(デジ タル著作権管理)が期待されており、ワーキンググループでは経済、法律、政策の視点か らDRMを分析し、あるべきデジタル権利構造の解明を目的としている。 本年度は、昨年度に引き続き3サブワーキンググループ(SWG)体制で研究を推進した。 技術調査研究SWGでは、重要な用語の定義を行なうとともに、そのひとつである複製制 御技術について物理的なメディアに施される技術、ビデオコンテンツに施される技術につ いて既存技術を調査し比較・評価を行なった。 社会経済調査研究SWGでは、地域文化 資本のデジタル化と社会経済価値創出のための社会実験を基盤とした研究を推進しており、 社会実験として神楽の面を題材にデジタル化して提示し市民、行政、非営利組織アンケー ト調査とヒアリング調査による評価を行なった。 実務構築調査研究SWGでは,デジタ ル放送の将来像がDRMに与える影響度を明らかにするべく、現状調査、将来像、コンテ ンツ保護のあり方、通信・放送融合下でのDRMのあり方について検討した。 (6)非常時情報通信システム 大規模災害時における非常時情報通信システムとして、インターネットで培われた情報 通信技術の活用に大きな期待が寄せられている。World Wide Web や電子メールの活用は、 従来型の音声電話に見られる輻輳の問題がなく、TV やラジオ放送に比べて検索性、一覧性 において優位である。 ワーキンググループでは、非常時情報通信システムの有効利用のた めの社会的・制度的課題を明らかにし、その解決の方向性に対する提言を行う。 本年度は、各国の非常時情報通信事情の調査について昨年度の欧州、アジアに続き米国 の事情について調査を実施した。 また、大規模・広域災害、同時多発テロ等の重大な緊 急事態における住民の安全安心確保の観点から危機管理体制としての「非常時指揮システ ム」と非常時通信としての「災害救援通信」に焦点を当て調査・分析と考察を行い、実践 的課題の視点に立った技術開発ならびに標準化研究の必要性を明らかにした。 並行して、 非常時情報通信をとりまく状況、関連する研究開発状況を紹介するとともに一般市民や有 識者との意見交換を狙いとする「情報通信・危機管理連続講演」を6回に亘って開催し所 期の効果を上げた。 これらの成果を反映しつつ主たる研究対象である非常時情報通信シ ステムのあり方に関して課題抽出と有効性実証を目的とするためのテストベッド「非常時 情報通信プロトタイプ」を構築した。 来年度に実験を実施する予定である。 12 (7) 情報セキュリティ投資 近年、情報セキュリティ技術の進歩は著しく、様々な攻撃などへの対策手段が利用でき るようになっている。しかし、現実のセキュリティ水準は、必ずしもこれら技術の進歩に 見合うほど向上しているわけではない。 その要因として、単に技術的な問題だけでなく マネジメントの問題が重要な課題として取り上げられる。 中でも情報セキュリティに対 して適切な投資がなされているか、などの経済学的視点から問題を掘り起こすことの必要 性が明らかとなっており、研究の流れが生み出されている。 情報セキュリティに対する最適投資に関する検討については、すでに暗号リスクWGの 中で着手していたが、中間評価における、より広い視点から推進すべき、との指摘を受け、 本年度から独立した課題として総括グループで取り上げ検討を進めている。 本年度は、昨年度までの調査結果を踏まえ、米国において電子政府システムに関連する 定量的・非定量的利益を定量化し評価する手法として採用されているVMM(Value Measuring Methodology)を取り上げ、国内への適用性につき検討を進めた。 具体的には、 VMMのモデルと概念を把握し、国内の典型的なシステムへの適用性を評価する目的で、 科学技術進行調整費積算システムに関するケーススタディを実施している。 18年度は、 関係者へのヒアリングを終え、評価のためのロールプレイングを実施する段階にまで至っ た。 (8) 高度情報社会における法律的、政策的検討 急速に情報システムが進展する環境においては、的確かつ継続的に情報セキュリティに 関わる法律や政策を整備していくことが肝要であり、本研究では法律および政策を俯瞰的 に眺めることにより、現在の動向や課題を明らかにし、今後の政策立案に貢献する提言を 行うことを目標とする。 本年度は、主要な提言の1候補として、特に情報システム事故に関する原因究明と情報 共有を実現する体制について焦点を当て、具体案として「情報システム事故調査委員会」 (仮 称)の設置の可能性について深く調査・検討を行なった。 検討にあたっては、航空/鉄 道事故調査委員会の実情と課題、関連する海外事情、国内における情報システム事故の事 例、関連する法制度の現状等、広く調査を行なうとともに、情報システムに関する定義を はじめ情報共有体制のあり方や利害得失などの検討を行い、望ましい情報共有体制、情報 公開方法、情報提供者の権利確保等の運用方法についての案を明らかにした。 これを提 言に結び付けるについてはさらに検討が必要であり、引き続き次年度にこの方向で進める。 13 14 本 編 15 16 目次 1 研究の概要 18 2 情報システムインフラの脆弱性と被害予測 23 3 多重リスクコミュニケータ 43 4 暗号リスク 71 5 DRM(デジタル著作権管理) 93 6 非常時情報通信システム 118 7 情報セキュリティ投資 141 8 高度情報社会における法律的、政策的検討 161 付録 研究開発成果の発表状況 182 17 1 研究の概要 1.1 社会技術とは 戦後日本の社会システムの構築期においては、科学技術は主として自然科学に基礎を置 いて、時代の最先端のものとして光り輝き、豊かさの増大、安全の確保を中心として、一 連の便益を社会に住むを我々に享受させることができた。 しかしながら、科学技術の飛躍的進歩により、多くの優れた成果が生まれる一方、従来 我々が信頼を与えていた社会システムの一部が予期しない機能不全を起こし、いわゆる科 学技術の負の側面としての環境劣化、資源枯渇、社会の脆弱性の増大、知識利用不能の不 均衡等の問題が生じた。このような問題は、過去に人類を襲った問題と異なり人間活動に 密着している。近代以降、人間活動は著しく科学技術に依拠する方法や道具によっている が、科学技術の成熟化の中での知識の細分化と俯瞰能力の欠如の結果、一部の人間活動が 単一あるいは少数の領域知識に支持されて行われるようになってきたことにより、当該領 域では考慮し得ない副作用を生む可能性を本質的にはらむこととなった。 一方、科学技術が生活や社会の隅々にまで大きな影響を与えるようになった結果、従来 は人間や組織をせいぜい境界条件として扱えば良かったような課題やシステム設計も、人 間や組織をその一部として内生化して扱うことが必要となっており、領域の中で自己完結 的に積み上げ可能であった従来の自然科学的方法論に加えて人間や社会の価値を扱う人 文・社会科学的方法論をも取り入れた新たな方法論が必要となっている。さらに、心理を 追求するだけでなく、社会的価値を確立するための手段として役割を果たすことが期待さ れる科学技術の領域が生まれてきている。集団や社会を良好に維持、発展させる技術など、 自然科学だけではなく社会の中での総合的なトレードオフの中で決まる問題に対して、社 会的価値を実現することと密接に結びついた科学技術が求められてきている。 したがって、21 世紀を迎え、我が国の社会が迎える様々な問題を解決し、新たな社会シ ステムを構築していくためには、従来の自然科学を中心とする技術的知見のみならず、個 人や集団の本性や行動等を対象とした人文・社会科学の知見を集結し、科学技術と人間・ 社会の新しい関係の模索をも念頭に、科学技術と社会との調和を図っていく必要がある。 このような「自然科学と人文・社会科学の複数領域の知見を統合して新たな社会システム を構築していくための技術」を「社会技術」としてとらえることとする。 「技術」のとらえ方には、 「技術の対象や目的」に着目する視点(第 1 の視点)と「技術 の根源や根拠」に着目する視点(第 2 の視点)の 2 つが考えられる。 「社会と技術」を「社 会システムを構築していくための技術」とする上記のとらえ方は、第 1 の視点に立ったも のである。一方、「科学技術」を科学とそれに裏付けられた技術、即ち科学と科学的技術と すれば、科学技術は、理科系の科学と理科系の科学的技術、並びに文科系の科学と文科系 の科学的技術を包括するものでなくてはならない。従来ともすれば、科学技術は理科系の 科学と理科系の科学的技術に限定されがちであったが、社会技術を第 2 の視点に立ってと 18 らえるなら、理科系の科学と科学的技術、並びに文科系の科学と科学的技術とを包括した ものとなり、文科系の科学と科学的技術なしには、望ましい社会システムの構築はあり得 ないこととなる。問題は、その社会構築に関わる文科系の科学的技術が、必ずしも理論化・ 実証化された段階にまで成熟していないというところにある。 したがって、社会技術の研究開発を推進するの際しては、理科系の科学的技術と同等の 緊要性をもって、人文・社会科学並びにそれに裏打ちされた文科系の科学的技術研究開発 それ自体が重視される必要があり、その上に立って始めて文理の科学的技術の総合も可能 となると考える。要するに、社会技術の研究開発の推進においては、自然科学と人文・社 会科学、そして理科系の科学的技術と文科系の科学的技術をともに射程に収める必要があ る。 1.2 研究の背景と目的 現代において、情報技術は、社会の末端まで浸透し、社会のインフラストラクチャとし て存立している。また、情報技術は、それら個々の構成要素が有機的に結びついた情報シ ステムとして、電力・金融・通信・鉄道・航空等の重要インフラの中で、その機能を最大 限に発揮している。また、オフィスや家庭においても、パーソナルコンピュータに搭載さ れた情報技術が、日夜仕事や生活の中で、人々の生活を支え続けている。 ところで、現在の情報技術の社会への展開には、大きな二つのトレンドが存在する。一 つは、重要インフラにおける情報システムに代表されるものであり、要素技術としての情 報技術が複雑に構成され、全体として巨大かつ複雑なシステムを形成しているというもの である。情報システムの巨大化・複雑化の潮流は、個々のセクタを大きく飛び越え、伝電 力・通信を中心としたセクタ間での巨大かつ複雑な情報システムの成立期を迎えるに至っ ている。トレンドの二つ目は、情報技術の小型化による人間生活への接近である。家庭で の情報技術の利用は、従来のパーソナルコンピュータから、その枠を大きく広げており、 テレビ、ハードディスク付 DVD レコーダ、デジタルカメラ、FAX 機能付固定電話、携帯 電話、エアコン、冷蔵庫、洗濯機等においては、マイクロチップが標準で内蔵されている。 こうした流れは、情報技術の多様化と総括することが可能であり、情報技術はすでにコン ピュータだけのものではなくなっている。 一方、情報システムの事故は後を絶たず、金融や通信における情報システム事故、ある いは情報セキュリティ事案が大きく報道されている。平成 14 年度は、みずほ銀行の合併に 伴う大規模なシステム障害、ワン切り業者の大量発信による NTT 西日本における通話不能 事故、所沢の航空管制システム障害による航空機能の麻痺、平成 15 年度は、MS/Blaster と呼ばれるワーム型ウイルスによる企業や一般家庭のコンピュータの機能障害、Yahoo/BB 等における相次ぐ個人情報の流出、トレンドマイクロの誤ったウイルス定義ファイル送信 に伴う様々な業種の情報システム障害、東京証券取引所のシステム障害に起因する半日間 の売買停止、平成17年度は、隅田川にかかる架線断による首都圏約140万軒に及ぶ大 19 停電と情報システム被害、大日本印刷からの約15万人分のクレジット会員情報流出と不 正使用、等が相次いで発生している。こうした情報システムの事故の特徴は、単一の情報 システムの事故ではなく、複数の情報システムが複雑な関係性を有し相互依存性を増しつ つ、機能を高めあっている場での事故であることを挙げることができる。さらには、当該 事故の発生が、当事者だけでなく、取引先の企業や一般消費者に大きな影響を与えること も見逃すことはできない。情報システムおよび情報技術の複雑化と多様化が、このような 情報システムの根底にある。 こうした背景の下、計画型研究研究開発「高度情報社会の脆弱性の解明と解決」では、 情報技術の展開および多様化がもたらす社会への影響を調査し、想定しうる社会的リスク を最小化するための情報システム・セキュリティに関する基礎的事項を提示することを目 的としている。 1.1 目標と方針 「情報技術の展開および多様化がもたらす社会への影響を調査し、想定しうる社会的リ スクを最小化するための情報システム・セキュリティに関する基礎的事項を提示すること」 を目的とし、具体的な目標としては、以下を掲げた。 1) ハザードマップの作成 高度情報社会の持つ脆弱性を明らかにするためのリスク評価を実施し、多種多様な脆弱 性を俯瞰するための「ハザードマップ」を作成する。その際、脆弱性解決にかかる手 順・コストを明らかにすることを目的としたシミュレーションを実施する。 2) 解決法の提示 明らかになった脆弱性を解決するための、法制度、社会制度、技術開発、普及・啓発、 教育といった多様な切り口からのアプローチを行い、より実効性の高い解決方法を提 示する。 3) 政策立案者向けの基礎的資料の提示 高度情報社会の持つ脆弱性について、政策立案者が包括的理解を得るための基礎的な資 料を提示する。 4) 情報システム・セキュリティ分野の研究方向性の提言 今後の情報システム・セキュリティ分野における新たな研究展開についての見通しを得 る。 20 1.4 計画 計画型研究開発「高度情報社会の脆弱性の解明と解決」の年次計画は、以下の通りであ る。 項 (1) (2) 目 15 年度 16 年度 17 年度 18 年度 19 年度 総括グループによる問題探求議論 社会的リスクを俯瞰するためのハザードマ ップ作成 (3) ハザードマップに基づくコストモデルの作 成 (4) 多重リスクコミュニケータWG活動 (5) 暗号リスクWG活動 (6) DRM(デジタル著作権管理)WG活動 (7) 非常時通信WG活動 (8) 情報セキュリティ投資の検討 (8) 政策・法律に係わる提言 (9) 成果取りまとめ作業(出版、報告会) 常勤人数/非常勤人数 1/8 4/9 4/13 2/13 (2/14) 50 100 100 140 (115) 予算(百万) ※ 図 1-1 年次計画 21 19年度は予定 1.5 研究体制 研究統括 土居、山口(補佐) 常時評価委員 岡本龍、武市、土井、鳥居、早貸、宮崎 総括グループ リーダ:土居、山口(補佐) 直轄課題: ハザードマップとコストモデル 情報セキュリティ投資(課題リーダ:松浦) 情報セキュリティ関連政策・法律 多重リスクコミュニケータワーキンググループ 暗号リスクワーキンググループ リーダ:佐々木 リーダ:岡本栄 DRM(デジタル権利管理)ワーキンググループ 非常時情報通信ワーキンググループ リーダ:山口 リーダ:大野 図 1-2 研究体制(平成18年度) 1.6 本年度の研究状況と主たる成果 1) ハザードマップとコストモデルの作成 電力、通信、水道インフラの被害データに基づくミクロモデル(首都圏市町村単位) の構築とシミュレーション(影響波及・復旧状況の表示) 2) 多重リスクコミュニケータ 多重リスクコミュニケータ実験版プログラムの試作とロールプレイング評価、暗号危殆 化(電子署名等への影響)と対策、内部統制整備(J−SOX法等)への試適用 3) 暗号リスク RSA暗号の危殆化予測分析、暗号SLAのロールプレイング評価実施、暗号SLA ポータルサイトの試作 4) DRM(デジタル著作権管理) DRM技術の比較評価、神楽の面を題材にしたデジタルコンテンツ流通の社会実験、 デジタル放送の現状と将来像、コンテンツ保護のあり方の考察 5) 非常時情報通信システム 海外事情の調査と分析、情報通信・危機管理連続講演の実施、非常時情報通信システ ムのプロトタイプ構築 6) 情報セキュリティ投資 米国VMM提供事例の調査、科学技術振興調整費積算システムへの試行適用(実施中) 7) 情報セキュリティ関連政策・法律 情報システム事故調査委員会(仮称)の設置に関する提案と課題抽出 22 2 情報システムインフラの脆弱性と被害予測 2.1 情報システム事故におけるハザードマップ 2.1.1 概要 近年の急速な情報技術の発展は、生産性の向上や新しい産業の創出などの効果を社会に もたらすと同時に、従来は想定し得なかった脆弱性を生み出すことになった。そのため、 高度情報社会において想定しうる社会的リスクを明らかにし、これを最小化するための情 報システムに関する基礎的要件や社会的要件を提示することが喫緊の課題となっている。 ハザードマップは、災害発生時における被害想定を地図上に視覚的に表示することで、 被害の直感的な理解を促すとともに、効果的な防災対策の策定に有用である。情報システ ム事故の被害は、地理的に制約のある自然災害と異なり広域化する傾向にあることから、 その被害をハザードマップによって可視化し、被害発生状況の地理的広がりを提示するこ とは、政策判断責任者や意思決定者の理解を助ける上で効果的であると考えられる。 また、従来、政府や企業において、情報システム投資の効果や事業継続の対策の必要性 を意思決定者に対して明確に示せなかった点は、適切な情報システム投資や対策導入の阻 害要因となっていることが指摘されている。情報システム事故による被害の規模と影響を、 被害額として明示することで、情報システムが社会において果たしている役割とその重要 性、それと表裏一体の危険性をわかりやすく認識することが可能となり、将来的には定量 的な評価に基づく政策立案の支援に用いられることも期待される。 高度情報化社会においては、情報システム事故による被害が広域化、複雑化するととも に、その影響も短時間で波及する可能性が高くなっている。さらに、情報システム事故は 単独で起こるだけでなく、他の重要インフラとの強い相互依存性を持つため、電力事故が 情報システム事故に繋がったり、情報システム事故が金融・運輸などの他の重要インフラ に影響を及ぼしたりすることで、被害がさらに拡大する恐れもある。 日本における情報システムにおける脆弱性である、電力インフラへの依存、通信インフ ラへの依存、情報システム機能の首都圏への過度な集中などの特徴を踏まえ、ハザードマ ップの特徴は以下の通り設定した。 表 2-1 ハザードマップの要件と特徴 要件 地図上に表示 事故発生後の経過を 時系列に表示 被害コストに焦点 理由 ・防災ハザードマップと比較し、理解しやすい ため ・情報システム事故の影響が広範囲であること を示すため ・事故の被害は時間とともに拡大していくため ・現状において、情報システム事故は、人命へ の影響でなく経済的な影響が主であるため 23 特徴 日本列島を表示し、県単 位の影響度を推定する シミュレーションソフトウェ アを作成する 県単位および産業単位で の利益損失を推定する また、ハザードマップは、日本全国を対象としたマクロモデルと、首都圏を対象とした ミクロモデルから構成される。それぞれの目的と概要は以下の通りである。 ・ マクロモデル - 情報システムの稼動に必須の供給インフラのうち、電力と通信の影響に着目す る。 - 大災害等により電力・通信が被害を受けた場合の、情報・データ交換の途絶が 与える影響に注目し、情報システムの機能的な障害が産業に与える被害の波及 をシミュレーションする。 ・ 対象エリアは日本全国である。 ミクロモデル - 情報システム稼動に必要な供給インフラとして、電力・通信に加え、サーバ設 置場所(データセンター等)の冷房および機器の水冷のために必要な水道の影 響に着目する。 - 大災害等により電力・通信・水道に障害が発生した場合の、データセンターの 生存率に注目し、情報システムに対する物理的な障害が産業に与える被害の波 及をシミュレーションする。 - 対象エリアは首都圏である。 なお、マクロモデルとミクロモデルの各ハザードマップは、データセンターの生存率を パラメータとして連携して動作する。 2.1.2 マクロモデル ハザードマップとコストモデルは、高度情報社会における情報システムの役割や重要性 を主張するため、情報システムと重要インフラの関係に焦点を当てている。本研究では、 下記の目標を設定し、これらを実現するモデルを構築した。 ・ 情報システム事故が非常に短時間で全国的な影響を及ぼすことへの注目度の向上 ・ 情報システムの電力インフラへの依存の注意喚起 ・ 情報システムを中心とした企業活動の首都圏への過度な集中に対する警鐘 24 各業界の業務 情報システム 通信インフラ 電力インフラ 図 2-2 重要インフラモデルの 3 層構造 電力インフラへの依存について、本研究では、重要インフラモデルの構造を 3 層構造と して表現している。図 2-2 は、情報システムが電力インフラと通信インフラに依存してい ること、また、各業界の業務において情報システムが利用されていることを示すが、情報 システムへの依存度は業界により異なる。本研究では、特定地域に大規模な停電が発生し、 電力事業者からの情報システムに対する電力供給の停止によって、情報システムにおいて 大規模な障害が発生したと仮定するシナリオを採用した。 また、企業活動の首都圏への過度の集中に関しては、情報システム層のモデルと、通信 インフラモデルにおけるルーティングを東京を中心に構成することで実現した。 図 2-2 シミュレーションにおける通信路 今回想定したシナリオは以下の通りである。 (1) ある地域(現在は県単位)において停電が発生 25 (2) 自家発電装置停止後、当該地域に含まれる通信局舎に停電が発生 (3) 当該地域に含まれる企業において、停電、システム停止が発生 また、シミュレーションモデルは以下の通りである。 (a)都道府県単位でのシミュレーション ・ データは端末(クライアント)で発生するものと想定。 ・ 都道府県毎に「オフィス」−「データセンター」−「局舎」−「他都道府県の 局舎」という構成のオブジェクトを有し接続。 (b)都道府県間の通信 ・ 都道府県間通信統計(総務省)における年間の都道府県間通話量 または ・ 国土交通省の内航船舶輸送統計年報、自動車輸送統計、航空輸送統計の合計 を 利用。 (c)稼働率の計算 ・ 以下に基づき、時系列の変化を推定。 ある都道府県からの受信データ量:R_Di ある都道府県への送信データ量 :S_Di 通常時のデータ処理量:∑R_Di+ ∑S_Di t 時におけるデータ処理率 =(∑R_Di(t)+ ∑S_Di(t))/(∑R_Di + ∑S_Di) t 時における受信データ量と送信データ量の関係 =S_Di(t) = S_Di×∑R_Di(t)/ ∑R_Di (d)対策のシミュレーション ・ 対策は現在、5 年後、10 年後で進展。 - ヒューマンエラーの発生:訓練により発生確率が低下する。 - 停電対策:局舎およびデータセンターにおける自家発電装置の普及率が向上 し、耐電時間も増加する。 - 通信路:地方間の通信路二重化が進展する。 2.1.3 ミクロモデル ミクロモデルでは、情報システムの稼動の前提となる電力・通信・水道の供給状況とデ ータセンターの稼動の関係に焦点を当てている。本研究では、下記の目標を設定し、これ らを実現するモデルを構築した。 ・ 情報システムが稼動するためには、電力・通信・水道の全ての復旧が必要という認 識の構築 ・ データセンターの集積状況が情報システムの稼動に与える影響の把握 26 今回想定したシナリオは以下の通りである。 - 首都圏直下型地震が発生 - 電力・通信・水道の途絶が発生し、いずれかの供給が途絶したデータセンターの 稼動が停止 - データセンター稼働率が低下した地域(現在は市区町村単位)において、情報シ ステムの稼働率も低下 今回想定した首都直下型地震による被害想定(東京湾北部地震 M7.3)は下記の通りであ る。 発災から1日後 図 2-3 中央防災会議における首都直下型地震による被害想定(東京湾北部地震 M7.3) また、シミュレーションモデルは以下の通りである。 (a)供給インフラの被害・復旧状況 ・ 中央防災会議(東京湾北部地震 M7.3 を想定)による電力・通信・水道の復旧状 況のデータを利用。 ・ 各インフラの復旧率を乗ずることにより、情報システムの復旧率を算出(図 2-4) (b)データセンター集積状況 ・ 各種文献、インターネットによる検索によって、首都圏市区町村毎のデータセン ター数を計算。 27 % 上水道×通信×電力 → 情報システムのインフラの復旧曲線 水道 電力 0 通信 5 10 15 20 25 30 日 情報システム復旧のための各種パラメータ ・自家発電装置の装備状況 ・給水施設の装備状況 ・通信二重化の状況 % 情報システム稼動の復旧曲線 0 5 10 15 20 25 30 日 図 2-4 情報システムの復旧曲線 図 2-5(左:被害直後、右:5時間後) なお、マクロモデルとミクロモデルの関係に関するデータセンターの現状は下記の通りで ある。 ○立地 ・首都圏では、千代田区、江東区、千葉ニュータウン、磯子地区あたりに多い ・東京湾の場合、津波はそれほど高くならないため、ウォーターフロントに多い ・堤防から、800m 以上離す等の考慮もしている ・頑強な地盤が優先される ・近年では、山手線内が重視される ・恵比寿、渋谷∼新宿に至る地域の人気が高い 28 ・従来より丸の内と大手町にも集中している ・外資系は、橋がアクセス経路となっているため、有明等埋立地は好まない ・現在は、上記の条件に合致しない場所においても、人気が高い ○電源系 ・ 自家発電装置は 2 日稼動することが一般的である ・ ヒアリング先の場合は週に一度、自家発電装置の空運転による点検を行っている ・ 自家発電装置は、地下に置くケースが一般的である ・ ブレードサーバの普及により、単位面積当たりの電力使用量が増えている (1 ラック辺り 6KVA) ・ 近年は、電源容量不足により、データセンターが新規顧客を増やすことができな い ・ データセンター増設のポイントは、床面積よりも、電源容量である場合がある ○洪水への配慮 ・ 東京湾の場合、津波はそれほど高くならないため、ウォーターフロントに多い ・ 堤防から、800m 以上離す等の考慮もしている ・ 地下入り口は、数 10cm のかさ上げをしている ・ 洪水によりデータセンターの電源室に浸水した例はない ・ データセンター専用ビルではないオフィスビルの床の一部がデータセンターと なる場合、入り口の床上げを行っておらず、浸水の危険がある(最近は、一般の オフィスビルへのデータセンターの設置も盛ん) ○通信系 ・ データセンターは自前回線でかつ二重化しているところが多い ・ 最後の引き込み(道路)が一本であることがある ・ キャリアにルートの開示を求めている ・ キャリアの電源の二重化まで求めていない ○水道 ・ 空調設備は、基本的に空冷 ・ 空調機で加湿も調整する ・ 水を氷にする、または給水タンク(夜間の電力で冷水化する) ・ 水は循環している、空調で暖まったものを電気で冷やす ・ 熱源の容量を算出して、それに必要な水を計算している ○ガス ・ 通常データセンターでは使っていない ・ 非常系として、非常電源のバックアップで都市ガスを用いている ○人間系 ・ 常時駐在している人員:コンピュータシステムをオペレーションする人間 29 常時 10 人程度、三交代が普通である。 大きいセンターで 20 人常時駐在する(ネット ワークでコントロールする方法が一般的である) 設備を運転する人員および 電源、空調それぞれの人員は常駐している ・ 非常時のマニュアルはあるが、大規模な災害を想定しているものではない ○物流関係 ・ 伝票やデータ現物がもっとも重要。出力帳票を返す。 ・ 頻繁に使う部品は自社センターに置いてあり、かつ メーカの部品センターの場 所は確認する ○その他 ・ 空調機の室外機に、非常に大きなスペースが必要である 2.2 コストモデル 2.2.1 コストモデルの概要 本研究におけるコストモデルとは、電力障害による情報システムへの影響に関して、被害額を定 量的に計算可能とするためのモデルである。 被害額は、以下の項目から構成される。 ・電力の停止による被害:逸失利益 ・電力の停止による被害:電力復旧コスト、業務効率低下コスト 本コストモデルでは、都道府県・業種単位で被害額を算出した。 (1)逸失利益 全ての産業分野に発生する値であり、情報システムの停止によって企業活動が停止したことによ る利益の減少を表す。利益の減少は、時間当たりの経常利益にシステム停止時間を乗じたものであ るが、業務の情報システムに対する依存度によって、利益に対する影響は異なると想定されること から、さらに IT 依存度を乗じた値を逸失利益とする。逸失利益は次の式により算出する。 逸失利益 = 経常利益/ (年間規定影響日×1日あたり営業時間)×システム停止時間×IT 依存度 (2)電力復旧コスト 電力分野のみに発生する値であり、電力復旧のための人件費を表す。電力復旧コストは次の式に より算出する。 電力復旧コスト = 復旧要員人件費×復旧要員数×復旧所要時間 30 (3)業務効率低下コスト 全ての産業分野に発生する値であり、情報システムの停止によって業務部門人員の業務の効率が 低下した人件費を表す。業務効率低下コストは次の式により算出する。 業務効率低下コスト = 業務部門人件費単価×システム停止時間×影響を受けた人員数×IT 依存度 表 2-2 コストモデルの算出方法 項目 算出方法 関連データ 事業の停止 による被害 逸失利益 (売上の減少) 時間当たり利益 =営業利益/(年間規定営業日245日 ×1日当たり営業時間7.5時間)×システ ム停止時間×IT依存度* 経常利益 (業種毎の経常利益 =経済産業省企業活動基本調査) システム停止時間 (情報システム事故による変数) IT依存度(業種毎1人当たりPC普及率より計算 =経済産業省企業活動基本調査) (電力停止の 場合) 電力の停止 による被害 電力復旧コスト 時間当たり復旧要員人件費×復旧要員 数×復旧所要時間 (電力のみ) 時間当たり復旧要員人件費(=2,700円) (厚生労働省統計より電力業界の平均人件費) 復旧所要時間 (情報システム事故による変数) 業務効率低下 コスト 業務部門の人件費単価×システム停止 時間×インシデントにより影響を受けた人 数×IT依存度* 時間当たり人件費単価(厚生労働省統計) 業務復旧所要時間 (情報システム事故による変 数) 情報システム事故により影響を受けた人数 IT依存度(業種毎1人当たりPC普及率より計算 =経済産業省企業活動基本調査) 2.2.2 改良コストモデル 実際のシミュレータには未反映だが、コストモデルは下記の方向性で改良を加えている。すなわ ち、現状のモデルでは、被害コストが、システム停止時間に比例する線形モデルである、各産業間 での差は、IT 依存度のみに委ねられるという課題があるため、被害コストを「影響率」という概念 を用いて、下記のようにシステム停止時間に応じて変化するものと定義する。 被害コスト(t) = 逸失利益(売上の減少) + 業務効率低下コスト 逸失利益(t)= 影響率×(営業利益/(年間規定営業日 245 日×1 日当たり営業時間 7.5 時間) ×システム停止時間×IT 依存度) 業務効率低下コスト = 業務部門の人件費単価×システム停止時間 ×インシデントにより影響を受けた人数×IT 依存度 ※ t:システム停止時間 影響率の設定にあたっては、 「許容停止時間(システムが停止しても利益逸失を及ぼさない時間)」 および「情報システム停止時の売上への影響度」を考慮する。システム停止時間が許容停止時間を 超過した企業においては、 「情報システムの停止時間と累積被害額の関係モデル図」に応じて、累積 被害額が増加する。 31 表は、アンケート調査によって、業種毎に情報システム停止時間が許容停止時間を越えて被害額 が発生する企業の比率を示したものである。例えば、金融・保険業の場合、情報システム停止時間 が1時間∼半日以内の場合、「76.4%」の企業が影響を受けるという意味である。 表 2-3 情報システム停止時間が「許容停止時間」を超えて被害額が発生する企業の比率 農林漁業(N=4) 鉱業(N=1) 建設業(N=73) 製造業(N=112) 運輸・通信(N=103) 卸・小売業、飲食店(N=77) 金融・保険業(N=66) 不動産業(N=16) サービス業(N=97) 電力・ガス・水道・熱供給(N=20) 1時間以内 半日以内 1日以内 数日以内 それ以上 33.3% 33.3% 66.7% 100.0% 100.0% 0.0% 100.0% 100.0% 100.0% 100.0% 25.8% 64.5% 85.5% 96.8% 100.0% 33.7% 77.6% 96.9% 100.0% 100.0% 20.9% 69.8% 89.5% 98.8% 100.0% 26.4% 63.9% 90.3% 100.0% 100.0% 52.7% 76.4% 96.4% 98.2% 100.0% 15.4% 46.2% 69.2% 100.0% 100.0% 31.3% 73.5% 92.8% 100.0% 100.0% 37.5% 87.5% 93.8% 100.0% 100.0% 注:「農林漁業」「鉱業」はサンプル数が少ないため参考値とする。 この表において、システム停止時間が許容停止時間を超過すると、利益への影響率がゼロから a に推移すると仮定し、aを「情報システム停止時の利益への影響度」とする。 売上への 影響度 システム停止時間 ≦ 許容停止時間 の場合 利益逸失分 = 0 → システム停止時間 > 許容停止時間 の場合 利益逸失分 = 売上 × a → a 利益逸失分 = 0 利益逸失分 = 利益 × a 0 許容停止時間 システム 停止時間 この時間内であれば システムが停止していても 売上には影響が出ない 図 2-6 システム停止許容時間の考え方 aは時間によって変化する値である。基本値は「主要な情報システムが営業日に「24 時 間」停止した場合のその日の売上高に対する影響」から算出する。 表 2-4 情報システム停止時の利益への影響度(基本値) 農林漁業(N=4) 鉱業(N=1) 建設業(N=73) 製造業(N=112) 運輸・通信(N=103) 卸・小売業、飲食店(N=77) 金融・保険業(N=66) 不動産業(N=16) サービス業(N=97) 電力・ガス・水道・熱供給(N=20) 依存は一 部にとどま る(25%未 満) 25.0 0.0 52.1 31.3 38.8 32.5 18.2 37.5 37.1 10.0 32 若干依存し ている(25 ∼50%未 満) 0.0 100.0 23.3 33.0 27.2 31.2 33.3 31.3 22.7 45.0 多くの部分 が依存して いる(50∼ 75%未満) 50.0 0.0 11.0 26.8 13.6 18.2 21.2 18.8 22.7 25.0 ほとんどの 部分が依 存している (75%以上) 25.0 0.0 13.7 8.9 20.4 18.2 27.3 12.5 17.5 20.0 平均 (a) 0.56 0.38 0.34 0.41 0.41 0.43 0.52 0.39 0.43 0.51 表 2-5 情報システムの停止時間と累積被害額の関係(金融・保険業の場合) (上:変化のポイント、下:変化の割合) 選択肢1(N=31) 選択肢2(N=30) 選択肢3(N=5) 1時間以内 半日以内 1日以内 数日以内 それ以上 64.5 19.4 9.7 3.2 3.2 26.7 40 13.3 16.7 3.3 0 0 0 0 0 選択肢1(N=31) 選択肢2(N=30) 選択肢3(N=5) 若干変化 かなり変化 多少変化 する(±25 する(±50 相当変化 ∼75%未 する(±25% ∼50%未 する(±75% 満) 満) 未満) 以上) 22.6 19.4 29 29 16.7 63.3 13.3 6.7 0 0 0 0 基本値は、下記モデルによって変化する。 累積被害額 選択肢1:情報システム停止後に大 きく被害が発生し、その後も徐々に 被害が拡大する 時刻t 情報システムの停止時間 累積被害額 選択肢2:情報システム停止後しば らくは、一定時間人間系やバックア ップで代替可能だが、停止が長期に 時刻t 渡ると被害は一気に増大する 情報システムの停止時間 累積被害額 選択肢3:情報システム停止後もほ とんど被害は発生せず、その後も、 被害は少しずつ増加する 情報システムの停止時間 33 0% 農林漁業(N=4) 20% 40% 25.0 80% 50.0 鉱業(N=1) 0.0 建設業(N=73) 60% 100% 25.0 100.0 13.7 0.0 56.2 30.1 34.8 製造業(N= 112) 運輸・通信(N=103) 30.1 卸・小売業、飲食店(N=77) 29.9 45.5 43.7 不動産業(N=16) 25.0 サービス業(N=97) 24.7 14.3 45.5 43.8 7.6 31.3 49.5 30.0 電力・ガス・水道・熱供給(N=20) 26.2 55.8 47.0 金融・保険業(N=66) 19.6 25.8 55.0 15.0 情報システム停止後に大きく被害が発生し、その後も徐々に被害が拡大する (業務の情報システムへの依存は高い) 情報システム停止後しばらくは、一定時間人間系やバックアップで代替可能だが、停止が長期 に渡ると被害は一気に増大する (業務の情報システムへの依存は中程度) 情報システム停止後もほとんど被害は発生せず、その後も、被害は少しずつ増加する (業務の情報システムへの依存は低い) 図 2-7 情報システムの停止時間と累積被害額について システム許容停止時間を考慮すると、aは時間によって下記の通り変化する。 表 2-6 情報システム停止時の利益への影響度(時間毎) 経過時刻 (時間) 農林漁業(N=4) 鉱業(N=1) 建設業(N=73) 製造業(N=112) 運輸・通信(N=103) 卸・小売業、飲食店(N=77) 金融・保険業(N=66) 不動産業(N=16) サービス業(N=97) 電力・ガス・水道・熱供給(N=20) 1 2 3 4 5 6 7 8 18.7 0.0 8.8 13.8 8.6 11.4 27.3 6.0 13.4 19.2 18.7 37.5 22.0 31.7 28.9 27.5 39.6 18.0 31.4 44.8 18.7 37.5 22.0 31.7 28.9 27.5 39.6 18.0 31.4 44.8 18.7 37.5 22.0 31.7 28.9 27.5 39.6 18.0 31.4 44.8 37.5 37.5 29.1 39.6 37.0 38.8 50.0 27.0 39.6 48.1 37.5 37.5 29.1 39.6 37.0 38.8 50.0 27.0 39.6 48.1 37.5 37.5 29.1 39.6 37.0 38.8 50.0 27.0 39.6 48.1 37.5 37.5 29.1 39.6 37.0 38.8 50.0 27.0 39.6 48.1 34 9∼24 25∼72 73∼ 37.5 37.5 29.1 39.6 37.0 38.8 50.0 27.0 39.6 48.1 56.3 37.5 33.0 40.8 40.9 43.0 51.0 39.1 42.7 51.3 56.3 37.5 34.1 40.8 41.4 43.0 51.9 39.1 42.7 51.3 売上高に対する 影響度 0.56 0.38 0.34 0.41 0.41 0.43 0.52 0.39 0.43 0.51 60 (%) 農林漁業(N=4) 鉱業(N=1) 建設業(N=73) 製造業(N=112) 40 運輸・通信(N=103) 卸・小売業、飲食店(N=77) 金融・保険業(N=66) 不動産業(N=16) 20 サービス業(N=97) 電力・ガス・水道・熱供給(N=20) 0 1 2 3 4 5 6 7 8 9∼24 25∼72 73∼ (時間) 図 2-8 情報システム停止時の利益への影響度(時間毎) なお、影響率の具体的な例として、金融・保険業と製造業に関する比較データを提示する。 表 2-7 累積被害が変化するポイントを過ぎる企業の比率(金融・保険業の例) 全体(N=66) パターン1 (依存度高) (N=31) パターン2 (依存度中) (N=30) パターン3 (依存度低) (N=5) 企業比率 1時間以内 半日以内 1日以内 数日以内 それ以上 100 45.9 75.4 86.9 96.7 100.0 47.0 64.5 83.9 93.5 96.8 100.0 45.5 26.7 66.7 80.0 96.7 100.0 7.6 0.0 0.0 0.0 0.0 0.0 例) 金融・保険業の場合、 累積被害の変化のポイントを超える企業の割合は、 パターン1の場合 半日以内で83.9% パターン2の場合 半日以内で66.7% 表 2-8 累積被害の変化率(金融・保険業の例) 全体(N=66) パターン1(依存度高) (N=31) パターン2(依存度中) (N=30) パターン3(依存度低) (N=5) 多少変化す 若干変化す かなり変化 相当変化す る(±25%未 る(±25∼ する(±50 る(±75%以 平均 50%未満) ∼75%未満) 上) 満) 19.7 41.0 21.3 18.0 − 22.6 19.4 29.0 29.0 53.6 16.7 63.3 13.3 6.7 40.0 0.0 0.0 0.0 0.0 − 35 例) 金融・保険業の場合、 累積被害の変化のポイントを超える場合の変化率は、 パターン1の場合 53.6% パターン2の場合 40.0% (% 160 140 120 100 80 60 40 製造業 金融・保険業 20 0 1 3 図 2-9 5 7 73∼ (時間) 9∼24 情報システム停止時の利益への影響度(時間毎) 2.3 シミュレーション結果 (1)対策の差異による被害状況の比較 東京で1時間の停電が発生した場合について、自家発電装置の設置率による被害状況の比較を行 った。自家発電装置設置率が、局舎・データセンター・企業とも 0%の場合の被害額は約 136 億円 だが、局舎:100%、データセンター:95%、企業:50%の場合の被害額は約 16 億円となった。 (自家発電装置設置率 局舎:0%、データセンター:0%、企業: (自家発電装置設置率 局舎:100%、データセンター:95%、企業: 0%) 50%) 図 2-10 東京の1時間の停電による被害状況 (左:対策無、右:対策有) (2)業種別の被害額の比較 東京で朝8時∼12時に停電が発生した場合の業種別被害額を見ると、製造業が最も広範囲に渡 り被害規模が大きい。サービス業は製造業より被害規模も小さい。金融・保険業は大都市圏を中心 に被害が発生する。 36 図 2-11 東京の8∼12時の停電による被害状況 (左:製造業、中:サービス業、右:金融・保険業) 2.4 今後の予定 現在のハザードマップをベースとして、以下の方向で開発を行う。 ・ モデルを用いた各事例の検討 - 首都圏直下型地震、2006 年 8 月 14 日東京大停電、新潟県中越地震等に関してケースス タディを行うことによる、シミュレーション結果の検証 ・ シミュレーションプログラムの改訂 - マクロモデルにおける通信部分の精緻化 - ミクロモデルの洪水または雷による影響の追加 - ミクロおよびマクロに係わる被害対策の有無によるシミュレーション部分の拡充 ・ コストモデルの改訂 - アンケートをベースに、線形的な被害モデルを改訂する ・ 対策に係わる提言のまとめ - シミュレーション結果をもとに、今後の情報システム事故への対策のポイントを挙げ、提 言としてまとめる 洪水に係るハザードマップと IT 障害のシミュレーションを行うにあたり、洪水に伴う情報シス テム障害の背景には、以下のような項目があると想定される。 37 ○集中豪雨の頻発化 図 2-12 集中豪雨の発生回数 ○河川整備の遅れ 中小河川では、改修必要区間(約 7 万 km)のうち、整備が完了している区間は 3 分の 1 程度、 下水道による浸水対策は対象区域の 5 割程度、都市内の中小河川の整備は 4 割程度しか達成してい ない。 資料:http://www.ktr.mlit.go.jp/kyoku/saigai/1022flood.htm 図 2-13 施設能力と実績流量の比較 ○データセンター側の要因 ・都心部におけるデータセンター不足 ・雑居ビルのデータセンター利用 ・データセンターの電源室が地下に設置 ・雑居ビルにおける止水板設置遅れの可能性(利便性維持のため) 防災ハザードマップは、各市区町村で作成することが普通であるが、荒川や多摩川の氾濫に関し ては、それぞれ国土交通省荒川下流河川事務所 および国土交通省京浜河川事務所 が洪水ハザード マップを作成している。 シミュレーションの方法(案) 38 1)データセンターの所在地データと上記ハザードマップのマッピング 2)浸水する箇所におけるデータセンターをピックアップ 3)浸水速度による、電源の機能低下をシミュレーション なお、データセンターの電源等に関しては、ヒアリング予定である。 シミュレーションのデータは下記を用いる。 江戸川右岸18.5Km破堤に 伴う浸水時系列シミュレーションデータ 図 2-14 シミュレーションデータ(例) シミュレーションは、以下の各時刻で計算を行う。 1. 各河川(多摩川,荒川,利根川(江戸川))の浸水時系列データ取得 2. 各市区町村における浸水面積の割合を算出 3. 各市区町村における浸水面積割合から,各市区町村のデータセンターにおける浸 水割合を計算 浸水割合=各市区町村ごとのデータセンター数×浸水面積割合 ただし、以下は調査 または設定可能とする 浸水深、データセンターのうちの雑居ビルの割合、浸水速度 雷ハザードマップは、以下の方向性で、今後、雷に係る IT 障害が増加する可能性があることを シミュレーションする 39 1)都道府県毎の年間落雷日数と対地雷撃密度 算出 近年の増加傾向も可能であれば加味 2)都道府県毎のデータセンターの述べ床面積 算出 公開データを基に算出 近年の増加傾向も加味 3)IT 障害の発生確率 19 件/12 年間 上記 1)と 2)の増加により、IT 障害の発生確率の増加分を算出 4)データセンターにおける雷による IT 障害は、一定時間データセンターが稼動しないことと定義と する 5)通信設備における雷による IT 障害により、0.5 のデータセンターが一定時間稼動しないと想定す る ・首都圏は、年間15日程度 http://www.sankosha.co.jp/thunder_n/jyokyo.html Ng: 対地雷撃密度Ng(年間1平方km当たりの落雷回数) λ : 緯度 図 2-15 また、 雷の対地雷撃密度 落雷により発生する通信機器の故障については、すでにさまざまな対策がとられている が、近年、通信速度の高度化を図るため、雷サージ耐力の低い素子を使用したネットワーク機器が 増加し、このため雷による故障が増加傾向にある。関東エリアの年間の落雷数は年度により異なる が、多い年で約 55 万回、少ない年でも約 20 万回である。また落雷が多発する時期は 7 月から 9 月 である。電流は 20 ㎄から 30 ㎄がほとんどで、なかには 100 ㎄を超えるものもある。近年の雷によ る被害実態を明確にするため、1992 年度から 2001 年度に関東エリア(東京都、神奈川県、埼玉県、 栃木県、群馬県)で実態調査を行い、雷害故障の内訳を装置別に調べた結果を図に示す。これによ ると、宅内系装置の故障(58%)と、アクセス系装置の故障(40%)で 98%を占めている。ここ で宅内系装置には一般電話、ファックス、モデムなどの端末機器が一方、アクセス系装置には架空 線、保安器、引込み線が含まれている。 雷の被害については、気象庁「落雷と被害実態等の情報収集調査結果報告書」によると、全国規 模で約 660 億円以上(総数サンプル 780 サンプル)であり、被害額より補修費が高額な場合もある、 逸失利益までは推定が難しい、データ消失等は信用問題で公表されにくい、といった点が指摘され ている。 40 表 2-9 業種 物理的被害(万円) 雷の被害概要 補修費(万円) 合計(万円) 合計(万円 ) 被害構成比(%) 295,789 12,740 308,526 4.9 工場 3,433,612 470,842 3,904,454 61.9 病院 55,699 9,443 65,142 1.0 学校 65,980 3,401 69,381 1.1 テレビ・ラジオ局 18,820 323 19,143 0.3 CATV 29,123 15,941 45,064 0.7 道路・河川 17,267 352 17,619 0.3 オフィス 9,765 2,133 11,868 0.2 地方自治体 4,2347 3,793 46,140 0.7 風力発電所 2,531 296 2,827 0.0 ⅰDC 6,591 1,976 11,567 0.0 私鉄 6,142 13,121 19,263 0.3 警察 JR 4,573 59,504 64,007 1.0 127,149 12,603 139,752 2.2 電力会社 15,126 306,412 一般住宅 1,256,315 合計 5,389,826 通信事業者 912,880 321,538 5.1 1,256,315 19.9 6,302,706 100 遺失金額(万円) 302,120 302,120 資料:気象庁「落雷と被害実態等の情報収集調査結果報告書」 下記に、全国の主な雷被害について整理する。 表 2-10 受障年月 全国の主な雷被害 被害施設所在地 1994.9.9 栃木県 宇都宮市 1994.11.18 福岡県 夜須町 1995.8.21 埼玉県 加須市 1996.7.28 大分県 中津市 1997.3.8 秋田県 由利郡 1997.9.3 山形県 飽海郡 1999.8.13 宮城県 仙台市 角田市 伊具郡 1999.9.14 三重県 尾鷲市 1999.10.28 宮城県 牡鹿郡 1999.11.8 富山県 西砺波郡 砺波市 被害概要 NTT 宇都宮支店によると、大田原、黒磯、矢板の各市とその周辺の約 150 世 帯で、落雷のため電話が不通になるなどの被害がでた。 NTT 久留米支店によると、18 日午前 3 時 10 分ごろ、福岡県夜須町松延の夜 須交換局(無人)で落雷によると思われる障害が発生。同局を経由している 町内の 4,573 回線で、市外通話ができなくなった。 21 日夜、落雷を伴う大雨が埼玉県北部を中心に降った。加須署では、午後 7 時半ごろ、落雷で電話交換機が故障。午後 10 時 20 分に復旧するまで、外か らの電話が受けられなかった。 大分県中津市の中津競馬場内にある投票券発売コンピューターに落雷によ る異常電流が流れ、端末機の基盤の一部が焼けたため 29 日に予定していた 全 10 レースの開催を中止した。 仁賀町の警察無線用電柱の変圧器に落雷し、無線の使用が一時不能になっ た。 八幡町では、落雷の影響で町役場の電話交換機が故障し、ほぼ午前中いっぱ い、役場への電話がつながらなくなった。町内の一般家庭の電話も一時不通 になった。 白石市 柴田郡 登米郡 仙台市宮城野区五輪 2 丁目の宮城野区役所の避雷針に雷が落ち、衝撃で市役 所の情報システム課と電話回線で結ばれているオンラインの一部が使えな くなった。 14 日午後 2 時ごろ、尾鷲市中央町の NHK 尾鷲ラジオ中継所に落雷があり放 送機が故障した。NHK 津放送局によると、この影響で約 1 万 6,700 世帯でラ ジオ第一放送が受信できなくなった。 NTT 東日本によると、28 日午前 1 時半ごろ、網地島の島内の電話 378 回線が すべて不通になった。同島にある無人交換局のヒューズが飛んでおり、NTT は落雷が原因と見ている。 NTT 西日本によると、福光町と砺波市の 2 ヶ所の架空ケーブルに落雷が直撃 したため、福光町岩木、砺波市高波地区の計 42 戸で最大 6 時間ほど電話が 不通になった。 41 2000.5.3 岩手県 盛岡市 2000.5.3 岩手県 盛岡市 2000.8.9 2000.8.9 2000.8.9 石川県 珠洲郡 石川県 珠洲郡 石川県 鳳至郡 2000.11.2 秋田県 由利郡 2001.7.6 鹿児島県 熊毛郡 2001.8.6 京都府 京都市 2002.8.2 2002.11.12 東京都 世田谷区 秋田県 秋田市 鹿角市 2003.9.3 岡山県 赤磐郡 2003.9.10 山口県 下関市 2004.710 奈良県 奈良市 盛岡市内丸の岩手医大付属病院では、落雷によって院内の電話交換機の一部 が故障し、内線・外線ともに不通になった。 岩手ケーブルテレビジョンでも 3 日未明から、盛岡市内の約 100 世帯で画像 が受信できなくなり、問い合わせが相次いだ。同社では、落雷により、許容 量を超える電流が流れ、ケーブルを各家庭へ枝分かれさせる機器の一部が焼 けたことが原因ではないかと見ている。 落雷によって内浦町白丸の町立白丸小学校の校舎外壁がはがれ、電話設備が 故障した。 内浦町越坂の海洋ふれあいセンターで屋根のかわらが破損、電気設備や電話 機が故障したりするなどの被害が出た。 能都町では落雷で宇加塚町地区約 40 世帯が約 5 時間にわたり ケーブルテレビの受像ができなくなった。 鳥海町上笹子の矢島地区消防組合消防署鳥海署わきにある同分署の無線ア ンテナ(鉄塔含め高さ 26m)に雷が落ちた。この衝撃で分署の分電盤や無 線機、サイレンほか給湯器やテレビなどが壊れた。周囲の民家約 20 戸の停 電、電話が不通となる被害があった。 国産大型ロケットH2Aを初めて打ち上げる種子島宇宙センターが前代未聞 の激しい落雷に見舞われた。少なくとも 5 回ほど続けて落雷。燃料漏れ検知 器や燃料タンクの圧力警報装置、マイクロ波通信設備などが故障した。 山科区内では、落雷で交差点 7 ヶ所の信号機が作動しなくなり、警察官が交 通整理にあたった。NTT京都支店によると、京都、亀岡市内では落雷が原 因と見られる電話の不通や故障の問い合わせが 35 件あった。 世田谷のⅰモードセンターへの落雷でⅰモード障害が 1,093 万台に及んだ。 落雷で、秋田市と鹿角市の計 1,100 世帯が一時停電。秋田市内のタクシー会 社の全地球測位システム(GPS)などに障害も出た。 午後 3 時ごろ、山陽自動車道岡山∼山陽間にある牟佐、馬屋の両トンネル付 近で落雷があり、入口の計 4 ヶ所にある電光掲示板に『進入禁止火災』と誤 表示され、約 20 分間にわたり通行できなくなった。最長で約 1.7km の渋滞 になった。 下関市役所で電話交換機が激しい雷で故障したと見られ、内線と外線の計 210 回戦が 9 日午後 10 時半ごろ不通になった。うち 40 回戦の復旧は、部品 調達のため 11 日にずれ込むという。LAN は庁舎の各階にある中継器のうち、 保健所棟など 3 ヶ所で故障。17 の課や分室でネットワークサービスが利用 できなくなった。10 日午前 10 時半ごろにはほぼ復旧した。 10 日午前 7 時 40 分、奈良市矢田原町の県防災航空隊事務所に落雷があり、 無線機 1 台が故障した。 資料:雷保護システム普及協会「IT 社会と雷保護システム カミナリの脅威からどう守るか」 42 3 多重リスクコミュニケータ 3.1 はじめに インターネットが社会資本の一部として認知され,社会システムとして普及するにつれ,個人 情報の漏洩やコンピュータシステムへの不正侵入やコンピュータウィルスによる被害が大きな課 題になってきている。情報システムが普及し,より便利により快適になっていきた一方で,コン ピュータで情報を取り扱う際には,様々なリスクが発生する。そのリスクをいかに定量化し,効 果的なリスク対策を行う事が重要な課題となってきている。 個人情報漏洩問題を例に挙げると,個人のプライバシーの保護にはセキュリティが有効手段で はあるが,あるセキュリティの確保が他でのプライバシーの侵害要因になるといった可能性も考 えられる。このように,セキュリティにとってプライバシーは必ずしも有効・不可欠なものであ るとは限らない。そういったセキュリティに対するリスクだけでなく,プライバシーや利便性, さらにはコストといった複雑に絡みあう要素,対立する利害関係を考慮してリスク対策を検討し なければならない。 利害関係が相反する者同士が両方とも最大の効果を得て,最大のリスク対策を行うためには, 単純にリスクを分析するだけではなく,直接または間接的に関係する人々が積極的な意見交換を 行い,双方が合意を持って対策を施すことが重要である。しかしながら,現実問題として,コミ ュニケーションを活発に行いながらリスクを軽減するための最大の解を得る事は容易ではない。 本 WG では,こうしたリスク対策の問題を解決するために,リスク対策のガイドライン作成に おいて様々な要因を考慮したリスク分析を行い,関与者とのコミュニケーションを図りながら問 題を解決していくことを支援する「多重リスクコミュニケータ(Multiplex Risk Communicator: 以下,MRC とする)」の開発を行っている。 ここでは,MRC の開発構想と 2005 年度までの実施事項を述べた後,2006 年度に実施した研 究結果を報告する。 3.2 MRC の開発構想と 2005 年度までの実施事項 3.2.1 MRC と MRC 利用者の相互関係 MRC は,リスクコミュニケーションを図りながら問題を解決することを目的としており,図 3.2-1 に示すような問題を解決するため開発したものである。 43 1.多くのリスク(セキュリティリスク、プ ライバシーリスクなど)が存在=>リス ク間の対立を回避する手段が必要 2.多くの関与者(経営者・顧客・従業 員など)が存在=>多くの関与者間の 合意が得られるコミュニケーション手 段が必要 多重リスクコミュ ニケータ(MRC) の開発 3.ひとつの対策だけでは目的の達成 が困難=>対策の最適な組み合わせ を求めるシステムが必要 図 3.2-1 MRC 開発の背景と特徴 MRC の利用者は,図 3.2-2 に示すような4つに分類することができる。 関与者 専門家 データ入力・分析 妥当性検証 意思伝達 MRC データ確認 ・調査 依頼 管理・運用 議事・進行 確認・参考 ファシリテータ 依頼 意思決定者 図 3.2-2 MRC と利用者の関係 3.2.2 MRC によるリスクコミュニケーション過程 MRC を利用したリスクコミュニケーションは,図 3.2-3 に示すように,9 つの手順から 成る。 44 図 3.2-3 リスクコミュニケーションの手順 (手順1) リスクコミュニケーションの対象の決定と分析(意思決定者・専門家) (手順2)リスクの関与者の決定(意思決定者・専門家) (手順3)目的関数・制約条件の項目の決定(意思決定者・専門家) 設定結果を専門家が MRC に入力する。ここで目的関数は,通常,ソーシャルベネフィットの 最大化や,ソーシャルコストの最小化を採用し,制約条件は各関与者の不利益を採用する。 (手順4)各種対策案の選出(意思決定者・専門家) 問題を解決するのに必要と考えられる対策案を選出する。 (手順5)各種対策案の各種パラメータの設定(専門家) 対策案ごとにリスクに対する低減効果,利便性低過度などを設定する。また,リスクの発生 確率等については,MRC の FTA ツールを利用して計算する。ここで,FTA(Fault Tree Analysis) とは故障・事故の分析手法で故障の木解析ともいう。発生頻度の分析のために,原因の潜在危 険を論理的にたどり,それぞれの発生確率を加算する評価手法である。これらの結果を,パラ メータとして MRC に設定する。 (手順6)定式化を完了させて制約条件値を設定し,MRCを用いて最適組み合わせを求解(専門家) 必要ならば,専門家がシミュレーションを実行する。最適組み合わせには総当り法を採用し ている。 (手順7)求解結果を,専門家がMRCを用いて関与者に表示(専門家・関与者) (手順8)MRCを用いて,結果の検証を行うとともに,ファシリテータに対し各種の意見を述べる (関与者・ファシリテータ) (手順9)ファシリテータは,意思決定者や専門家とネゴシエーションを行い,意思決定者ならび に関与者の合意が得られれば終了(全員)そうでなければ,手順3に戻り再度実行する。 上記のうち,手順5から9が,MRC プログラムを用いて行うものであり,手順8と9が狭義のリ 45 スクコミュニケーションの過程である。 3.2.3 2005 年度までの実施事項 2005 年度までに上記したような MRC の機能や利用方法を詰めると共に,Excel をベースとする 簡易プログラムや,プロトプログラムを開発し,図 3.2-4 に示すように個人情報漏洩対策や,不正 コピー防止対策や不正コピー防止対策などに適用してきた。そして,ロールプレーヤを用いた実験 により,本方式の基本的有効性が確認できている。 研究対象と2005年度の実施予定 意見の対立 <マイルストーンを置きながら研究実施> 大 社会的シス テム プロトプログラム の開発 不正コピー 防止対策 簡易プログラム の開発 個人情報 漏洩対策 電子署名付 文書の長期 利用 2005年度 2005年度 2003年ー 2003年ー 2004年度 2004年度 小 専門家の判断 2006年度ー 2006年度ー 2007年度 2007年度 合意形成可能性・ 合意形成効率 の向上 効率の向上 ロールプレイ ヤーによる実験 実際の関与者 による実験 関与者の扱い 図 3.2-4 25 研究対象と 2005 年度の実施予定 3.3 MRC プログラム(バージョン 1)の開発 3.3.1 MRC プログラム概要 MRC を効率よく実施するため MRC プログラム(バージョン 1)を開発した。このプログラムは, 専門家が対象問題を分析するために利用することを主たる目的としている。このプログラムにより, 手順5から手順9までの作業を一通り行うことができる。 ただし,手順8,9に対してはさらにプログラムの拡張が必要であり,2007 年度に実施の予定で ある(詳しくは 3.5 参照). 図 3.3-1 にプログラム動かすためのシステムの物理構成を示す. 46 図 3.3-1 MRC プログラムのためのシステム構成 ここでは,①サーバ,②専門家向け PC,③一般関与者向け PC や,④ファシリテータ向け PC か らなる。②専門家向け PC は,専門家がリスク解析などを行うためのもので,プロジェクト管理メ ニュー,専門家メニュー,リスク関与者メニューと共に専門家分析クライアントの機能を持つ。③ 一般関与者向け PC は,リスク関与者メニューを,④ファシリテータ向け PC は,プロジェクト管 理メニューとリスク関与者メニューを持つ。これらは,Web アプリ上の機能として実装する。した がって各 PC は,最低限 Web Browser が搭載されている必要がある。 専門家分析クライアントは Java によるスタンドアロンのアプリケーションとして実装し,また 内部的に Mathematica(数値計算と数式処理のエンジン,グラフィックスのシステム,プログラミ ング言語,ドキュメントシステム,他のアプリケーションとの高度な接続性をシームレスに統合し たソフトウェア)の機能をコールするので,専門家が利用する PC には,Java の実行環境と Mathematica がインストールされている必要がある。また①サーバマシンには,PHP/Xoops サー バ(XOOPS とは,PHP 言語を用いたコミュニティサイト構築用ソフトウェア),MySQL データ ベースサーバ,Tomcat アプリケーションサーバ,Web Mathematica(Web 上で対話型の高度な計 算を可能にするアプリケーション。ウェブ・ブラウザから計算し,その結果を視覚化するウェブサ イトを構築することが出来る)をそれぞれ搭載している。 各 PC において実行されるメニューを図 3.3-2 に示す。 47 図 3.3-2 各メニューの機能 各メニューの機能は以下のとおりである。 (1)プロジェクト管理メニュー ファシリテータ,専門家が利用する プロジェクトの登録・管理,MRC 手順のナビゲート,MRC の経緯記録を行う。 (2)専門家メニュー 専門家が利用する 特定のプロジェクトについて,一般関与者に提供するコンテンツを作成・登録する。 (3)専門家分析クライアント 専門家が利用する MRC システムのサブシステムとして,特定のプロジェクトについて以下の作業を行う 定式化・定量化 対策案設定 リスク発生確率算出(FTA) 対策案の最適組み合わせ算出 定式化∼組合せ設定の条件ごと分析ケースという単位で管理する。 (4)リスク関与者メニュー ファシリテータ,専門家,一般関与者(意思決定者含む)が利用する リスク関与者・意思決定権限者が,プロジェクト管理,専門家クライアントで作成したコ ンテンツを閲覧する。 制約条件を変えて,代替案を検討する(リスク分析体験)。 48 掲示板による情報共有を行う。 関与者同士のコミュニケーションに関しては 3.5 で述べる。 以下では,専門家クライアントと,リスク管理者メニューについて説明を追加する。 3.3.2 専門家分析クライアントの構成 専門家分析クライアントのシステム構成を以下に示す。 図 3.3-3 専門家分析クライアントのシステム構成 ユーザ認証は専門家メニューを使ってサーバ側で行う。 同じく管理クライアントでプロジェクトをひとつ選択する。 Mathematica のノートブックファイル(Java ブリッジノートブックと呼ぶ)をダウンロードす る。 このノートブックには,認証情報・プロジェクトの選択情報が記載されており、ダウンロード と同時に Mathematica が起動され,さらに Java のアプリケーションとして専門家分析クライ アントプログラムが立ち上がる。 こ れ 以 降 は Java の ウ イ ン ド ウ を メ イ ン 画 面 と し て 手 順 が 進 む 。 た だ し , 必 要 に 応 じ て Mathematica のウインドウがダイアログとして開く。 3.3.3 専門家分析クライアント機能 専門家分析クライアントメニューは,以下に示す 14 の機能からなる。 (1) 初期設定機能 「プロジェクト番号(半角数値 5 桁)」をキーとし,DB から検索実行し,自動的に初期画面のタイ トル,概要,参画者を表示する。絞り込みでケース番号を選択後,現状の FT,対策案,定式化, 最適組み合わせをセットする。処理はボタンを押下により進む。処理中は点滅する。入力・結果 はそれぞれのサブ画面より行う。 49 図 3.3-4 初期画面の一例 (2) 目的関数・制約条件設定機能 目的関数・制約条件を列挙し,それぞれを文字列として記述する機能。尚,詳細な定式化は対 策案の列挙,FT による発生確率の定式化の後に行う。 制約条件数は最大 15 項目まで設定することが出来る。 (3) 現状FT機能 現状 FT とは将来の対策案を含まないリスクの現況を示す FT である。後述の対策 FT は現状 FT からスタートして対策案により変化が生じた後の FT を指す。「リスク要因コード+リスク要 因名称」をキーとして対策内容,確率変数式の現状 FT 図を出力する。現状 FT 図は参照あるいは 新規現状 FT 作成機能とする。「終了ボタン」押下後,「初期メニュー」に戻り,次のステップへ進 む。 (4) 対策案機能 初期表示された現状対策案の変更及び新たな対策,リスク要因を追加する。「終了ボタン」押下 後,自動的に対策案管理テーブルを更新し,「初期メニュー」に戻る。 現バージョンでは対策案は最大 15 まで扱うことが出来る。 (5) 対策案 FT 機能 対策案 FT 機能は同様に「リスク要因コード+リスク要因名称」をキーとし検索実行し,現状の 対策内容,確率変数式の FT 図を表示する。対策案を鑑み確率変数式のノードの追加,同一階層 の構造転移,クリッピング,サブツリー展開,ノードの削除を実施し,対策後の FT 図を完成す る。「リスク要因名称」, 「コメント」を入力し,新規の対策内容,確率変数のリスク内容を作成す る。「終了ボタン」押下後,自動的にリスク管理テーブルを更新し,「初期メニュー」に戻る。 50 図 3.3-5 対策案を含むフォルトツリー画面の一例 (6) 目的関数・制約条件定式化機能 対策案,対策案 FT 検討を反映して,目的関数・制約条件を数式として確定する。 制約条件・目的関数共定型入力・自由入力の両方共可能である。入力項目は定義入力領域と式 入力領域がある。式入力ではボタン入力により自由入力が可能である。式入力ボタン押下により サブ画面と Mathematica のパレットが自動的に起動し,目的関数・制約条件を入力する。「終了 ボタン」押下後,「初期メニュー」に戻り,自動的に定式化管理テーブルを更新し,次のステップへ 進む。 (7) 入力チェック機能 入力された変数,リスク要因,制約条件,目的関数の相関チェックを行う。誤った入力が存在 する場合はエラーが発生する。 (8) 求解・最適化実行機能 入力チェック機能での相関チェックが OK であれば「求解・最適化実行機能」を実行する。 (9) 最適組み合わせ機能 第1の最適解∼最大第 100 迄の最適解を算出し,レーダチャートで表示する。またリスク要因 や制約条件のうち2軸を指定した離散図へ出力する。 51 図 3.3-6 レーダチャート・離散図 (10) 分析コンテンツ自動作成機能 ケース終了と同時に,固定の分析コンテンツを自動的に作成する。一般関与者の閲覧に関して は専門家が専門家分析コンテンツ管理画面で「表示」をチェックしたコンテンツのみ閲覧可能とす る。 (11) 新規のケースのとき 新規ケース入力画面からコピー元のケース番号を選択し自動採番されたケース番号の全テーブ ルへプロジェクト番号とケース番号をキーとしコピーする。Default もしくは指定しないときは ケース番号=00001 の全テーブル情報をコピーする。ケース番号 00001 情報は新規に作成する。 (12) ログ出力 プロジェクト番号とケース番号をキーとしパラメータ条件(対策案条件,FT 対策条件),条件 (制約条件・目的関数),指定分のみ最適化実行結果を log4J を使い出力する。 (13) ケースの排他処理 専門家がケースを指定したとき,ケーステーブルのステータス情報が 1 となり,ケース終了 タイミングでステータス情報は 0 に戻る。ステータス情報が 専門家が使用することが出来ずステータス情報 52 0 1 のときはこのケースは他の のみ使用可能とする。 (14) 終了時の処理 終了時はプロジェクトテーブルの更新年月日し,上記(10)分析コンテンツ自動作成し終了する。 3.3.4 リスク関与者メニュー 専門家によって提示された最適化結果を閲覧することが出来る。利用者は提示された内容に対し て,結果がもたらされた背景となるフォルトツリーやパラメータの値を見たり,制約条件の変更を 変化させた場合の最適化結果を見ることができる。 この部分については,2007 年度で開発予定の項目を含め 3.5 で詳しく記述する。 3.4 MRCの適用結果 3.4.1 適用結果の概要 2005 年度では,個人情報漏洩問題,不正コピーによる著作権侵害問題,金融機関の個人認証シ ステムと,暗号の危殆化対策を取り上げた。 MRCの適用に関する 2006 年度までの進捗状況と 2007 年度の予定は,下表に示すとおりで ある。適用においては,EXCELをベースにした簡易MRCプログラムと,MRCプログラム を利用したものなどがある。 表 3.4-1 目的 適用事例 関与者 (対策案数)実施年度 使用した 意志決 その他 主な手法 定実験 <利用プログラム> の段階 個人情報漏洩 個人情報漏洩対策の費用 経営者 Fault 対策へのMR 対効果及びそのリスクに 顧客 ee分析法 プレー は具体 Cの試適用 従業員 (FTA) ヤによ 的な企 組み合わせに関する合意 最適化技 る実験 業を対 を図る。 法 第1次 象とし 1組 て実施 ついて定量化を図り最適 (第1次) Tr ロール 第3次 (変数の数:8)2004年 第2次 <簡易MRCプログラム> 3組 (第2次) 第3次 (変数の数:12)2005年 実施 <簡易MRCプログラム> 準備中 53 中 (第3次) (変数の数:15)2006年 <MRC(バージョン1) > 2007年度は,具体的企業 と世田谷市役所のシステ ムにおける個人情報漏洩 対策を取り上げる予定。 <MRCプログラムバー ジョン1,2> 不正コピーに 不正コピーによる著作権 <第1次> Fault ロール 不正コ よる著作権侵 侵害が,音楽業界,音楽に CD業者 Tree分析 害問題への試 関連する流通業界,消費者 不正コピ 法(FTA) ヤによ を関与 適用 不正コピ プレー ピー者 といった社会全体にどの ー者 ような影響を与えるかに <第2次> ー者のシ : ついて分析を行うととも CD事業者 ミュレー 未実施 を聞く に,最適な不正コピー対策 海賊版CD ション付 のは適 の組合せを求める。 事業者 最適化技 当でな (第1次) 一般消費 法 いので <簡易MRCプログラム 者 る実験 者とし て意見 ,行動 +シミュレータ> をシミ 変数の数:5(2005年度) ュレー CD事業者のリスク要因 タで模 数23、それに対して候補 擬 となる不正コピー対策数 5から最適組み合わせを 選定 (第2次) <簡易MRCプログラム +時系列シミュレータ> 変数の数:14(2006年度) CD事業者のリスク要因 数12、それに対して候補 となる不正コピー対策数 7、 海賊版CD事業者のリス ク要因数25、それに対し て候補となる海賊側の対 抗手段数7、 54 各々の立場で不正コピー 対策、対抗手段の最適組み 合わせを選定 暗号の危殆化 公開鍵暗号などが危殆化 暗号専門 Event ロール 対策に 時の対策への した場合に,署名付きデ 家 Tree分析 プレー 時間推 MRCの適用 ジタル文書に及ぼす影響 法律専門 法(ETA) ヤによ 移を伴 を十分小さくするための 家 最適化技 る実験 うため 対策案の組み合わせに対 保険の専 法 第一次 ETAを する合意の形成を行う。 門家 5名の 2006年度は,電子借用書 などが検 専門家 への対策を対象に実施。 討に参加 がパラ 2007年度は,具体的に電 し,パラメ メータ 子公証システムに適用す ータに関 の値を る予定である。 する合意 決定 (第一次) を形成 2006年度 (変数の数:15) <簡易MRCプログラム> (第2次) 2007年度 <MRCプログラム(バー ジョン1,2)> J−SOX法 JSOX法や新会社法などの 未定 未定 など内部統制 誕生により内部統制が強 ロール プレー 整備への 化される中で,企業がど (内部統 ヤによ MRCの適用 のような制度的・技術的 制のため る実験 対策をとっていくのがよ のリスク いかの合意を形成する。 コントロ 2006年度は内部統制シス ール手法 テムの調査を行い,MRCの Fault 適用方法を固めた段階。 Tree分析 2007年度は大学の研究室 法(ETA) の会計管理システムを対 最適化技 象に実適用予定 法 あたりか) 55 未実施 採用 1)個人情報漏洩への試適用 ある企業において所有する個人情報を保護するための対策決定に関する問題を扱う。ここでは, 経営者,顧客,従業員を関与者とし,個人情報の漏洩リスク,社員のプライバシーや作業の利便性 の問題という観点から最適な対策組合せを求めている。リスク分析手法としてFTA(Fault Tree Analysis)を用いた。2004年度では,事件発生後の対策案だけを対象としたが,2005年度は,事件 発生前の対策も対象とするとともに,3組のロールプレーヤによる意思決定実験を実施した。この 結果,議論を通じて合意に達した組が1つ,あまり対象を理解しないまま合意した組が1つ,合意 に達し得なかった組が1つという結果になった。2006年度は実際の企業を対象とし,適用中であり, 2007年度に実適用を完了する予定である。 2)不正コピーによる著作権侵害問題への試適用 不正コピーによる著作権侵害が,音楽業界,音楽に関連する流通業界,消費者といった社会全体 にどのような影響を与えるかについて分析を行うとともに,最適な不正コピー対策の組合せを求め る。研究は2つのフェーズに分けて進めた。第 1 フェーズでは,CD 事業者と不正コピー者の2プ レーヤモデルとした。不正コピー事象を FTA で詳細化し,不正コピー者の行動と関連付けた。この FTA に基づいて,CD 事業者の利益を定式化し,それを評価関数として,最適な不正コピー対策の 組み合わせを求めた。しかしながら,不正コピー者には,海賊版 CD 事業者と一般消費者が存在す る。この 2 種類の不正コピー者の利害は必ずしも一致しない。また,海賊版 CD 事業者は,正規事 業者と同様に,利益追求という明確な意図を沿って計画的に行動するが,一般消費者は必ずしも計 画的な行動はしない。そこで,第 2 フェーズでは不正コピー者を2つに分解し,CD 事業者,海賊 版 CD 業者,消費者の3プレーヤモデルとした。海賊版 CD 業者については,CD 事業者と同様に, 利益を定式化し,それを評価関数として行動をシミュレーションした。消費者は,CD 事業者と海 賊版 CD 業者の両方に対して,購入行動か不正コピー行動を取る。これらの海賊版 CD 業者および 消費者の行動予測に基づいて,CD 事業者が利益最大化となるように不正コピー対策の組み合わせ を求める。この方式により,時系列的な利益予測および不正コピー対策の変更が可能となった。 3) 暗号の危殆化時の対策への MRC の適用 公開鍵暗号などが危殆化した場合に,署名付きデジタル文書に及ぼす影響を十分小さくするた めの対策案の組み合わせに対する合意の形成を行うことを目的とするものである。2006年度は, 電子借用書への対策を対象に実施した。この結果は,3.4.2で詳しく説明する。 なお,2007年度は,具体的に電子公証システムに適用する予定である。 4) J−SOX法など内部統制整備へのMRCの適用 J-SOX法や新会社法などの誕生により内部統制が強化される中で,企業がどのような制度的・技 術的対策をとっていくのがよいかの合意を形成することを目的とする。2006年度は内部統制シス テムの調査を行い,MRCの適用方法を固めた。2007年度は大学の研究室の会計管理システムを対象 に実適用の予定である。 56 3.4.2 公開鍵暗号危殆化問題への MRC の適用 <はじめに> インターネットの発展に伴い,行政と国民・事業者との間をオンライン接続し住民サービスを行 う電子政府や,ネットワークを利用して企業間の契約や決済などを行う電子商取引などが普及しつ つある。これらを安全かつ安心して利用するための基盤技術としてデジタル署名がある。デジタル 署名は公開鍵暗号の安全性に強く依存しており,公開鍵暗号が安全であれば署名者以外は,署名用 秘密鍵を知り得ないという前提の下に利用されている。 しかし,コンピュータの演算能力の向上や新しい攻撃手法の発見などにより,公開鍵暗号が安全 であるという前提が崩壊してしまう危険性を無視することはできず,署名用秘密鍵が知られてしま う可能性がある。署名用秘密鍵が知られてしまえば,誰もが,その人に成りすまし,署名付き文書 を偽造することができるようになる。 ここでは,公開鍵暗号の危殆化が近く生じることが明確になった場合に,既存の署名付き文書の 証拠性を確保するために必要な対策の最適な組合せを費用とリスク低減効果のバランスを考慮して 求めるためMRCを用い,代表的ケースにおける最適な対策案を示し,今後,社会にとって必要な対応 を明確にする。今回は,合意の形成そのものではなく,パラメータの決定などに関与者(ここでは 種々の専門家)の意見を導入している。 <暗号危殆化を想定したリスク分析> (1) 最適な対策案を求める手順 公開鍵暗号の危殆化が発生した際,デジタル署名付き文書へのリスクを軽減するような最適 な対策案を求める手順を以下に示す(図 3.4-1 参照)。 少数の解析者により,上記の(1)−(6)が一応の結果が得られたら,その結果をいろいろな専 門家に見せつつ,合意が得られるまで一緒にこの過程を繰り返す。 57 リスク提起 (1)対象の決定と予備的検討 (2)イベントツリー分析によるリスク分析 (3)最適化問題としての定式化 (4)パラメータ値の決定 (5)最適解の求解 (6)結果の分析 NO 合意が得られたか YES END 図 3.4-1 MRCの適用手順 (2)対象の決定と予備的検討 (2−1)危殆化における対策の種類 危殆化における対策は図 3.4-2 に示すように,大きく二つの対策に分類することができる。 まずケース①は,危殆化は徐々に進行するという前提の下,既に存在するデジタル署名付き文 書に対して対策を施すものである。ケース②は,危殆化における前提は同じなのだが,危殆化 を発見した後,新たに生成するデジタル署名に対する対策である。ここでは従来ほとんど検討 が行われていなかった①を対象とする。 危殆化確認後、既に存在する デジタル署名付文書 危殆化確認後、生成された デジタル署名付文書 事前 事後 署名 署名 ケース① ケース② 危殆化 確認 図 3.4-2 危殆化時のデジタル署名における対策の種類 適用モデルとしては,電子借用書を利用したとき,返済の途中で危殆化してしまうような場 58 合についてリスク分析を行う。電子借用書を適用モデルとして採用した理由としては,比較的 利用期間が長く,損害を,直接,損害コストとして算出できるためである。危殆化の影響を最 も受けるパターンとしては,ローンなどを利用して長期的に借金を返すような場合が考えられ る。 分析の前提として,図 3.4-3 に示すように公開鍵暗号またはハッシュ関数の危殆化を確認し た際に,十分に既存の署名に対して対策がとれる段階で危殆化を発見するものとし,かつ危殆 化が発生しても十分に既存の署名の証拠性を確保できる代替公開鍵暗号・代替ハッシュ関数が 存在するものとする。 事前 事後 危殆化 発生 >> >> 時間 十分に対策がとれる段階で危殆化発見 T-n 十分に対策を とりにくい段階 で危殆化発見 T-1 図 3.4-3 T+n T 危殆化発見パターン (2−2)分析の前提と危殆化確認後既存署名に対する対策の要件 ①暗号危殆化情報の確認機構 危殆化情報を確認する機関を設置し,公開鍵暗号の危殆化の監視を行う。現在,CRYPTREC がこの役 割を担っている[1]。CRYPTREC とは,総務省および経済産業省が共同で開催している暗号技術検討 会と,情報通信研究機構(NICT)および情報処理推進機構(IPA)が共同で開催する暗号技術監視委員会 および暗号モジュール委員会による暗号技術評価プロジェクトである。 ②暗号危殆化情報の伝達機構 CRYPTREC の監視により公開鍵暗号の危殆化を確認した後,既にデジタル署名を行っているユーザや 署名付き文書を持っている人に対して,危殆化情報の伝達を行う。この点の検討が不十分であり, IPA によって,検討結果が示され始めた段階である。 ③再処理を試みる 危殆化時対応ポリシーを前もって決めておき,危殆化の発生が具体的に予期された場合に危殆化時 対応ポリシーを実施する。ユーザが危殆化情報を確認した際,署名の再処理におけるポリシーを危 殆化時対応ポリシーとし,このポリシーに従って署名の再処理(例えば,署名付き文書の再作成) を行う。現在は,このポリシーの検討がなされてないのが現状である。このポリシーは,署名者と 著名つき文書を持っている人たちに対し強制力を持つ必要がある。 ④既存の署名に対する再処理 署名者と署名付き文書を持っている人の2者間で,その時点でも安全であると考えられる公開鍵暗 59 号を用いて署名付き文書を再作成したり,タイムスタンプを利用するなど特殊な署名方式を利用し, 既存の署名付き文書に対して安全性を確保するために第三者が追加署名生成処理を行う。これにつ いても検討がなされていない。 電子借用書や対策要件については,ほとんどがまだ実際に存在しないが,5 年後の社会状況を想 定し設定した。 (2−3) 想定環境 関与者 リスク分析を行う上での想定環境は,政府,企業,署名者,検証者の4つのエンティティから構 成されるものとする。各エンティティの役割・機能を以下に記述する。 I. 政府: 公開鍵暗号の危殆化が発生した際,危殆化発生を通達する。さらに,テレビ・新聞・ WEBなどのメディアを利用し,デジタル署名ユーザに対して危殆化を伝達する役割も担う。 II. 企業(認証局):公開鍵証明書の生成・検証用鍵ペアと証明書失効リスト(CRL) の生成・検証用 鍵ペアを保持し,証明書および CRL を発行する。さらに,公開鍵証明書を利用して いるユーザに対して危殆化の伝達を行う。 III. 署名者:CA から証明書の発行を受け,署名付き文書を生成する。必要に応じて,時刻認証 機関や保管機関を利用する。 IV.検証者:署名付き文書を入手し,デジタル署名の検証を行う。 (3)ETA を用いたリスク分析 本研究では,イベントツリー分析(ETA)を用いて既存の署名に対してリスク分析を行う。イ ベントツリー分析は,原因事象の発生後,しかるべき防護対策(対応策)が機能せず危険事象 にいたるという過程を分析し,各結節点に対処失敗確率を入れ危険事象の発生確率を定量的に 解析する分析手法である。 イベントツリーのヘッディング項目の部分に適用すると図 3.4-4 のようなイベントツリーが完 成する。 (4)組合せ最適化としての定式化 本稿では,様々な具体的対策案の組合せが存在する中で,対策コストを制約条件に置いたと き,トータルコストが最小になるという目的関数の下で最適解を導き出す。 策方法の採用方法にとしては 0-1 変数を用いて表現する。対策方法を採用する時には変数 X に 1 を代入し,採用しない時には,X に 0 を代入する。目的関数は,シーケンスごとの損害コ ストの和と各関与者の対策コストを加算したものをトータルコストとし,トータルコストが最 小になるものを目的関数とする。それを定式化したものが式(5)となる。制約条件を政府の対策 コスト,企業の対策コスト,署名者の対策コスト,検証者の対策コストとし,それらを定式化 したものが式(6)(7),(8),(9)である。 60 Minimizati on on : Ji I L I Ji ∑ Rl + ∑ ∑ C gij ⋅ X ij + ∑ ∑ C cij ⋅ X ij + l =1 I i =1 j =1 i =1 j =1 Ji I Ji ∑ ∑ C sij ⋅ X ij + ∑ ∑ C vij ⋅ X ij・・・( 5 ) i =1 j =1 ( X ij = 0 ,1 i =1 j =1 Ji ∑ X ij = 1 ( i = 1 ,2 ,..., n )) j =1 Subject to : I Ji ∑ ∑ C gij ⋅ X ij ≤ C g・・・( 6 ) i =1 j =1 I Ji ∑ ∑ C cij ⋅ X ij ≤ C c・・・( 7 ) i =1 j =1 I Ji ∑ ∑ C sij ⋅ X ij ≤ C s・・・( 8 ) i =1 j =1 I Ji ∑ ∑ C vij ⋅ X ij ≤ C v・・・( 9 ) i =1 j =1 Xij:対策方法を採用するかどうかを決定する変数 対策案i-jを採用するならXij=1,採用しないならXij=0. Cgij:対策方法i-jを採用した場合の政府の対策コスト, Ccij:対策方法i-jを採用した場合の企業の対策コスト, Csij:対策方法i-jを採用した場合の署名者の対策コスト, Cvij:対策方法i-jを採用した場合の政府の対策コスト, Cg:政府の対策コストにおける制約値, Cc:企業の対策コストにおける制約値, Cs:署名者の対策コストにおける制約値, Cv:検証者の対策コストにおける制約値, Ml:対策Xij採用時の影響度(コスト), Rl:対策方法Xijのシーケンスごとのリスク(ETAの各シーケンスごとの対処失敗確率Plと対策 Xij採用時の影響度Mlの積.Plは,ETAのシーケンスごとの発生確率). <パラメータの設定> (1)具体的対策案と対策コストにおけるパラメータの根拠 ここでは,具体的対策案を設定し,それらに対策コストと対処失敗確率を設定した。以下に, 対策コストと対処失敗確率の設定根拠を述べる。以下に記述する設定根拠は,暗号や,保険, 法律の専門家を交えた議論から決定したものである。表 3.4-2 に示すように,具体的対策案に 対策コストを設定した。これらは,いろいろな専門家が意見を出しながら,合意を形成してい った。 デジタル署名付き文書が改竄されたときの影響Mlのパラメータを設定する。2.3 節で示した影響 Mlは,総世帯数と電子借用書の普及率と一世帯当たりの負債現在高の積から算出した。デジタル署 名付き文書が改竄されたときの影響Mlとする。 (2)デジタル署名付き文書の影響Ml Ml = 4722 万件×524 万円×0.01 = 2 兆 4743 億円 2800 万円 <適用例> 各関与者の制約条件を上限値まで設定したときのトータルコストが最小となるような対策案の組合 せとしては, (1-3) CRYPTREC による監視の強化 61 (2-1) 署名者に対する特別な伝達手段なし (3-3) 検証者に対する伝達機関による伝達 (4-2) 危殆化時対応ポリシーあり (5-3) 第三者機関による再処理 が採用され,以下のような結果が算出された。 トータルコスト:13347616090 円 損害コスト:12778172090 円 <適用結果の考察> パラメータ解析を行うことにより,パラメータの値が少々変わっても,以下のようなことが言え ることが分かった。 (1) CRYPTREC を今後,より強化することが望ましい。 (2) 危殆化時対応ポリシーを早急に策定し,それに沿って対応することを強制できるよう制度 化する必要がある。 (3) 危殆化情報を,証明付き文書を扱う人たちに,危殆化に関する情報を,認証局経由ではな く,広く確実に伝達する仕組みが必要である。 (4) デジタル署名の再処理について今から検討しておく必要がある。 制約条件を設定した最適化結果から,危殆化時対応ポリシーに関しては,クリティカルな対策 方法であり,さらなる検討が必要であると思われる。危殆化時対応ポリシーは,最適化結果から 特に重要であることが分かった。 このような指摘,特に危殆化時対応ポリシーの必要性については,従来提案されていなかった ものであり,これらの解析の有用性を確認することができた。 なお,本適用についてさらに詳しくは,藤本肇,上田祐輔,佐々木良一 「公開鍵暗号危殆化 のデジタル署名付き文書への影響分析と対策案の提案 」CSS2006 ,2006.11 などを参照願いた い。 62 危殆化確認後既存署名に対する対策 初期事象 公開鍵暗号また はハッシュ関数が 危殆化 P0 暗号危殆化情報の伝 達 危殆化情報の 確認機構 再処理を試みる 署名者 に伝達 成功:(1 − P 1) (1 − P2 ) - 失敗:P1 P2 検証者 に伝達 既存の署名に対 する再処理の実 施 ( 1 − P3 ) ( 1 − P4 ) ( 1 − P5 ) - P-4 P5 P3 シ │ ケ ン ス シーケンス発生確率 Pl 1 - )・(1-P )・ P1 = P 0・(1-P1)・(1-P2)・(1-P 3 -4 ) (1-P 5 2 リスク Rl = Pl×Ml M1 R1 =P 1×M 1 成功 - )・(1-P - )・(1-P )・P P2 = P 0・(1-P1)・(1-P 2 3 4 5 M2 R2 = P 2×M 2 失敗 3 - )・(1-P - )・(1-P - )・P P3 = P 0・(1-P 1 2 3 4 M3 R3 =P 3×M 3 失敗 4 - )・(1-P - )・P P4 = P 0・(1-P 1 2 3 M4 R4 = P 4×M 4 失敗 5 - )・P - ・ (1-P - ) ・(1-P - )・(1P5 = P 0・(1-P 1 2 3 4 -) P M5 R5 = P 5×M 5 成功 - - デジタ ル署名 付文書 の安全 性確保 影響 Ml(コ スト) - - - - - 5 - - - - - 6 P6 = P 0・(1-P1)・P2・ (1-P3) ・(1-P4)・P5 M6 R6 = P 6×M 6 失敗 7 - )・P - ・(1-P - )・P P7 = P 0・(1-P 1 2 3 4 M7 R7 = P 7×M 7 失敗 8 - )・P - ・P P8 = P 0・(1-P 1 2 3 M8 R8 = P 8×M 8 失敗 9 P9 = P 0・P1 M9 R9 = P 9×M 9 失敗 - 図 3.4-4 危殆化リスクのイベントツリー 表 3.4-2 具体的対策案とパラメータの設定 対策案 パラメータの設定 1.暗号危殆化情報の確認機構 政府 企業 署名者 検証者 危殆化確率 (1-1)監視機関なし(X11) Cg11=0 円 Cc11=0 円 Cs11=0 円 Cv11=0 円 (1-2)CRYPTREC による監視(X12) Cg12=2000 万 Cc12=0 円 Cs12=0 円 Cv12=0 円 p11 = 0.5 (1-3)CRYPTREC による監視の強化 円 Cc13=0 円 Cs13=0 円 Cv13=0 円 p12 = 0.01 (X13) Cg13=6000 万 p13 = 0.005 円 2.暗号危殆化情報の伝達(署名者) (2-1)伝達手段なし(X21) Cg21=0 円 Cc21=0 円 (2-2)認証局による伝達(X22) Cg22=0 円 Cc22=47 (2-3)伝達機関による伝達(X23) Cg23=4 億円 2200 円 (2-4)認証局と伝達機関による伝達 Cg24=4 億円 Cc23=0 円 Cc24=47 (X24) Cs21=0 円 万 万 Cs22=47 Cv21=0 円 Cv22=0 円 p21 = 0.9 2200 円 Cv23=0 円 p22 = 0.01 Cs23=0 円 Cv24=0 円 p23 = 0.1 Cs24=47 2200 円 2200 円 Cs31=0 円 万 p24 = 0.001 万 3.暗号危殆化情報の伝達(検証者) (3-1)伝達手段なし(X31) Cg31=0 円 C3c31=0 円 (3-2)認証局による伝達(X32) Cg32=0 円 C3c32=47 (3-3)伝達機関による伝達(X33) Cg33=4 億円 2200 円 (3-4)認証局と伝達機関による伝達 Cg34=4 億円 (X34) C3s32=47 Cv31=0 円 Cv32=0 円 P31 = 0.9 2200 円 Cv33=0 円 p32 = 1.0 Cc33=0 円 Cs33=0 円 Cv34=0 円 p33 = 0.1 Cc34=1000 万 Cs34=1000 万 円 円 63 万 万 P34 = 0.1 4.再処理を試みる (4-1)危殆化時対応ポリシーなし Cg41=0 円 Cc41=0 円 Cs41=0 円 (X31) Cg42=1 億円 Cc42=0 万円 Cs42=472 Cv41=0 円 P41 = 0.8 万 Cv42=0 円 P41 = 0.1 2000 円 (4-2)危殆化時対応ポリシーあり (X32) 3.5 MRC プログラム(バージョン 2)の設計 バージョン2では,リスク関与者とのリスクコミュニケーション支援部を強化する。これを実施 するのは,関与者支援部とネゴシエーション基盤である(図 3.5-1) 。関与者支援部は,関与者が主 体的に情報獲得をして,自分のとって最適な解を抽出するプロセスである。また,ネゴシエーショ ン基盤は,関与者が最適解の抽出に困難を感じた際に,専門家,ファシリテータ,あるいは,用意 されたシステムに情報提供を求めるプロセスである。 今回のシステム設計おいては,特に,関与者支援部の第一ステップ(1st リスクコミュニーシ ョン)とネゴシエーション基盤の第一ステップを対象とした。 関与者支援部 1st リスク コミュニケーション ネゴシエーション 基盤1 2nd リスク コミュニケーション 3rd リスク コミュニケーション ネゴシエーション 基盤2 ファシリ テータ 専門家 図 3.5-1 リスクコミュニケーション支援の全体像 3.5.1 関与者支援部 関与者支援部の第一ステップにおける関与者の動きを図 3.5-2 に示す。 64 図 3.5-2 リスクコミュニーション1st ステップの流れ 関与者支援部の第一ステップで関与者は,予め用意されたポータルとMRCから提供される最適解 とその根拠を元に,自分の求める最適解ならびに,各関与者の利害が対立した際に譲歩できる条件 を示す妥協可能制約条件値を求める。 関与者にまず最初に提示される操作画面を図 3.5-3 に示す。 画面では,関与者支援部とネゴシエーション基盤利用部が一体化した構造になっている。 (1)関与者支援部の機能 関与者支援部の機能の中心が各種ポータルである。関与者が情報獲得を行えるように,情報獲 得の支援ツールとして,関連する情報を一箇所に集めた次のような情報ポータルを用いる。 (a)リスク構造の把握に有効なポータル(基本部はバージョン 1 で実現しており,2007 年度に機能の強化を図る。 ) z リスク分析構造ポータル(FTA,ETA など) 専門家がリスク分析で用いる①FTA (Fault Tree Analysis )や②ETA (Event Tree Analysis )などのリスク分析結果を基にリスク構造を表現する。関与者はリスク構 造を定性的な観点から理解把握することができる。(FTA に関しては,すでにバー ジョン1で導入済みである) (b)リスク間トレードオフの把握や解空間の把握に有効なポータル z 解空間構造ポータル(離散図など) MRC から算出される解をある2つの軸(リスク)を基にして,解空間を離散図 として表現する。また,リスク間トレードオフを表現する。関与者は定量的な観点 からリスク間トレードオフの把握や解空間の理解把握を行うことができる。 (c)リスク学習に有効なポータル z 文書構造ポータル(対策案,想定リスクなど) 想定されるリスクの具体的な用語説明や対策可能な対策案の用語説明,対策効果, 漏洩率などの文書情報を格納する。関与者は具体的なリスク用語や対策案の用語説 明を見ることで,リスク理解を行うことができる。 65 (2)基本操作 ①関与者は, ログイン画面から, 自分の関与するリスクコミュニーション対象のフェーズに入る。 ②その時点で既に専門家による最適解が求められている場合は,図 3.5-3 に示すような形で,最 適解が示される。ここでは,目標間数値とその最適解における制約条件の値がレーダチャートで, さらに最適解で採用する対策案が示される。この部分についてはすでにバージョン1で実現されて いる。 図 3.5-3 最適解の表示 ③関与者は,専門家の最適解を検討する。 ④関与者が専門家の最適解に納得できない場合は,ファシリテータの支援を受けながら,専門家 の最適解以外にどんな解があるか,あるいは,専門家の推奨していない対策案にどういうものがあ るか,などリスク関連要素をポータルで確認しながら,自分にとって最適な解(第一次解,第二次 解など)抽出のための試行錯誤を行う。 ⑤その過程で,自分が重要と考える制約条件に関して,その値の上限(あるいは下限)を専門家 に提示することにより,MRC で再度最適化を行うなどの操作により,対象問題のリスク構造に関 する理解を深める。離散図ポータルの1例を図 3.5-4 に示す。この図より,自分の関心のある制約 条件に合致した解を見出すことが出来る。 ⑥上記操作の結果として,関与者にとっての最適解(第一次解,第二次解など)を抽出すると同 時に,関与者にとって重要な制約条件を2つ決定する。 66 離散図 分析結果の離散図。 グラフエリア ドラックして囲んだ部分を拡大表 示。 ドット 全ランクの分布を示す点です。 → 各ドットを押下することで対応するランクの 最適対策案画面へ移行する x軸y軸をを変更して閲覧することができる 離散図の軸を変更して閲覧できる プルダウン 閲覧したい制約条件を選択 → 変更 選択した軸の離散図分布画面へ 選択した制約条件に切り替える 図 3.5-4 離散図ポータル事例 3.5.2 ネゴシエーション基盤 ネゴシエーション基盤の目的は,関与者の疑問解決,および対象者(関与者と専門家)の 1stRC における負担の軽減である。1st リスクコミュニーションでは関与者がポータルシステムを使って 解と制約条件を決めていく。しかし ①ポータルだけではやり方がわからない。 ②具体的にどのようにポータルを使っていくのかわからない ③ポータルだけではあるいは情報が足りない ④ポータルだけではリスクに関して分からない点がある といった問題点がある。そこで関与者は MRC 及び専門家に対してこのような疑問を解決するための 質問を行う。この問題を解決するため 1st リスクコミュニーションに対してのネゴシエーション基 盤が必要である ネゴシエーション基盤は 1stRC と 2ndRC では支援内容が少し異なっている。1stRC では関与者 と専門家を交えたコミュニケーションの支援を行い,2ndRC は関与者同士の対話にファシリテータ を交えて,コミュニケーション支援を行う。共通している部分は,インターネット上での利用を想 定した場合のコミュニケーションのための場としてのシステムを提供し,関与者への支援を行うと いう点である。 67 情報獲得 関与者 希望解選定 参照 質問を行う 参照 呼び出す 対話 分析結果格納 コンテンツ追加 ポータルシステム 専門家 N基盤 追加、修正 FAQ 反映 質問の回答 Q&Aフォーラム 専門家呼び出し (Skypeボタン) 起動 対話モジュール (Skype) 反映 対話 対話ログ 格納 図 3.5-5 ネゴシエーション基盤全体のイメージ図 また関与者の抱く疑問を考えた場合でも,誰でも持つような疑問,一般的な疑問,非同期で対応で きる疑問,同期しなければいけないような疑問,といった様々な種類の疑問が発生すると考えられ る。 ネゴシエージョン基盤の全体イメージ図を図 3.5-5 に示す。つまり,以下の3つの機能を検討し てきた。 ①FAQ 基本事項,用語に関する疑問への対応。疑問発生時にまず閲覧する。 ②Q&A フォーラム 関与者が持つ疑問とその疑問への回答の集合 ③専門家呼び出しモジュール(Skype を利用) 解と制約条件設定の際の疑問など,専門家との対話で疑問を解決する 今回のシステム設計にあたっては Q&A を組み込んだ。Q&A は自由掲示板として構築した。その イメージ図を図 3.5-6 に示す。 プロジェクトに参加できるようになった段階でファシリテータからの連絡事項が閲覧が出来,ま た意見交換のための掲示板が使えるようになる。 このようにプロジェクトに参加しているユーザ (フ ァシリテータ,関与者,専門家)同時にコミュニーションできるようになる。 ネゴシエーション基盤の利用イメージを図 3.5-7 に示す。図 3.5-7 の画面に示すように,関与者 と専門家,ファシリテータの間のリスクコミュニーションが進められる。 68 ファシリテータ 連絡投稿・閲覧 意見交換 プロジェクト 連絡事項 自由掲示板 コメント投稿・閲覧 意見交換 意見交換 コメント投稿・閲覧 専門家 一般関与者 図 3.5-6 自由掲示板のイメージ コミュニケーション ファシリテータからの連絡の閲覧やユーザ同士の意見交換がで きるリンクメニュー コ ミュ ニケー ション の ファシリテータからの連絡の 記録 閲覧でき、コメントをつける こともできる。 → コミュニケーションの記録画面へ 自由掲示板 → 自由掲示板画面へ 登録ユーザが投稿できる掲示 板。スレッドを立てることで 意見交換を行う。 自由掲示版での最近の投稿 投稿された日付の新しいものから10件表示される。 → コミュニケーションの記録 最近の投稿 投稿された日付の新しいものから10件表示される。 日付 投稿された日付 → スレッド 投稿スレッドの表題 各概説コンテンツ画面へ 返信 返信された数を表示 閲覧 閲覧したユーザ数を表示 投稿者 投稿したユーザ名を表示 最終投稿 最後に投稿があった日付 各概説コンテンツ画面へ 自由掲示板へ 自由掲示板画面へ遷移 → タイトル 押下したタイトルのファシリテータの記録画面へ 投稿タイトル 図 3.5-7 ネゴシエーション基盤の利用イメージ図 3.6 2006 年度成果と 2007 年度計画 3.6.1 2006 年度外部発表 2005年度までの主要な発表は以下のとおりである。 (1)佐々木他「多重リスクコミュニケータの開発構想と試適用」情報処理学会論文誌 46 巻 8 号 pp2120-2129(2005.8) 69 (2)R.Sasaki et al. “Development Concept for and Trial Application of a “ Multiplex Risk Communications””, IFIP I3E2005 (2005 年 10 月ポーランドで発表) ( 3 ) H.Yajima et al. “Support System for Decision Maker in Multiple Risk Communication”, CHI2005 (2005 年 7 月米国で発表) 2006年度は以下のような発表を行った。 ( 4 ) Hiroshi Yajima, Shinichi Matsumoto, Ryoichi Sasaki ”Proposal of risk communication supporting method in multiplex risk communicatror” 11TH ETFA (2006.9) (5)藤本肇,上田祐輔,佐々木良一 「公開鍵暗号危殆化のデジタル署名付き文書への 影響分析と対策案の提案 」CSS2006 ,2006.11 (6)岡田祐司,吉浦裕,佐々木良一,矢島敬士,村山優子 「不正者のモデルを用いた 多重リスクコミュニケータの拡張 」CSS2006 ,2006.11 (7)守谷隆史,佐々木良一「リスク対策の最適組み合わせを求めるのに適したFTA法 の提案」CSS2006 ,2006.11 (8)佐々木良一「多重リスクコミュニケータの開発と試適用」電子情報通信学会 SITE 研究会 2006.11(招待講演) (9)谷山充洋,佐々木良一「2000 年問題のリスクコミュニケーション面からの検証」電 子情報通信学会 SITE 研究会 2006.11 3.6.2 2007 年度計画 2007年度はMRCプログラムバージョン2を開発すると共に,世田谷区役所などと協力し て,実システムに適用していくことなどを予定している。 70 4 暗号リスク 暗号は現代社会において安全に情報をやり取りする根幹技術の1つであり、様々な領域において、 情報の秘匿や署名、認証などのセキュリティ技術の基盤技術として用いられている。政府や民間など システムにおいて暗号の利用が進んでおり、例えば公開鍵暗号系基盤(PKI)も各省庁や自治体をはじ めとして整備されつつある。しかし、このようなセキュリティ基盤が全て暗号に依存しているとする ならばこれは必ずしも安全な状態であるとは言い難い。これは、暗号の安全性が保証できない状態が 起きたとすれば、それは社会に影響を与えることにもなるからである。 暗号は、解読計算の困難性に基づいた強度を提供する。このため、計算機性能の向上などにより暗 号の強度は次第に低下していくのが一般的である。これが暗号危殆化問題である。暗号危殆化問題が 原因で暗号が解読されることにより情報が漏洩した場合を想定すると、これは物理的盗難とは異なり 元の状態に戻すことは不可能である。このことから、現代社会において暗号危殆化問題を認識してお くことは重要である。 一方、通信事業者などでは通信サービスの停止や遅延に対し、その損害の代償として取り決められ た金額を補償するSLA(Service Level Agreement)が提供され始めている。SLAとは、サービスの提供 者と利用者間であらかじめ納得の上取り交わされた合意、すなわち契約書のようなものである。 暗号リスクWGでは、暗号を利用したサービスの提供者とその利用者において、暗号に関する適切な 理解、そして暗号利用における合意をはかることを目指し、暗号を利用したこれからの情報化社会に ふさわしい暗号SLAの提案を行う。暗号SLAでは、暗号危殆化状態を把握するための指標として暗号SLA レベルを定義する。暗号SLAレベルは、暗号利用における関係者間で合意を形成する際のガイドライ ン的立場をとる。さらに、暗号SLAを利用した合意形成を支援するためのサポートツールとして暗号 SLAポータルサイトが必要となる。最終年度では、暗号危殆化に関係する諸問題の取りまとめを行い、 提案する暗号SLAの効果を確認するという観点から研究を進める予定である。本報告書では、平成18 年度の主な研究成果として暗号SLAを中心とした内容を報告する。以下、暗号リスクWGの研究開始(平 成16年度)から現在(平成18年度)までの研究概要を述べる。 (1) 暗号危殆化と社会的リスク 平成16年度 PKI(Public Key Infrastructure)基盤における暗号利用のサービス低下の定式化、お よびデジタル証明書の不正状態発生による被害リスクの分析、CRL(Certificate Revocation List) 伝播シミュレータの開発。 平成17年度 暗号アルゴリズム危殆化による直接的な被害予測を検討するために、RSA暗号を対象と した暗号の危殆化リスクに関わる調査・分析。 平成18年度 RSA暗号を対象とした危殆化予測分析に着目し、暗号解読ソフトウェアおよび解読専用 ハードウェアを考慮した並列計算機環境における解読可能性に関する調査・分析。 (2) 暗号システムの利用形態によるリスクと暗号SLA 平成16年度 情報社会に対して暗号危殆化リスクに関係した情報発信と、暗号利用における関係者 間の合意形成を支援するための暗号SLAの基本定義。 平成17年度 暗号SLAの導入に向けた暗号SLA基本仕様の設計、諸定義。暗号SLAポータルサイト実現 71 に向けた「暗号化Webサイト向けHTTPS検証機能」の実現。 平成18年度 暗号SLAの有用性を評価するために、暗号SLAが対象とする利用者を想定したロールプレ イングシミュレーションの実施。また、暗号SLAの普及を目指し、暗号SLAポータルサイトの設計と実 現。 (3) 情報セキュリティ投資最適化 平成16年度 暗号利用システムリスクとコストの関係について海外動向、および基本調査。 平成17年度 情報セキュリティ投資の最適化を行うことを目的とし、地方自治体における実証データ を利用した実証分析(平成17年度にて暗号リスクWGでの活動を終了し、情報セキュリティ投資最適化 議論については、総括グループでの研究課題で実施。暗号危殆化による被害額検討については、多重 リスクコミュニケータ暗号危殆化サブワーキングループの研究課題に移行)。 4.1 暗号危殆化と社会的リスク 4.1.1 暗号が提供する安全性とその危殆化 現代暗号の安全性とは、数学的に示された解読アルゴリズムの計算量の困難性によるものである。 最も利用されている公開鍵暗号RSAは、非常に大きな数の素因数分解の困難性をもとにしている。実 際、鍵長サイズが1024bitの場合、現在の計算機環境では現実的な時間内にその素因数分解を解くこ とが困難であることによりその安全性を保証している。しかし、解読アルゴリズムの向上や計算機性 能 (CPU性能や各I/O周辺の転送速度)の向上によって、現時点では非常に安全と言われている暗号が 永続的に安全であり続けるわけではない。計算機の速度性能は、ムーアの法則からも言われるように 非常に高い伸びを示しておりその安全性は次第に低下していく。既に、NIST (National Institute of Standards and Technology: 米国立標準技術研究所)は、鍵長サイズが1024bitのRSAなどを2010年頃 に推奨暗号から除外すると発表している。さらに、国際標準ISO/TR13569等においても推奨鍵長サイ ズは1024bit以上にすべきと記している。このように国際的に推奨暗号の議論がなされ、政府標準暗 号リストが規格化されつつある。また、暗号化された秘匿情報を永続的に保護していく点においても 暗号危殆化による影響を検討しておくことは重要である。 危殆化問題は、現代社会における暗号イ ンフラの普及度からすれば緊急の課題である。 一般的に利用者は暗号を無意識に利用していることも多く、暗号が使われているという安心感に捉 われ、暗号の安全性そのものについては無関心になりがちである。近年、無数のP2Pアプリケーショ ンを経由して個人情報が流出・漏洩する等の事件が急増し、利用者自身における情報漏洩対策に対し て高い関心が示されつつある。 このことは、 暗号技術そのものの関心度合いと比較しても特徴的で ある。安全性を保証する仕組みそのものに対する利用者の意識が低いことは、これから深刻な社会問 題になるとも考えられる。 4.1.2 国際的動向 暗号危殆化は国際的にも重要な課題とされており、各国政府においても推奨暗号に関する議論が盛 72 んに行われている。 [NIST] NISTでは、暗号技術標準化に関するドキュメントとしてNIST Special Publications SP800シリー ズを公開しており、2005年8月にSP800-57「鍵管理における推奨」を公開している。これは、主とし てシステムに暗号を適用する際に最良な暗号の選択を行えるようにするためのガイドライン的立場 をとり、特に2010年、2030年、さらに2030年よりも先までの使用に耐えうる推奨の暗号アルゴリズム と鍵長サイズについて記述されている。 表 4-1 暗号の安全性(SP800-57より) シ ス テ ム 利 用 期 間 維 持 す べ き 安 全 性 b it サ イ ズ 共 通 鍵 暗 号 の 例 公 開 鍵 暗 号 ・デ ジ タル 署 名 の 例 ハ ッシ ュ 関 数 の 例 ∼ 2010年 8 0 b it 以 上 2 -k e y T -D E S 3 -k e y T -D E S AES C a m e llia 等 1 0 2 4 b it以 上 の RSA or DSA 1 6 0 b it 以 上 の ECDSA等 S S S S S H H H H H A A A A A -1 -2 2 4 -2 5 6 -3 8 4 -5 1 2 2011年 ∼ 2030年 1 1 2 b it以 上 3 -k e y T -D E S AES C a m e llia 等 2 0 4 8 b it以 上 の RSA or DSA 2 2 4 b it 以 上 の ECDSA等 S S S S H H H H A A A A -2 2 4 -2 5 6 -3 8 4 -5 1 2 2031年 ∼ 2050年 1 2 8 b it以 上 AES C a m e llia 等 3 0 7 2 b it以 上 の RSA or DSA 2 5 6 b it 以 上 の ECDSA等 S H A -2 5 6 S H A -3 8 4 S H A -5 1 2 7 表4-1は、SP800-57で言及されている暗号の安全性をまとめたものであり、システム利用期間、維 持すべき安全性鍵長サイズ、共通鍵暗号の例、公開鍵暗号・デジタル署名の例、ハッシュ関数の例を 示したものである。また、SP800-57では可能な限り最小コストで新しい暗号に置き換える場合に鍵長 サイズの伸張はどの程度必要であるべきかにもついて言及されており、暗号を置き換える際には現シ ステムから容易に置き換え可能であるものが選択されるべきと述べている。 [CRYPTREC] CRYPTREC (CRYPTography Research and Evaluation Committees)は電子政府推奨暗号の安全性を評 価・監視しており、2000年から暗号モジュール評価基準等策定を行い、暗号技術評価報告書を公開し ている。CRYPTREC Report 2002では、電子政府推奨暗号リスト作成のための素案について論じており 2003年2月に同リストが発表された。 これ以降、推奨暗号リストに掲載された各項目の安全性につい て言及しており、近年のレポートではハッシュ関数の安全性についての記述が目立つ。なお、2005 年のレポートによると、現時点での推奨暗号リストに掲載された公開鍵暗号の安全性を急激に減少さ せる新しい解読技術は発表されていない。 [NESSIE] 欧州では、欧州産業界の推奨暗号リスト作成を目的としてNESSIE (New European Schemes for Signatures、 Integrity、 and Encryption)プロジェクトが2000年に開始され、公募によって選ばれ た暗号候補に対して評価が行われ最終版が2003年2月末に公表された。NESSIEポートフォリオでは、 73 選定された暗号アルゴリズム、ハッシュ関数、デジタル署名など各領域における強度の高いものにつ いて論じている。RSAにおいては中期的(5年から10年)の安全性を考慮した鍵長サイズとして1536bit 以上、楕円曲線暗号系においては160bit以上を推奨している。 [ISO/IEC国際標準暗号] ISO/IEC(International Organization for Standardization/International Electrotechnical Commission)は、国際標準暗号としてNISTやNESSIE、 CRYPTRECなどによる推奨暗号の中から安全性と 性能について評価された暗号などを選定しISO/IEC 18033を策定している。共通鍵暗号については ISO/IEC 18033にて64bitおよび128bitのブロック暗号、ストリーム暗号の標準規格を規定している。 ハッシュ関数はISO/IEC10118、デジタル署名はISO/IEC9796,ISO/IEC14888,ISO/IEC15946にて標準規 格を規定している。 4.1.3 公開鍵暗号 RSA の解読 素因数分解の計算困難性とは、合成数の桁数n(=p*q)が極めて大きい場合に素数pとqを導出するこ とが計算量的に困難であるという性質である。現在、数体ふるい法が合成数nの素因数分解に関して (特殊な条件を除く)最速のアルゴリズムであるとされている。RSA解読については、RSAセキュリティ 社が開催する素因数分解チャレンジコンテストが参考になる。これは、RSAの強度を実証することを 目的として開催されており、RSA社のホームページに掲載されたサイズの異なる合成数の素因数分解 を競うもので誰もが参加可能である。チャレンジコンテストが開始された1991年以来、新旧合わせて 11種類の合成数の素因数分解が報告されている。図4-1は、RSAセキュリティ社のチャレンジコンテス トのホームページである。解読結果からも、RSA解読困難性は鍵長サイズに依存し時間経過とともに 危殆化していることが分かる。 一方、Lenstraらは、素因数分解に対するRSAの安全性をDESの安全性と対比させて検討を行った。 DESは1977年に米国連邦政府標準暗号に制定された鍵長56bitの共通鍵ブロック暗号であり、当初世界 中で幅広く利用されていたが1990年代の初頭から全数探索法によって解読可能であるとの指摘がな され、その後1998年に開発されたDES解読装置により約56時間で解読可能であることが実証された。 Lenstraらはこの状況を踏まえDESの安全性が極めて高かった頃の時期を1982年と想定し、1982年時点 のDESの安全性を持つにはRSA暗号においてどれくらいの鍵長サイズが必要であるかについて、以下4 つの評価パラメータをもとに検討を行った。 74 RSA Challenge • RSA Laboratories – 素因数分解チャレンジ コンテスト • 成 功 : 576bit – 2003年 12月 3日 • 成 功 : 640bit – 2005年 11月 2日 – 現在進行中 • 704bit – 賞 金 30,000$ • 1024bit – 賞 金 100,000$ 9 図 4-1 RSAチャレンジコンテスト ・安全性の基準 ・単位コストあたりの計算量 ・解読にかける予算 ・解読アルゴリズムの進化 Lenstraらの分析によると、2002年時の1028bit、および2023年時の2054bitの鍵長サイズは1982年 時点のDESの安全性と同等であることを示し、今後20年(2002年時において)の利用を前提とするなら ば2048bitにすべきと主張している。 4.1.4 共通鍵暗号の解読 前項では、公開鍵暗号RSAの解読についてその概要をまとめた。本項では、共通鍵暗号の解読につ いて簡単に触れることにする。IPA/ISECにて公開されている金子・花岡らによる調査報告 将来の暗 号技術に関する安全性要件調査 では、共通鍵暗号の安全性についての分析が述べられており、解読 予算という視点からまとめた結果を表4-2に示す。 75 表 4-2 共通鍵暗号解読の予算見積もり 共通鍵暗号解読予算の見積もり 安全な鍵長サイズの下限 • 「安全」の定義 – 「 1年 間 の 解 読 計 算 に よって解読される確率 が 0 .1 % 未 満 」 – 中 規 模 予 算 : 1000万 $ – 大 規 模 予 算 : 100億 $ – 超大規模予算:経済規 模 最 大 国 G D P 4 % (国 防 予算級) – 限界規模予算:世界の 年間GDP 1. 2. 3. 予算攻撃 2006年 2010年 2016年 2018年 対中規模 予算 95 97 100 101 対大規模 予算 105 107 110 111 対超大規 模予算 110 113 116 117 対限界規 模予算 116 119 122 123 共通鍵暗号 全 数 探 索 (総 当 り 法 )よ り も 効 率 的 な 解 読 法 が 存 在 し な い 有 意 性 検 定 の コ ス トは 無 視 で き る こ と と す る 結 論 : 今 後 1 0 年 に 限 る な ら ば 1 2 8 bit程 度 あ れ ば 十14分 本報告書では、暗号解読における「安全性」を「1年間の解読計算によって解読される確率が0.1% 未満」であると定義し、解読にかける予算を4ステップに分けそれぞれの解読可能性について安全な 鍵長サイズ(bit)の下限が言及されている。今後10年(2006年現在)に限れば共通鍵暗号の鍵長サイズ は128bitあれば充分であることが示されている。それ以外にも、RSAセキュリティ社による A Cost-Based Security Analysis of Symmetric and Asymmetric Key Lengths は、共通鍵暗号と公開 鍵暗号の鍵長サイズについて言及しており、128bitの共通鍵暗号の強度はRSA鍵では1620bit(楕円曲 線暗号では256bitに相当)と述べられている。 4.1.5 暗号解読計算の並列化効果 ここでは、暗号解読の計算機環境に焦点を当て、大規模な計算機環境を想定した解読計算時間につ いての検討結果を報告する。我々の検討では、大規模な計算機環境としては地球シミュレータを対象 とし、地球シミュレータを利用した解読計算を想定した解読計算時間についてまとめる。 公開鍵暗号RSAのような素因数分解の計算困難性を用いた暗号系の解読の難易度を評価する手法は、 大きく以下の3つに分けられることが知られている。 1. 現在存在しているハードウェア上でプログラムを実装し、評価を行う:RSAチャレンジコン テスト等(一般数体ふるい法GNFSのプログラムコーディング) 2. 現在の技術で作成可能だが実際には作られていないハードウェアを用いて思考実験を行 う:専用ハードウェア(FPGA/カスタムchip回路設計) 3. 現在の技術では実現不可能なハードウェアを用いて思考実験を行う:量子計算機など 76 ここでは、一般数体ふるい法を利用した解読計算を取り上げることにする。はじめに、一般的な一 般数体ふるい法の実行手順を以下に示す(一般数体ふるい法を利用した解読計算に関する研究詳細に ついては木田・青木らによる文献を参照してほしい)。 1. 多項式選択 分解対象 N に対して、 Ζ 上既約な f ( M ) ≡ 0(mod N ) を満たすような整数係数既約多項式 f ( X ) と整数 M を選択 2. ふるい処理 ふるい処理は、処理量の半分以上を占める(理論的評価、および経験則より)が、多くの処 理は独立に計算可能であるため並列化効果は大 3. Filtering 線形代数処理の高速化 4. 線形代数 Filteringから得られた行列から関係式の導出を行うため、処理の独立性が低い。このため 並列化にする場合には計算機の密結合が必要 5. 平方根 x 2 ≡ y 2 (mod N ) の x, y の導出を行う 上述した解読計算処理フローをもとに、国内では最大規模を誇る地球シミュレータを解読に用いた ことを想定した解読時間の検討を行った。地球シミュレータは、消費電力削減と高密度化のために1 台の計算機を1チップ化したCPUを8個でメモリを共有する計算ノードが640台で構成されたスーパー コンピュータである。以下、地球シミュレータの計算能力と通常利用している平均的なPC(Intel Pentium4 3.0GHz)の計算能力の概要をまとめる。 地球シミュレータ ・ 計算プロセッサのピーク性能 8Gflops:80億演算/秒 ・ 計算ノードのピーク性能 64Gflops:640億演算/秒 ・ 計算ノードの主記憶容量 16GB ・ 総プロセッサ数 5120 主記憶メモリ 10TB ・ 総計算ノード数 640 ・ 640ノード最大ピーク性能 40Tflops:400,000億演算/秒 PC Intel Pentium4 3.0GHz ・ 最大ピーク性能 32Gflops:320億演算/秒 地球シミュレータは、PCの約1250倍の計算速度を持つことになる(注)ここでは計算機の結合度に は触れた比較をしない。そこで、PCを用いて鍵長サイズが1024bitのRSAに対して一般数体ふるい法の 解読を実施した研究データをもとに、地球シミュレータで同様に解読計算を実行させた場合にどの程 度解読の可能性があるかの検討を実施したところ、地球シミュレータの計算リソースを最大ピークで 暗号解読のために稼動させたことを想定すると、鍵長サイズが1024bitであるRSA暗号は約5.7年で解 77 読できる可能性が高いことを導いた(地球シミュレータの結合度を考慮した場合にはこの結果よりも 早くなる可能性が高いと考えられる)。 4.2 暗号SLA(Service Level Agreement) 4.1では、暗号危殆化に関係する国際動向と暗号解読事例についてその概要を述べた。このように、 暗号危殆化に関わるほとんどの情報は、情報セキュリティなどある程度の専門的知識を持つ人々へ向 けたものである。しかし、これからの情報化社会において、暗号の危殆化問題は益々一般の利用者に とっても重要かつ身近な問題になりつつあり、より明確な形での情報発信を行なう手段を創出するこ とが急務である。我々は、この問題を解決するために暗号SLAを提案する。 4.2.1 暗号SLAとは 暗号危殆化問題は、暗号を利用する全ての関係者が認識しておかなければならないと思われるが、 それには高度に専門的知識が必要である。そこで、暗号SLAという考え方を提案する。SLAとは、1998 年頃から通信事業者がIPネットワークサービスを提供する際に利用者間で伝送遅延等の通信品質を 保証する仕組みとして導入されているが、通信品質の技術的な規定はITU-TやIETFのドキュメントに 記載されているものの曖昧である。技術的な指標を一般利用者に認識してもらいサービスを契約して もらうことが困難なため、通信事業者はSLAという形での契約を開始したのが始まりである。 一方、暗号によって秘匿された情報が解読によって漏洩すると元の状態に戻すことは不可能であり、 この点において情報漏洩は物理盗難とは大きく異なる。また、暗号アルゴリズムが解読された場合で も即座に別のものに置き換えることも困難である。このことから暗号にそのまま既存のSLA概念を適 用する場合には注意が必要である。 暗号SLAの目的は、暗号の安全性を明確な形で表現し、暗号を利用する全ての人に暗号が提供する 安全性の指標を与えること、あらかじめその責任範囲を明確にすることである。その対象者として、 暗号化対応のWebブラウザ等を利用するエンドユーザ(利用者)、サーバ管理者やシステムインテグレ ータ、そして意思決定権を有する経営者層等を想定する。この暗号SLAにより次の3つの効果が見込め ると考えられる。 ・ 暗号を利用したサービス提供の目的に見合った暗号モジュール適用等にかかるコストを明確 にできる ・ 暗号利用における関係者間の合意形成、また暗号危殆化状態の確認体制など、報告と改善を通 じ、暗号危殆化リスクを考慮した体制を構築できる ・ 暗号利用における全ての関係者間において、暗号による安全性を中心とした信頼関係を構築で きる ここでコストとは、システムに対して暗号モジュールを適用する際に必要なコストを指す。例えば、 ほとんど利用されていない鍵長サイズの適用など暗号化すべき情報に対して過剰な適用はコスト的 に大きな負担となる場合がある。最終的に、暗号SLAは暗号システムを含め、暗号利用における全て 78 の関係者間での合意を得るための土台となることを期待する。 暗号SLAは、関係者間における暗号を利用したコミュニケーションにおける双方間の合意の仕組み であり、暗号SLAの利用者全てにとって分かりやすい形態として、以下を目指す。 ・ 暗号の利用者、および暗号を利用したサービス提供者に対して、暗号の安全性を分かりやすい 形態として提示する(具体的には暗号SLAレベルで表現する、詳細は後述する) ・ 暗号の危殆化状態を明確なレベルで表現することで、暗号の利用者、および暗号を利用したサ ービス提供者双方の利便性を向上させる ・ 暗号の利用者、および暗号を利用したサービス提供者双方の責任範囲を明確にする(どこま で許容できる暗号SLAレベルであるかを利用者自身で判断する、詳細は後述する) 4.2.3 暗号SLAレベル 暗号SLAレベルとは、暗号SLAの対象ユーザに対して危殆化情報を含めた意味で安全性を明確に 表現するための指標であり、関係者間で合意を目指す際のガイドライン的役割を担う。暗号SLA レベルは5段階とし、現時点において利用されているものを基準レベル3とする。レベルを細分化 し定義することも可能であるが、ここでは対象となる技術が現在標準的に利用されているもの (レベル3)と比較して安全性が高い(Level 4,5)か、危険性を含んでいる(レベル1,2)か、すぐに 判断できることに視点をおいて格付けする。 5段階に設定する理由は次の通りである。 ・ レベルを詳細化しすぎることにより情報を分かりにくくしてしまう可能性がある ・ 5段階と奇数にすることで中間的状態を表現できる レベル設定の仕方は、通信事業者が既に規定しているSLAと情報通信技術のコンサルティング として世界的に有名なGartner社の格付けを参考にしている。 [レベル1]: 解読可能性が極めて高いものとし危険度が非常に高い状態 [レベル2]: 現時点において解読事例が存在していないが、中期的(10∼15年)では解読可能 性が高い状態 [レベル3]: 現時点において解読事例は存在しておらず安全性については問題ない状態 [レベル4]: 現状において利用されるもののうち、中長期的(15年∼40年程度)にも高水準の 安全性を満たす状態 [レベル5]: 長期的にも解読の可能性が無くレベル4と比較してもさらに高水準の安全性を 満たす状態 また、暗号SLAレベルは今後の暗号解読の事例や報告書などによって変更可能とする。今回、 RSAの鍵長サイズ、共通鍵暗号の種類、共通鍵暗号の操作モード、ハッシュ関数の種類、証明書 の信頼性の5項目とする。なお、操作モードを設定した理由について、SSLではCBCモードのみが 適用されるため現状の暗号SLAレベルとして必要ないと考えられるが、今後、全ての暗号に対し 79 て暗号SLAが適用できることを考慮し、最終的には合意形成を目指す上では必要な項目であると 考え、暗号SLAの対象とした。取り上げるサンプルはオープンソースソフトウェアである openssl(version 0.9.7e)を対象とした。 (1) RSA暗号の鍵長サイズ 鍵長サイズは、解読事例として報告されている640bit以下、現在一般に使用されている1024bit、 その倍の2048bit、さらにその倍の4096bitを区切りとして格付けを行なう。先に導出した暗号危殆化 曲線を用いて各鍵長の解読年数を算出し、暗号SLAレベルの定義に従い、表4-3のように暗号SLAを設 定する。 表 4-3 RSA暗号の鍵長サイズ 暗号SLAレ 意味 SSLサンプル 1 既に解読事例が存在する鍵サイズ 640bit以下 2 現時点において解読事例は存在しない鍵サイズ(中期的には危険性 641bitから が高い)であるが注意が必要 1023bit 現時点において解読事例は存在しない鍵サイズ(中期的には安全で 1024bitから ある:約10∼15年程度) 2047bit 現時点において解読事例は存在しない鍵サイズ(中長期的に安全で 2048bitから ある:約40年程度) 4095bit レベル4よりもさらに解読が困難である鍵サイズ(長期的に安全であ 4096bit以上 ベル 3 4 5 る) (2) 共通鍵暗号の種類 共通鍵暗号の種類について暗号SLAレベルを表4-4のように設定する。DES、RC2、RC4は解読事例が 多数報告されておりNISTやCRYPTREC、 NESSIE、 ISO/IEC等の報告書において危険性が指摘されてい る。特にRC4は依然としてSSL等での利用が高いのが現状である。RC5に関しては、解読事例は報告さ れていないが解読が現在進められており時間の問題と考えられるのでレベル2とする。Triple-DESは、 同様に解読事例は報告されていないがDESを三重に適用しているだけであり解読可能性は存在するも のと考えられるためレベル2とする。AES128、 AES192‡、AES256は、NISTにおいて今後使用していく ことを想定して規定されたものでありレベル4とする。その他IDEA、CAST5、Blowfishは現時点におい て解読事例は存在しないためレベル3とする。 ‡ 192bit鍵のAESはTLS/SSLのciphersuiteには含まれていない。 80 表 4-4 共通鍵暗号の SLA レベル 暗号SLAレ 意味 SSLサンプル 解読事例が多数報告されており、現状の計算機環境で解読可能 DES、RC2、RC4 ベル 1 と思われる共通鍵暗号 2 現時点において確固たる高速な解読事例は存在しない共通鍵暗 RC5、Triple-DES 号であるが今後注意が必要 3 現時点において解読事例は存在しない共通鍵暗号 IDEA、CAST5、 Blowfish 4 5 現時点において解読事例は存在しない共通鍵暗号(中長期的に AES128、AES192、 安全である:約40年程度) AES256 レベル4よりもさらに解読が困難とされる共通鍵暗号(長期的に 現時点ではN/A も安全である) (3) 操作モードの種類 操作モードの種類について、暗号SLAのレベルごとに表4-5のように設定する。SSLではCBCを用いた ものしか含まれておらず、直接操作モードが危殆化を影響付けるものではない。しかし、全ての暗号 に対して暗号SLAが適用できることを考慮し、最終的には合意形成を目指す上では必要項目であると 判断する。なお、CBC以外の操作モードは参考までに格付けを行なっている。ECBに関しては暗号文を 見るだけで平文ブロックが同値であるか否かを判断できるためレベル2とする。 表 4-5 操作モードの種類 暗号SLAレベル 意味 SSLサンプル 1 なし(今後変更される可能性がある) 現時点ではN/A 2 レベル3よりは脆弱であると報告されている操作モード ECB 3 解読が困難とされる共通鍵暗号の操作モード CBC、CFB、OFB、CTR 4 なし(今後変更される可能性がある) 現時点ではN/A 5 なし(今後変更される可能性がある) 現時点ではN/A (4) ハッシュ関数の種類 ハッシュ関数の種類について暗号SLAのレベルごとに表4-6のように設定する。 MD2、MD4、MD5は衝 突検出の報告事例が存在しているのでレベル1とする。 NIST SP800-57によるとSHA-1は現時点におい て衝突検出手法が発見され計算量が示されているためレベル2とする。RIPEMD-160、SHA-224、SHA-256 は現時点において衝突検出の報告事例が存在していないことからレベル3とし、SHA-384、SHA-512は ハッシュ長が大きいのでその安全性がSHA-256よりも高いと判断できるのでレベル4とする。 81 表 4-6 RSA 暗号におけるハッシュ関数の種類 暗号SLA 意味 SSLサンプル 衝突検出の報告事例が存在しており、その確率は非常に高いとさ MD2、MD4、MD5 レベル 1 れているハッシュ関数 2 現時点において衝突検出の手法が発見され計算量は示されてい SHA-1 るが衝突検出の報告事例は存在しない。しかし、今後注意は必要 3 現時点において衝突検出の報告事例が存在しないハッシュ関数 RIPEMD-160、SHA-224、 SHA-256 4 レベル3よりもさらに衝突検出の可能性がさらに低いハッシュ関 SHA-384、SHA-512 数 5 なし(今後変更される可能性がある) 現時点ではN/A (5) 証明書の有効期間 一例として、SSL通信でやり取りされる電子証明書の有効期間について、暗号SLAのレベルごとに表 4-7のように設定した。現状では、取り扱いをレベル3あるいはレベル1のみとした。今後、暗号SLA のバージョンアップによって変更する可能性がある。 表 4-7 電子証明書の有効期間 暗号SLAレ 意味 サンプル 有効期間外である電子証明書 電子証明書記載の有効期限最終日時 ベル 1 のUTC>現在の日時のUTC 2 ない(今後変更される可能性がある) 現時点ではN/A 3 有効期間内である電子証明書 電子証明書記載の有効期限最終日時 のUTC<現在の日時のUTC 4 なし 現時点ではN/A 5 なし 現時点ではN/A (6) 証明書の発行機関 電子証明書の信頼性については、その発行元が特定できない自己のサイトであるのか適切な第三者 機関であるのかにより判別する。この項目に関しては暗号SLAレベルによる格付けが困難である。証 明書の発行元が自己サイトの場合、同サイトの信頼性を客観的に保証出来ないことは言うに及ばない。 社会通念上信頼できる第三者機関が証明書の発行元であることが望まれる。一例として、SSL通信で やり取りされる電子証明書の発行機関について、暗号SLAのレベルごとに表4-8のように設定した。今 回のバージョンでは、Microsoft Internet Explorer、およびMozilla Firefoxにインストール済みの 認証局のみを対象とした判定を行う。 82 表 4-8 電子証明書の発行機関 暗号SLAレ 意味 サンプル 有効性が確認できない証明書 自己署名により作成されている。例: ベル 1 発行者が個人名など 2 なし 現時点ではN/A 3 ルートCA認定の中間証明機関から発行 Internet Explore・Firefox等、中間 された証明書 証明機関リストに列挙された認証局 信頼されたルートCA(認証局)から発行 Internet Explore・Firefox等、信頼 された証明書 された証明機関リストに列挙された 4 認証局 5 なし 現時点ではN/A 4.3 暗号SLAポータルサイトの実現 前節において、項目ごとにレベルを定義した。しかし、この暗号SLAレベルにおいても専門的な情 報のみで構成されているため、一般の利用者がその十分な理解を得ることは困難であると考えられる。 そこで、暗号SLAを利用する上での利用者をサポートするためのツールとして、暗号リスクWGでは暗 号SLAポータルサイトの開発を行った。本節では、開発したポータルサイトの詳細を述べる。 4.3.1 暗号SLAポータルサイトの対象 社会に対して暗号危殆化リスクを解明する際の大きなネックは、現時点においても暗号危殆化が直 接的原因で(例えば金銭的な)被害が発生した事例がほとんど存在していない点である。それだけで なく、暗号の脅威が中途半端な形で一般に伝えられることにより、かえって社会に混乱を生じさせる 恐れは充分に存在する。さらに、直接的被害が発生する前から危殆化情報を公開することに対して 様々な社会的障壁が生じる可能性も考えられる。しかし、今後の情報化社会に向けて、暗号の安全性 の認識を高めていくことは非常に重要なことである。これらを動機付けとして、暗号リスクWGでは、 暗号SLAの普及を目指し暗号SLAポータルサイトの開発を進めている。暗号SLAが対象とするユーザと その関係を図4-2に示す。 83 暗 号 SLAが 対 象 と す る ユ ー ザ ・利 益 向 上 に 関 す る 方 策 に 対 す る全 て の 意 思 決 定 権 ・サ ー ビ ス 品 質 の 向 上 ・顧 客 満 足 度 へ の 関 心 が 中 心 M a n a g e r層 (意 志 決 定 者 ) 顧 客 満 足 度 = 安 全 性 の 価 値 暗 号 に よる安 全 性 をもとに した 訴 求 力 暗 号 に よる安 全 性 の 提 案 ・暗 号 モ ジ ュ ー ル の 選 定 ・適 用 コス トの 算 出 、イン テ グ レ ー タ ・ M a n a g e r層 と U s e r層 を つ な ぐ 担 当 者 S Ie r/IS P 層 (管 理 者 ) 暗 号 に よって保 護 され た 情 報 提 供 W e b (H T T P S )サ イ ト の 安 全 性 の 確 認 U s e r層 (一 般 利 用 者 ) 提 示 され た 暗 号 化 情 報 を確 認 し、ア クセ ス す るか 否 か は 自 身 で 判 断 す るユ ー ザ 20 図 4-2 暗号 SLA の対象ユーザとその関係 暗号SLAの利用者は大別すると3つのユーザ層に分かれ、それぞれ暗号利用における目的、役割が異 なる。 ・ 暗号モジュールが適用されたWebサイトにアクセスするUser層(一般利用者) 利用者自身でアクセスするか否かを判断する。一般的に利用者は暗号危殆化に関心を持たないこ とが多い。 ・ 暗号化したWebサイトを運用・管理するISP層(管理者) 運用ポリシに従って管理を行い、一般的に安価で普及度の高い暗号を選択する。 ・ 暗号化されたWebサイト全般に関わるシステムインテグレータSIer層(管理者) 提供サービスによって、どの程度の安全性をWebサーバに組み込む必要があるかを専門家の視点か ら検討する。 ・ 提供するサービスに対して全権限を有するManager層(意志決定者) 顧客満足度を高める立場であり全ての決定権限を有する。一般的に暗号の安全性を顧客満足度とし て価値を見出すことが多い。 上述した各ユーザ層(Manager層、SIer/ISP層、User層)における利用者が、それぞれ必要な目的 に応じて暗号SLAを利用することを想定している。各ユーザ関係を示した一例を図4-3に示す。 84 暗 号 SLAが 対 象 と す る 利 用 者 と は • M a n a g e r層 – 目的:サービスの提供 • 暗号が提供する安全性をどの程度必要とするのか?(サイ トの安全性の訴求力として利用するのか?) – 顧客満足度 – 費用対効果 • S Ie r / IS P 層 – 目的:サービスの運用・管理方針 • ( 暗 号 化 ) W ebサ ー バ 、 電 子 証 明 書 の 設 定 に 必 要 な 情 報 の 決定 – 暗号に関係する各モジュールの選定 – サーバ運用コスト算定 • U se r層 – 目的:サービスの利用 • 利用先サイトの安全性確認(自己評価) – サイトの信頼度評価 – サイトの安全性評価 21 図 4-3 暗号 SLA の対象ユーザとその関係 4.3.2 暗号SLAを利用したロールプレイングシミュレーション 暗号SLAの有用性について評価することを目的として、開発した暗号SLAポータルサイトに組み込ま れたHTTPSサイト検証機能と危殆化曲線表示機能を利用してロールプレイングシミュレーションを実 施した。HTTPSサイト検証機能とは、調べたいHTTPSサイトで適用されている暗号モジュールの情報を 確認し、暗号SLAレベルを表示するツールである。危殆化曲線表示機能とは、RSA暗号のどの鍵長サイ ズが何年ごろに解読する可能性があるかを表示するツールである。プレーヤの情報を以下に示す。 1.ISP担当者:現通信キャリアの社員 2.SI担当者:現自動車メーカのネットワークエンジニア運用を担当する社員 3.商店経営者:輸入品雑貨を取り扱うベンチャー企業のCEO 本ロールプレイングシミュレーションにおいては、図4-2と図4-3における暗号SLAの関与者として 表現すると、商店経営者̶SIer̶ISPという関係となる。 プレーヤ「商店経営者」の要件を以下に示す。 ・韓国の食料品と雑貨を販売するオンラインショッピングサイトを立ち上げたい (立ち上げから1 年以内は高額商品の取り扱いは行わず安価な商品のみを取り扱いたい) ・ショッピングサイトでは、お客様の個人情報(住所・氏名・電話番号)・クレジットカード番 号をやり取りしたい ・オーナは、インターネット上に存在する一般的なオンラインショッピングのサイトと同程度の 安全性を提供したいと考えている(既に候補に挙げているショッピングサイトが複数存在する) 85 SI担当者がサイト構築にあたって必要な情報を以下に示す。 ・ 商店経営者が立ち上げを考えているオンラインショッピングサイトのコンテンツ充実化のた めのコストと安全性対策コストとしてどの程度を想定しているのか ・ (暗号による)安全性をショッピングサイトの訴求力としたいのか ・ ショッピングサイトのシステムバージョンアップを考慮した場合、システムの稼動はどの程度 の期間を想定しているのか 続いて、SI担当者と商店経営者間で行われた内容を順に示す。 1. 商店経営者が参考にしたショッピングサイトのURLをHTTPSサイト検証機能に入力し、SI担当 者と商店経営者双方で確認する 2. 暗号SLAレベルの結果は、鍵長サイズ1024bit(レベル3),共通鍵の種類Triple-DES(レベル3), 操作モードCBC(レベル3),ハッシュ関数SHA-1(レベル2),証明書の発行元:A社(レベル3) 3. この結果から、危殆化曲線表示機能に鍵長サイズ1024bitを入力する 4. 解読可能性は2020年頃であることを双方で確認する この結果をもとに関係者間でオンラインショッピングサイト構築に必要な暗号に関わる検討が行 われ、暗号利用に関する合意形成を行うことになる。今回実施したシミュレーションでは、ハッシュ 関数の暗号SLAレベルが2であるため、それと同等あるいはそれ以上の候補としてSHA-2 (SHA-224/SHA-256)に変更することで合意がなされた。また、証明書発行元についてはA社で問題ない ことについても確認が行われた。最終的に、暗号SLAを利用した結果、A社の電子証明書を利用し、既 存の安価なWebサーバソフトウェアを組み込むことで双方の合意を得るに結論付けられた。 続いて、ISP担当者とSI担当者まで行われた内容を順に示す。 1. SI担当者は、商店経営者との合意で得られた結果をもとにオンラインショッピングサイトを 構築するための情報をISP担当者に通知する 2. この結果から、ISP担当者とSI担当者の双方で暗号に関する検討を実施する 3. ISP担当者は、RSA解読可能性について危殆化曲線表示の結果をもとに、より詳細な情報をSI 担当者に通知する 以上の結果を踏まえ、ISP担当者とSI担当者の双方で暗号に関する検討が行われた。最終的に、コ スト面を考慮した上で鍵長サイズを2048bit、共通鍵暗号の種類をAESに変更することで合意形成がな された。今回実施したシミュレーションの結果から、全ての関係者において暗号SLAを利用すること により、明確に暗号利用における合意形成が行えることを確認することができた。なお、今回のシミ ュレーションで実施した各プレーヤに対して暗号SLAに関するインタビューの結果を以下にまとめる。 [商店経営者] ・ RSAの詳細情報よりも、その暗号が一般的に主流なものであるのか、安全性が高いのか、とい ったような概して「安全性」を強調している意見が多数 [SIer担当者] 86 ・ 暗号アルゴリズムの普及度、標準化情報が整理された情報としての提示を希望 ・ 暗号SLAレベルとして各項目が分類されているのは分かりやすい [ISP担当者] ・ 暗号適用コスト、置き換えコスト、セキュリティホール情報の提示を希望 [全体意見] ・ 暗号SLAのより詳細な利用手順(マニュアル)があればなお良い ・ かなり専門的知識が全てに場面において必要である。しかし、その詳細を知る必要は無いが、 簡単にまとめられた情報提供などがあれば便利。 ・ 暗号危殆化に関する情報は、ほとんどの利用者にとって一般的な情報ではない。提供される情 報は専門的すぎる可能性が高い(一例:中小企業の経営者にとってそこまで把握しておく余裕 があるのか、高度な情報すぎるため混乱を招かないか、利用者ごとに情報提供をカスタマイズ できればなお良い) ・ 提供するシステムに組み込まれた暗号モジュールを適切に運用していくためのサポートがあ ればなお良い(知識情報提供サイトとの連携があればなお良い) 4.3.3 暗号SLAポータルサイトの設計と開発 ロールプレイングシミュレーション、および各プレーヤからのレビュー結果を踏まえて、暗号 SLAポータルサイトの設計を行った。特に、ポータルサイト利用者が暗号の専門的な知識を必要と せずに暗号SLAを利用できるようにし、必要な情報をユーザ間で確認しあえるようにするため、次 に述べる機能群に分割する設計を行った。システムの全体構成を示したものが図4-4である。機能 としては、1.対話形式合意形成ツール、2.HTTPSサイト検証ツール、3.暗号危殆化曲線表示 ツール、4.知識情報提供ツール(ナレッジベース)から構成される。また、暗号危殆化に関す る知識データベースとしてはNIST SP800-57およびFIPS140-2を対象とする。今後、情報セキュリ ティ全般に関する国際標準としてISO/IEC15408、ISO/IEC 13335,ISO/IEC17799(BS7799)を知識デ ータベースとして新たに参照する予定である。 暗号SLAポータルサイトでは、利用者ごとにカスタマイズされた情報提示を実現できるようにす るため、システム全体としてはユーザ管理を可能としたグループウェアのような構成として設計 を行った。 87 暗 号 SLA ポ ー タ ル サ イ ト システム全体構成 国際標準 国際標準 SP 8 0 0 -5 7 対 話 形 式 暗 号 SLA 合意形成ツール HTTPS検 証 ツ ー ル 危殆化曲線 F IP S 1 4 0 -2 I S O /I E C 15408 ナレッジベース I S O /I E C 13335 I S O /I E C 17799 脅威モデル 31 図 4-4 暗号 SLA ポータルサイト システム全体構成 今後、暗号SLAポータルサイトがインターネット上で暗号危殆化に関する情報発信サイトとして 位置づけられるように、RSS(RDF Site Summary)による情報配信機能も実現している。また、暗号 危殆化情報は常に更新されていく情報であるため、提示される情報の更新が容易に行えるように している。その機能として、RSAチャレンジコンテストによる暗号解読の成功報告により暗号危殆 化曲線表示ツールの動的変更を可能にしている。さらに、HTTPSサイト検証機能では、NISTや CRYPTRECからの情報をもとに暗号SLAレベルの変更などに応じることができるようにしている。そ れ以外にも、対話形式で行う暗号SLA合意形成ツールでは、あらかじめ登録されたユーザ以外にも 対応できるように、利用者ごとに質問項目を変更できるようにしている。このように、暗号SLAポ ータルサイト利用者に対して、暗号危殆化に関する最新情報を容易に把握できるように利用者だ けでなく管理者にとっても自由度の高いシステム構成としたのが特徴的である。 暗号SLAポータルサイトの利用者はポータルサイトへログインすると図4-5左図の画面が表示さ れる。ツールごとに利用することも可能であるが、通常、関係者間で暗号SLAを利用した合意形成 を行いたい場合には、はじめに図4-5右図に示した合意形成ツールから開始する。合意形成ツール の使い方は、利用者が質問に対して回答を選択するのみで行う。合意形成ツール利用の仕方を以 下に示す。本ツールでは、オリジナルのSLAと同様に暗号SLAに適応したPDCAサイクルの手続きを とるが、具体的な使用例を以下に示す。 88 図 4-5 メイン画面(左図) 対話形式合意形成ツール(右図) 1.利用者の選択(複数人で利用する場合には暗号SLAを必要とする中心のユーザを選択) 2.暗号モジュールの適用先の選択 3.必要な暗号の安全性の選択 4.参考にしている暗号化ページがあればそのサイトのURLを入力 5.表示された暗号SLAレベルの理解の確認 6.必要な場合には、ナレッジベースへの入力 7.出力された結果を利用者全員で確認する。その結果、合意がなされれば終了する。合意が なされなかった場合には、問題点の抽出、検討を実施する。その後、必要な箇所から再度 実行する。 暗号SLA合意形成ツールでも利用していた機能として、HTTPSサイト検証ツール(図4-6左図) および暗号危殆化曲線表示ツール(図4-6右図)双方ともに個別に利用できるようにしている。HTTPS サイト検証機能ツールでは、参考にしている暗号化WebサイトのURLを入力すると、そのWebサイト で適用されている暗号モジュールの解析を行い、簡単に暗号SLAレベルが表示される機能を提供し ている。本ツールで分析可能な暗号SLAの項目は、1.RSA暗号の鍵長サイズ、2.共通鍵暗号の 種類、3.共通鍵暗号の操作モード、4.ハッシュ関数、5.証明書の有効期限、6.証明書の 発行元である。これらの結果をレーダチャートにしてさらに分かりやすく表示できるようにした 点が特徴でもある。 89 図 4-6 HTTPS サイト検証ツール(左図) 暗号危殆化曲線表示ツール(右図) 暗号危殆化曲線表示ツールでは、RSAセキュリティ社による因数分解解読事例の結果を利用し、 鍵長サイズを入力すると解読成功が予測される時期が表示される機能を提供している。現時点で は、576bitおよび640bitが解読された時間をもとに危殆化曲線を導出するようにし、今後解読成 功の報告に基づいて危殆化曲線が変更できるように実現している。 それ以外にも各々の機能において利用者が分からない点や、暗号危殆化に関する国際動向など を把握するためのサポートツールとしてナレッジベース機能(図4-7)を提供している。暗号SLAポ ータルサイトで提供するナレッジベースでは、暗号危殆化に関連した内容を、項目ごとに分かり やすく情報提供するサポートツールである。これは、国際標準や専門的なドキュメントはその内 容の構成が複雑であり、全体を読破することは困難であるため、そのサポートを利用者に行うこ とが目的である。現時点では、提供するドキュメントとしてSP800-57およびFIPS140-2を対象とし ているが、今後、暗号危殆化に関係する他のドキュメントも取り込めるインタフェースを提供す る予定である。 4.4 おわりに 平成 19 年度の研究活動は、主に開発した暗号 SLA ポータルサイトを利用して一般に向けた公開実 証実験を行い、暗号 SLA に関して最終的な取りまとめを行うことである。さらに、実証実験の結果 を踏まえ、暗号 SLA 自身の精緻化を進め暗号 SLA ポータルサイトを一般社会に広く公開し、多くの 暗号利用者に対して暗号危殆化リスクに関する情報発信を積極的に進めていく予定である。 90 図 4-7 ナレッジベース(SP800-57/FIPS140-2 版) 掲載記事 [信学会]暗号の脆弱性を評価するツール,JSTと筑波大が開発, 日経BP-TECHON, http://techon.nikkeibp.co.jp/article/NEWS/20060922/121368/?ST=observer&ref=rss, 2006. 参考文献 [1]猪俣 敦夫,大山 義仁,岡本 栄司, 暗号危殆化に対する暗号 SLA の提案と支援ツールの実 現 ,情報処理学会論文誌, 第 48 巻, 第 1 号, pp.178-188, 2007. [2]猪俣 敦夫, 大山 義仁, 岡本 栄司, 暗号危殆化リスクに対する暗号 SLA 支援ツールの開発 , 電子情報通信学会 H17 年次ソサイエティ大会, 大会予稿集(CD-ROM), 2006. [3]猪俣 敦夫,岡本 栄司, 社会技術的観点から暗号危殆化リスクを考える , 電子情報通信学 会学会誌寄書, vol.90, No.2, pp.135-138, 2007. [4]木田 祐司, 暗号アルゴリズムの詳細評価に関する報告書 , CRYPTREC 暗号アルゴリズム及び 関連技術の評価報告, No.0021, CRYPTREC2002, 2002. [5]木田 祐司, 素因数分解計算機実験 研究調査報告書 , CRYPTREC 暗号技術関連の調査報告, No.0201, CRYPTREC2004, 2004. [6]青木 和麻呂, 植田 広樹, 木田 祐司, 下山 武司, 園田 裕貴, 一般数体篩法実装実験(1)-概 要 , SCIS2004 予稿集, No.2B1-3, 2004. [7]青木 和麻呂, 伊豆 哲也, 植田 広樹, 下山 武司, 一般数体篩法実装実験(2)-ミニ素因数分 解・ミニ素数判定 , 信学技報 Vol.103 No.711, IT-2003-112, pp.229-234, 2003. [8]NTT 情報流通プラットフォーム研究所, 最新 暗号技術 , アスキー, ISBN-10(4756147550), 91 ISBN-13(978-4656146554), 2006. [9] 岡 本 龍明, 山本 博資, 現代暗号 , 産 業 図 書 , ISBN-10(478285353X), ISBN-13(978-4782853535), 1997. [10]宇根 正志, RSA 署名に対する新しい攻撃法の提案について̶Coron-Naccache-Stern の攻撃法 ̶ 、日本銀行金融研究所 金融研究, 1999. [11]宇根 正志, 岡本 龍明, 最近のデジタル署名における理論研究動向について , 日本銀行金 融研究所 金融研究, 2004. [12]斉藤 真弓, RSA 署名方式の安全性を巡る研究動向について , 日本銀行金融研究所 金融研 究, 2002. [13]宇根正志, 神田雅透, 暗号アルゴリズムにおける 2010 年問題について , 日本銀行金融研究 所 Discussion Paper No.2005-J-22, 2005. [14]宇根正志, 神田雅透, 金融分野における暗号アルゴリズムにおける 2010 年問題について , 暗号と情報セキュリティシンポジウム(SCIS2006), 2006. [15] 独 立 行 政 法 人 情 報 処 理 推 進 機 構 , CRYPTREC Report 2003,2004,2005 ,http://www.ipa.go.jp/security/enc/CRYPTREC/fy15,16,17/cryptrec20040310_ report01.html, (2004-2006). [16]RSA Laboratories, The New RSA Factoring Challenge , http://www.rsasecurity.com/rsalabs/node.asp?id=2092 [17]Arjen K.Lenstra, Eric R. Verheul, Selecting Cryptographic Key Size , Journal of Cryptology, Vol.14, No.4, Springer-Verlag, pp.255-293, 2001(1999 is original version). 平成 18 年度暗号リスク WG 構成メンバ リーダ :岡本栄司 (筑波大学大学院システム情報工学研究科教授) メンバ :勅使河原可海(創価大学工学部教授) 宝木和夫 (株式会社日立製作所システム開発研究所) 冨高政治 (富士通株式会社) 赤井健一郎(株式会社三菱総合研究所) ギジェルモ・ラミレス・カセレス・オラシオ(創価大学博士課程) 猪俣敦夫 (独立行政法人科学技術振興機構) 吉武静雄 (独立行政法人科学技術振興機構) 92 5 DRM(デジタル著作権管理) 5.1 はじめに 情報通信ネットワークが急速に整備されつつあるなか,単純な情報消費者に過ぎなかった多くの利 用者が、今や情報を積極的に生成・加工し、発信する主体へと変化してきている。また、これに呼応 するように情報を収集,加工する技術やツールが日々進化していることは言うまでもない。多くの 人々が自分自身のホームページやWeblogを提供し、さらには YouTubeに代表されるCGM(Consumer Generated Media)と総称される多種多様なコンテンツ提供を行うようになっている。このような状況 は、これまでにない豊かな情報基盤を形成し、消費者の便益を増大させたと共に、同時に多種多様な リスクを顕在化させ、新たな社会的コストを生み出しつつある。 第1の社会コストは,これまで別のメディアを通じて情報(コンテンツ)を提供してきた供給業者の 存続を脅かすことによる損失である。その原因の1つは,情報機器の性能とソフトウェアの高度化に よって,品質を劣化させることなく複製したり、提供された情報を加工することが容易になったこと だ。その結果,売上高の減少などにより供給業者の利益を圧迫し,創作インセンティブを殺ぐ状況を 生み出している。最終的には,社会に供給されるコンテンツの絶対量が減少することが危惧されてい る。 第2の社会コストは,消費者の利用が萎縮することによる損失である。権利保護が適切に処理され ているか否かを判断できないコンテンツを利用することを躊躇し,結果として利用が忌避されてしま う恐れがある。ある「知」の活用が新たな「知」を生み出すという循環が停止してしまうことになり, 結果として社会的コストを生み出してしまう。 以上2つの社会コストを低減させるための方策の一つとして広く使われている手法が,デジタル権 利管理(DRM; Digital Rights Management)技術の活用である。コンテンツ供給者の対価回収可能性を向 上させ,適切な権利処理を可能にするという両面において,DRMは社会的コストを低減させる。し かしながら,DRMも万能薬ではない。現在のDRMには技術的に様々な問題点・課題を抱えており、 これらの解決は一筋縄では対応できない、言い換えればDRM毎に部分最適を狙うことは可能である が、全ての問題を完全に対応しうるDRMは作れないことが認知されつつある。また、DRMに対する コンテンツ制作や市場の反応も様々な状況にあり、必ずしもDRMが積極的に受け入れられているわ けではない。また、DRMをうまく活用しなければ,プライバシーの問題や利便性の低下などのマイ ナス効果を生み出しうる。 そこで本ワーキンググループ(WG)では,このような社会的リスクを同定するとともに,リスクを 低減させるための提言を行うことを最終目的として研究活動展開している。本ワーキングループでは 3つのサブワーキンググループ(SWG)を設けることによって多面的なアプローチを試みている。 • 技術調査研究SWG • 社会経済調査研究SWG • 実務構築調査研究SWG 各SWGが独自に研究を進め,その進捗状況を全体ミーティングで報告し議論するという形で研究 を進めている。 以下では,本年度の研究状況および研究成果を示す。 93 5.2 技術調査研究サブグループ 技術調査研究サブグループでは,DRM技術の調査研究を進めている.ここではその一部として,DRM に関連する専門用語を整理する. DRM,デジタル著作権管理 デジタル著作権管理とは,デジタル化されたコンテンツの著作権を保護し,利用を管理する技術の 総体である.複製制御技術,メディア資産管理,利用追跡などの技術からなる. 複製制御技術 複製制御技術とは,そもそも複製をできなくする技術をもとに,回数制限内での複製を許可する技 術,複製できる機器を制限する技術などがある.以下では,メディアに利用されている複製制御技術 について説明する. 5.2.1 物理的なメディアに施される複製制御技術 SafeDisc 米国のMacrovision社が開発したパソコン向けCD-ROM用プロテクト.ディスク上に故意にエラーセ クタを挿入し,読み込み時にそれをチェックすることにより正規品を見分ける(ディスクのコピー時 にはもっぱらエラーセクタを補正しようとするのを利用).CDのATIP情報を読み込み,CD-ROMと CD-R/RWを判別する仕組みも途中で組み込まれた.複製を防止する能力は高いが,正規品をコピー品 と間違える,いわゆる誤動作の発生率もやや高い.プロテクト解除技術向上に合わせバージョンアッ プを重ねている. AlphaRom 韓国のSETTEC社が開発したパソコン向けCD-ROM用プロテクト.ディスク上に故意に重複したセクタ を設置し,そのセクタがあるかどうかで正規品を見分ける(重複したセクタのアドレスや内容はコピ ーされない).セクタの重複がなければデータとしても破損している.誤作動する頻度は2003年1月(日 本導入)以前のバージョンは一部ドライブメーカーのドライブで壊滅的な誤爆率を出した(この大量 誤爆は,開発元の韓国,および日本国内の研究室では殆ど使用されていなかったメーカーのドライブ で発生した.特に有名なドライブメーカーとしては松下電器製(Panasonic)であり発生理由はピック アップ開始エリアが丁度エラーセクタの場所から開始していたため.ちなみにこのプロテクトを国内 で採用した最初のソフトは『ONE∼輝く季節へ∼』(フルボイス版)で初回出荷分約2000本のうち,23 本で発生した).しかしそれ以降のバージョンはさほど多くなく強度が強い.しかしこのプロテクト を採用したCDは構造上CD-ROM規格から外れているのではないかとの疑惑もある. ProRing イーディーコントライブが開発した国産のプロテクト技術で,コンピュータソフトウェア倫理機構 が公認している技術.ディスクの記録面にあらかじめ無信号部分を作成し,エラーセクタとして認識 94 させることで不正コピーを防ぐ.かつて「リングプロテクト(正式にはリングプロテック)」と呼ば れていたものとほぼ同様である.誤動作はほとんど無いが若干コピーされやすい.また,プロテクト 領域には有用なデータを書き込めないため,メディア中に使用できる容量が40MB減ってしまうのも問 題である.無信号部分が黒い線として視認できるのが特徴である. StarForce Star Force社が開発したパソコン向けCD-ROM用コピープロテクト.そのほとんどは起動もしくはイ ンストール時にシリアルIDを入力する.起動時にディスクの記録密度により,正規品であるかチェッ クする.ドライブに負荷を与えることや誤作動が多く,問題点が多い. CCCD(Copy Control CD) CDに記録された音楽データには,再生時のデータの読み取り誤りを訂正するためのエラー訂正符号 を埋め込むことが仕様として定められている.CDでは毎秒数回の読み取り誤りが発生するので,再生 時にCDプレーヤは常にこのデータによって読み取り誤りを訂正している.CCCDはこのエラー訂正符号 を意図的に壊すことによって.誤り訂正機能が正常に働かなくなることを狙ったものである.オーデ ィオ用のCDプレーヤでは誤り補正機能によって,人間の耳で聞いて不自然ではない程度にごまかして 再生されるが,データそのものを読み出そうとするCD-ROMドライブでは正しく読み出すことができな い.これによってパーソナルコンピュータなどに音楽データをCDから直接読み込ませることを防ぐ, ただし,この仕組みではアナログ信号に復号した音楽をコンピュータに音声入力してデジタル化する ことまでは防止できない.また,実際には市販されているCD-ROMドライブでもオーディオ用と同様に 補正して読み込めてしまう例が少なくなく,普通のCD同様にオーディオデータをパソコンにコピーす ることが可能であり,事実上コピー抑制の役割を果たしていないのが実情である.さらに,オーディ オ用として販売されている機器であっても,部品としてのCDドライブはCD-ROM用のものと同一である こともあり再生できないことがある.このままではパソコンでは利用できなくなるため,パソコン向 けのトラック(オーディオ機器では再生できない)にパソコン専用再生ソフトを用意し,製作者の望 んだ方法でしか再生できないよう処理された音楽データが記録されている事もある. 5.2.2 音楽コンテンツに施される複製制御技術 SCMS(Serial Copy Management System) 民生用のデジタルオーディオ機器(MD・DATなど)が装備するデジタルコピーの制御機構の1つ.デ ジタルオーディオインターフェイスでは,デジタル化されたオーディオデータとともにデータや機器 などに関する様々な情報を転送できるように設計されている.この情報の中に,著作権保護の状態を 示すビットとオリジナルソースなのかコピーなのかを示すビットが用意されており,これを使用して 複製制御情報を転送,録音機側で録音の可否を決定する仕組みになっている.一般的な音楽CDやデジ タル放送などをデジタル録音した場合には,データは「保護されたコピー」として扱われ,このメデ ィアからのデジタル出力に対して,録音機器は録音を拒否するように動作させる(コピー不可).つ まり,「デジタルでコピーされたものをさらにデジタルでコピーする」という2世代目のコピーが作 成できないようになっている.著作権状態が不明確なアナログ録音の場合には,「保護されたオリジ 95 ナル」として扱われ,1回だけデジタル経由でコピーすることができる(コピーワンス).CGMS-A同 様,レコーダ側の機能のみに依存するという弱さを持つ.ただし,その音楽の著作権の所在に関わら ず一律にSCMSの影響を受けてしまう事になるので,例えば,自分たちで作詞,作曲,演奏などを手が けた音楽のレコーディングに民生用のデジタルオーディオ機器を使用した場合に,自分たちが著作権 を有しているのにメディアのバックアップが作成できないといった問題が必ず起きてしまう. FairPlay FairPlayは,QuickTimeマルチメディア技術に内蔵され,iPod,iTunes,及びiTunes Storeによっ て使用されている.iTunes と共に iTunes Store から購入したそれぞれのファイルはFairPlayと同 時にエンコードされている,また同社の携帯音楽プレーヤ・iPodシリーズはこの方式のファイルをス ムースにシンクする.日本で主流となっているWindows Media AudioのDRMに比べ,比較的ユーザにフ レキシブルな二次利用を認めるため,日本では業界団体の反対により,iTunes Music Store開始が遅 れた要因の一つと考えられている.現在でもTV番組の販売が出来ない主因も業界団体の強固な反対に よるものであると言われている. FairPlayは公平かつ単純なDRM技術である.FairPlayで保護されたファイルは,暗号化されたAAC オーディオストリームを含む正規のMP4コンテナファイルである.このAACはen:Rijndaelアルゴリズ ムとMD5ハッシュの組み合わせを使っており,AACの暗号化を解くために必要なマスターキーもMP4コ ンテナの中に暗号化されて含まれている.このマスターキーの暗号化を解くために必要とされる鍵は ユーザキー と呼ばれている.iTunesでファイルを購入する際に.マスターキーを暗号化する為の 新たなユーザキーがランダムに生成される.この生成されたキーはAppleのサーバにアカウント情報 と共に保存され,生成したiTunesにも送られる.受け取ったiTunesはユーザキーを,暗号化したキー データベースへ登録する.このデータベースを使えばiTunesはマスターキーの暗号化を解く際に必要 となったユーザキーを手に入れ,暗号化を解いたマスターキーを使ってオーディオトラックを再生出 来るのである.別のコンピュータ上から既存のアカウントで認証する場合,iTunesはそのコンピュー タのユニークな識別子をAppleのサーバへ送り,アカウント情報と共に登録されたユーザキーを受け 取る.このことによって,同一のアカウントで認証していれば別のコンピュータ上でも購入した楽曲 を再生するために必要な全てのユーザキーを保持することができ,かつ認証できるコンピュータの数 をAppleのサーバによって制限することを確実にしている.コンピュータの認証を解除する場合, iTunesはAppleのサーバへコンピュータの識別子を削除するようにリクエストし,それと同時に iTunesのキーデータベースからユーザキーを削除する.iPodもiTunesと同様に暗号化したキーデータ ベースを持っている.iPodへFairPlayで保護された楽曲をコピーする際,iTunesはiPodのキーデータ ベースへユーザキーをコピーする.iPodはそのユーザキーを用いて保護されたAACオーディオストリ ームを再生するようになっている.これらの暗号化処理はQuickTimeとiTunesで固く施されているよ うに見える.そしてデータベース自身も暗号化されているため編集が出来ないのである. 5.2.3 ビデオコンテンツに施される複製技術 CGMS-A(Copy Generation Management System ‒ Analog) 映像信号にコピー世代・コピー可否の管理情報をのせ,これに対応するレコーダに相応の動作をさ 96 せるというもの.これには著作者の意図に従い「コピーフリー」「コピーワンス」「コピー禁止」な どの信号を選択して付加することが出来るようになっている.アナログの映像信号ではCGMS-Aとして 使用される.これにより,コピーが禁止されている映像をHDD・DVD・D-VHSレコーダ(これらに内蔵 されたVHSレコーダを含む.通常はコピー制御対応)などで録画しようとしても,レコーダ側が自動 的に停止するなどして録画することが出来ない.但し,あくまでレコーダ側のみの機能に依存する為, 相応の動作をしないレコーダだったり,レコーダとの間でその信号が除去,あるいは改ざんされてし まうようなことがあれば無力になる弱さを持つ.今のところ,アナログ記録方式のレコーダ(従来か ら存在するアナログVHS(ノーマルVHS・S-VHS・W-VHS),8ミリビデオ,ベータマックスなど)では この影響を受けるものが無い.日本において地上波と衛星放送のデジタル放送(ISDB)で実施されてい るコピー制御は,このCGMSにより制御されている.放送開始当初は,一部の有料放送を除き,CGMS-A の内容は「コピーフリー」だったが,2004年(平成16年)4月5日からは全てのチャンネルの全ての番 組が「コピーワンス」に変更された.これによって,多くの視聴者から反発の声がある. B-CAS方式 2000年12月1日にBSデジタル放送,2002年3月1日に110度CSデジタル放送,そして2003年に地上デジ タル放送がそれぞれ開始された.開始当初,限定受信は有料放送が対象であり,コピー制御も一部を 除いて行われていなかったが,「BSデジタル放送を録画したビデオテープがインターネットオークシ ョンに出品される著作権侵害があった」とする放送業界の主張により問題視され,2004年4月5日から は有料放送・無料放送を問わず著作権保護が目的であるとするコピー制御が開始された.この制御の 実効性を担保する手段としてB-CASの限定受信が応用され,これらはDRMとして機能することとな った.B-CAS方式によるデジタル放送は,動画データにコピー制御信号(CCI)を加えた上で暗号化 (MULTI2暗号・日立製作所開発)して送信される.視聴する際は,B-CASカードに格納されている暗 号鍵を用いて復号し,復号されたデータはCCIに忠実に取り扱われる.これにより,B-CAS方式の限定 受信の行われている放送・番組では,社団法人電波産業会(ARIB)とB-CAS社に認証され,B-CASカード が発行されたチューナー(コピー制御対応チューナー)にB-CASカードを挿入することが必須になり, それ以外の手段では視聴不可能になった.B-CASカードを使用する受信機には,特定条件に一致した 場合に放送局からのお知らせを目的とした文言を画面に表示する「自動表示メッセージ」と呼ばれる 機能がある.NHKの放送においては,ユーザー登録を行わないままBSデジタル放送を視聴し,一定期 間が経過すると,この機能を利用した「ユーザー登録のお知らせ」が表示される.地上デジタル放送 では,ユーザ登録をしなくとも画面上に「ユーザ登録のお知らせ」は表示されない.デジタルテレビ 放送については,ほぼ全面的にB-CAS方式によるコピー制御が行われているが,ラジオ放送の一部で は行われていない場合もある.また,110度CSデジタル放送での無料番組の一部では,コピー制御・ 限定受信の一方又は両方が行われない番組もある(主に広告を目的とした通販番組).B-CAS方式に よる放送では,デジタル技術を用いた録画機器(一部アナログ機器も含む)での番組の録画に様々な 制限が掛かる. マクロビジョン方式 米国のMacrovision社が開発したコピーガードシステム.これがかかったビデオソフトをVHSビデオ デッキにダビングしても,ダビングされた映像は極端に明るくなったり,暗くなったり,或いは著し 97 く垂直同調が乱れるなどして見るに堪えがたい画像になる.原理的にはVHSビデオデッキに搭載され ているAGC回路(Automatic Gain Control回路=入力された画像の利得(gain)を自動調整し,適切な感 度を保つための回路)を誤動作させる映像信号を入れることにより引き起こされる.テレビにはAGC 回路が無いので映像が乱れることはない.DVDなどのソフトのパッケージに「DVDプレーヤをVTR経由 でテレビに接続するとと画像が乱れることがあるので直接テレビに接続して下さい」と書かれている のはそういった理由である.マクロビジョン方式のコピーガードはAGC回路を備えるVTRでなければ効 果を発揮することが出来ない為,初期の頃のVHSやβ・8ミリビデオではコピーガードは働かない.な お,日本においてはマクロビジョン方式のバリエーション的なものも存在する.但し,最近のDVDレ コーダ等はこのマクロビジョン方式のコピーガード信号を検出したら自動的に録画停止になるなど の動作をするものも多くなっている. CSS(Content Scramble System) 多くのDVD-Videoソフトで採用されているコンテンツ暗号化システムである.映像コンテンツを暗 号化し,その暗号鍵を複製できないエリアに記録するもので,CSSが施されたソフトはパソコンなど で単純にコピーしても暗号鍵自体は複製できないため再生できない.リアルネットワークス子会社の DVD-Video再生ソフトウェアにCSSの解除キーが暗号化されずに埋め込まれ,これをノルウェーの当時 16歳の少年ヨン・レック・ヨハンセンが解析,1999年(平成11年)にCSS回避ツールDeCSSを開発・公 開した.現在ではDeCSSと同種のソフトウェアが多数インターネットなどで出回り,容易にCSSを解除 できるようになってしまっている.なお現在のところ,CSSの位置づけは「アクセスコントロール技 術」であり,著作権法で保護されているコピーガードには該当しないというのが文化審議会の見解で ある. DTCP(Digital Transmission Content Protection) 日立,Intel,松下電器産業,ソニー,東芝の5社が共同で開発し1998年(平成10年)に発表したデ ジタル伝送用のための暗号化技術.5社が開発したことから「5C(Five Company,ファイブ・シー)」 などとも呼ばれる.IEEE1394(Firewire・iLink)用のDTCP-1394やIP用のDTCP-IP(DLNAで使用されて いる)などがある.機器ごとにIDを持たせ,公開鍵暗号または共通鍵暗号を利用して相互認証し,双 方でコンテンツ保護が行えると認識しあえて初めて録画・再生が可能になるシステム.認証出来ると レコーダ側に復号用のカギを持たせ,映像データなどを暗号化して送信する.CCI (Copy Control Information)によって「Copy Free」「Copy Once」「Copy No More」「Copy Never」の4つのモード を指定できる.また,SRM (System Renewability Message)により不正機器のリストを共有すること ができ,不正機器のみを排除することが可能.CGMSやSCMSのようにレコーダ側の機器に依存すること は無くコンテンツ保護機能を持たない機器を排除出来るので,それらよりは強力であると言える.た だ,強力とは言っても,DTCPもまた,決して完璧ではないので,将来破られてしまう可能性は,決し てゼロではない.既に,世の中には,DTCPを研究するクラッカーなどが少なからず存在する事が推測 される. CPRM(Content Protection for Recordable Media) コピーワンス番組を録画するときに使われる方式.現在のところDVD-R・DVD-RW・DVD-RAM・DVD-R DL 98 には対応した製品が存在する.ただしいずれのメディアも利用するには対応した機器(DVDドライブな ど)やライティングソフトが必要である.CSSの暗号鍵が破られたことに対する反省からさらにシステ ムを強化し,万一暗号鍵が破られても対処出来るようにしたものである.固有のメディアIDを BCA(Burst Cutting Area)と呼ばれる,ライティングソフトで書き込めないDVDの最内周部分領域に書 き込み,映像データは暗号化して記録する.パソコンなどを使ってデータはコピーできても,メディ アIDを書き換えられないので復号できず,映像などを見ることは出来ない.この方式により録画され たメディアを再生する場合,たとえDVD-R・DVD-RW・DVD-RAM・DVD-R DLなどへの再生対応を謳ってい ても,その再生機器がCPRMに対応(データ復号を許されている,デバイスキーを機器が持っている.) していなければ見ることが出来ない.CPRMに対応したAV機器は,近年,機種が増えているが,旧型の 製品や,安い海外メーカー製DVDプレーヤなどには,CPRMに非対応の製品もある.また,CPRMに対応 したパソコンソフトによるメディア鑑賞の場合は,インターネットを経由しての認証が必要になる. 再生時は,このメディアIDと別のMKB(Media Key Block)によって作られる暗号鍵と,AV機器の持つデ バイスキーで復号が行われるが,万一暗号鍵が破られてもメディア側のMKBデータを更新してしまえ ば,そのメディアの復号が行えなくなり,映像を見ることが出来なくなる.ただし,CPRMのメディア をCPRMに対応したDVDプレーヤやDVDレコーダなどで再生する場合,アナログのビデオ端子からは, 『CGMS-A』として出力されるようになっている.2007年(平成19年)3月現在,家電量販店などのAV 機器コーナーでは,『画像安定装置』などと称して,『CGMS-A』などのアナログコピーガードが容易 に除去出来る装置が公然と販売されており,既に,多くの一般家庭に普及している事が推測されるた め,メディアの複製を完全に防止する事は困難だと言われている.したがって,コピー抑止効果とし ては,実質的には,「デジタルのままではコピーできないが,アナログに変換すればコピーできる」 という,民生用デジタルオーディオ機器に採用されている『SCMS』によく似ている. HDCP(High-bandwidth Digital Content Protection) HDTVに対応したデジタルAV機器にのなかには,HDMI(High Definition Multimedia Interface)端 子が搭載されているものが存在する.このHDMIは元々パソコンとディスプレイを接続するための標準 規格として広く採用されたDVI(Digital Visual Interface)がベースとなっており,広帯域のデジ タル信号を伝送する事が可能で,伝送速度も十分に余裕を持っており,HDTVを支える重要な規格と位 置づけられた.それまでにもHD信号の伝送用としてD端子があったが,伝送出来るのは映像信号のみ で音声については別途ケーブルが必要だった.それに対し,HDMIなら1本のケーブルで映像信号・音 声信号・コントロール信号が伝送できる点がメーカー各社の商品開発において評価された.HDMIは 2004年(平成16年)5月にはVer.1.1となり,DVDオーディオの伝送も可能になり,更に,2005年(平 成17年)8月には,SACDの伝送が可能なVer.1.2となり,同年12月には,Ver.1.2aに発展した.しかし, 鮮明な情報がデジタルのまま伝送出来るとなると,著作権保護の観点から,問題が生じる可能性があ った.そこで,HDCP(High-bandwidth Digital Content Protection)という方法が採用された.HDCP は,映像再生機器からディスプレイなどの表示機器にデジタル信号を送受信する経路を暗号化し,コ ンテンツが不正にコピーされるのを防止する著作権保護技術(コピーガード)のひとつである.HDCP は,各社のDVIやHDMIなどのデジタルインターフェースの暗号化に用いられているものの,D端子とい ったコンポーネント映像やS端子等のコンポジット映像から出力されるアナログ信号では,デジタル 信号のような暗号化は原理的に不可能であり,また,コピーガードを加えたとしても除去が容易であ 99 ると推測され,アナログ端子からの出力で作品の海賊版などが作られると懸念された. そこで,BD やHD DVDでは,AACSという新しい技術で,HD信号の出力を制限した. 具体的には,ソフトに収めら れている映像をHD画質で見るためには,HDMI端子のHDCPを必須とし,D端子などのアナログ端子から 出力される映像信号については,強制的にダウンコンバートする事により,DVD-Video並に制限する というものである. これなら,たとえコピーガードの除去により,海賊版などが造られるとしても, その画質は,従来のSD画質であり,HDとはならない.ところが1990年代までに発売されたアナログハ イビジョンテレビや,旧式のビデオプロジェクターなどにはHDMI端子が搭載されていないため,これ らの機器ではHDTV対応であるにも関わらずHDの高精細な映像では楽しめない事になってしまう.この ため,旧来のAVファンから反発の声が上がった.そこで,AACSでは2011年(平成23年)まで暫定的に, HD画質でのアナログ出力を認める事にした.それ以降のHD画質でのアナログ出力ついてはどうするの か,今後議論するとされている. AACS(Advanced Access Content System) AACSとは、HD DVDやBlu-ray Disc(BD)で使われている著作権保護の枠組み(および標準化や鍵発行 を行なっている団体の名称)である. AACSではコンテンツの暗号化システムや暗号キーの取り扱い, それにコンテンツ運用のルールなどが決められており, HD DVDとBDに対応した機器やディスクが対 応している.コンテンツの中に埋め込まれた鍵には,Title KeyとMedia Keyのふたつがあり,このう ちTitle Keyはコンテンツベンダーが設定するものである.一方,Media Keyの方はAACSに発行を依頼 し,発行してもらう鍵で,こちらは後述するようにDevice Keyとペアで用いる.Media Keyの方はデ ィスクの中にそのまま入っているわけではなく,MKB(Media Key Block)として保管されており,その ままでは利用できない上,まるまるコピーしても正常には動かない.MKBから鍵を取り出すには,コ ピーされていないオリジナルのディスクと再生機器(あるいはソフトウェアプレイヤー)ごとに発行 されるDevice Keyが必要である.Media Keyはディスクをスタンプするための原盤ごとに発行される ので安全性は高いと言われていた.しかし,あるソフトウェアプレイヤーの実装から,あるタイトル のMedia Keyが露見してしまった.このMedia KeyとTitle Keyを用いることで,特定のタイトルのHD DVD をバックアップすることが可能になってしまった.ところが,AACSがCSSよりも強力なのは,このMedia Keyは特定のタイトルにのみ有効であること,特定のDevice Keyを持つ機器やプレイヤーを否認する ことが可能であることである. 5.3 経済社会研究サブワーキンググループ 本サブワーキンググループでは,DRMワーキンググループの一部として「地域文化資本のデジタ ル化と社会経済価値創出のための社会実験を基盤とした研究−DRMはデジタルコンテンツの創出 と流通にどのような影響をもたらし,その最適な制度設計はどうあるべきか−」という題目で研究を 進めている。本年度はとりわけ社会実験の第1段階としての研究を進めた。 5.3.1 社会実験の目的 本社会実験の目的は,デジタルコンテンツの安全・安心な環境づくりを通じて日本コンテンツの質 と量を最大化させること,である。安全・安心な環境をつくるためには,著作権保護に関して制度お 100 よび体制づくりが求められており,そのために必要なデータや知見を得る目的として,社会実験を実 施することとした。 本年度の研究では,上記の目的を達成するための取り組みの一部として,後で詳述する実験を実施 した。本年度の実験における目標(小命題)は以下の3点である。第1に,ある特定の地域における文化 資本をデジタル化することによっていかなる多面的価値が創出し,その総和によって地域が持続可能 な社会となることが可能か,第2に,このとき市民のいわゆるFolklore(特定地域の共有文化資産)の DRMはいかにあるべきか,第3に,市民が創作したコンテンツの価値を最大化させるDRMの制度設 計はどうあるべきか,である。 5.3.2 社会実験の設定背景と意図 本社会実験において設定する背景は以下の通りである。すなわち,(1)巨額を投じて開発される商 業用コンテンツは,各供給者がコストを投じて保護すべきではないか,(2)それに対して,市民(一般 利用者)が創作できるデジタルコンテンツの著作権やDRMに関する見解は分かれている,である。こ のような考え方のもとで,本研究は市民が創作するコンテンツに焦点を絞り,著作権の保護制度の設 計を検討することとした。さらに市民のうち,特定の地域の中での文化資本のデジタル化にとりわけ 焦点を絞り,社会実験を試みることとした。 本研究において文化資本に焦点を当てた理由は,以下の通りである。第1に特定の文化資本が価値 化されずに残っていること,第2にそれをデジタル化すれば多面的効果を生み出すことができる可能 性があること,第3に比較的狭い地域の市民であるので総意が得やすいこと,そして第4に社会実験の 協力体制がとりやすいこと,第5に価値創造の把握が明確化・特定化しやすいこと,である。 5.3.3 社会実験の全体概要と本年度の進捗状況 本社会実験は,以下の4つのフェーズから構成される。 (1) 第1フェーズ:地域文化資本をデジタル化するための認識 第1フェーズでは,地域文化資本をデジタル化するための認識を確認する。地域の文化資本といっ ても,実に多種多様である。現在,地域の経済社会は,人口減少,少子高齢化の加速,産業の空洞化 などによって危機的状況にある。 しかし,文化資本や自然資本は潜在的ないしは顕在的に豊富に存在している。これらをデジタル化 することによって多面的に活用できれば,社会的効果とともに商業効果も期待できる。これによって 地域の経済社会が持続可能な状況になれば,その総和としての日本の豊かさが維持できると考えられ る。 本社会実験を実施する場として,島根県浜田市を選択した。その理由は,以下の通りである。 浜田市は人口が6万人強の典型的な地方中小都市である。この規模の都市の中に,神楽(かぐら)の 社中(舞いの団体)が50以上,神楽の面が数千枚,さらに神楽の衣装,小道具,切り絵,囃子,演目な どの有形または無形のコンテンツが集積している。浜田市にこのような優れた文化資本が存在してい るにもかかわらず,これらは価値化されていない。加えて,地域のアイデンティティやブランド化に あまり寄与していない。 101 これらの文化資産をデジタル化し国内外に流通させることによって,新しい価値創出の基盤が形成 できると思われる。ただし,純粋な商業向けコンテンツと同様の著作権管理手法が摘要可能であるか, ないしは適用すべきかという点を検討しなければならない。 そこで,浜田市に存在する豊富な文化資本をデジタル化し新しい価値を創出する過程において社会 実験を実施することを通じて,デジタルコンテンツの権利管理の体制および制度のあり方を検討する ことが有効であると考えた。 (2) 第2フェーズ:地域文化資本のデジタル化 第2フェーズでは,神楽に関連する文化資本をデジタル化する。本年度はこのフェーズを実施し, 以下のデジタルコンテンツを作成した。 静止画 約1,000枚の神楽の面をデジタル化した(DVDに収録)。これらには,説明を書いたテキストデータ を付した。また,神楽で使用する切り絵も約100枚デジタル化した。 動画 神楽の舞いをハイビジョン画質で撮影した(DVDに収録、30分×4本)。さらに,ダイジェスト版(2.5 分×4本),ショートムービー(画質が劣るもの30本)を制作した。 (3) 第3フェーズ:神楽に関連するデジタルコンテンツを利用した社会実験の実施 第3フェーズでは,いくつかの要因によってデジタルコンテンツに対する評価が変化するかを以下 の3種のアンケート調査を実施する。 第1に,文化資本の周知度(認識度)によって評価が変わるか,に関してアンケート調査を実施した。 第2に,同一地域(浜田市)の住民と都市の住民と周知度が異なるか,に関してアンケート調査を実施 した。第3に,デジタルコンテンツの質や量に応じて評価がどのように変化するか,に関してアンケ ート調査を実施し,比較検討する予定である。 さらにこのフェーズでは,(1)DRMの種類(強弱)によってデジタルコンテンツの評価は異なるか, (2)DRMの種類(強弱)によってデジタルコンテンツの流通量は異なるか,(3) DRMの種類(強弱)によっ てデジタルコンテンツの創作インセンティブに影響を与えるか,(4)DRMの種類(強弱)によってデジ タルコンテンツから得られる便益(満足度)は変化するか,(5)DRMはコストとの相関性があるか,な どを解明するために,アンケート調査やヒアリング調査を実施する計画である。これらの調査には, 他のサブグループとりわけ技術調査研究サブグループとの連携が不可欠である。 (4) 第4フェーズ:市民が制作したデジタルコンテンツはどのように管理されるべきか 第4フェーズでは,引き続き幾つかのアンケート調査を予定している。計画中のアンケート調査の 内容は以下の通りである。すなわち,(1)市民はどこまでの知識を持ち,コンテンツをどのように扱 って欲しいと思っているかに関するもの,(2)権利保護の現状に関するもの,(3)著作権教育(啓蒙活動) による権利意識の変化に関するもの,(4)年齢による著作権保護意識の相違に関するもの,(5)アナロ グとデジタルとの著作権意識の相違に関するもの,(6)商用コンテンツと市民が制作したコンテンツ 102 との教育利用による価値比較,である。なお,(6)に関しては,さらに顕示選好法によって価値の測 定を試みる。 (5) 第5フェーズ:市民が制作したデジタルコンテンツに関する包括的分析 このフェーズでは,さらに幾つかのアンケート調査の実施を通じて,より詳細な分析を行う。 第1に,多様な属性の人に対してアンケートを実施することによって著作権に関する意識とDRMと の相関性を解明する。第2に,デジタルコンテンツの管理主体,管理方法,管理体制はどうあるべき かに関して,市民や行政,非営利組織などに対してアンケート調査およびヒアリング調査を実施する。 第3に,これまでの調査結果および他のサブグループの研究結果にもとづいて,権利処理やDRM付与 のあり方に関して提言を示したいと考えている。 以上に示した5つのフェーズのうち,本年度は第3フェーズの半ばまで進捗した。以下では,第3フ ェーズで示したアンケート調査の結果の一部を示す。 5.3.4 デジタルコンテンツに関するアンケート調査 −神楽に関する市民の意識とそのデジタル化について− 本アンケート調査は,神楽に対する市民の意識自体および神楽のデジタルコンテンツ化に対して市 民がどのように感じているのかを調査したものである。 本調査結果は,神楽の2つの演目の神楽を実際に観てもらい,それに対していかなる印象や感想を 持ち,さらにそれらのデジタルコンテンツ化についてどのようなの意見を持っているか,に関して質 問したものある。 本アンケートの有効回答者数は47名である。加えて,アンケートには回答していないが,十数人の 若年者に対してヒアリング調査を実施した。 (1) 属性 回答者の男女比はほぼ同じくらいであるが,やや女性のほうが多かった(55%)。年齢に関しては, 若年者層はいなく,中年者が7割で,高齢者が3割となっている。 ヒアリング調査は若年者層に対して実施したが,そのほとんどは神楽を実際に観たことがない人々 であった。今回初めて神楽を観た印象は,非常に良いものであった。たとえば,「こんなにぞくぞく としたことはなかった」,「非常に興奮した」などの意見が多かった。 (2) 「神楽を観たことがあるか」という質問について 「神楽を観たことがあるか」という質問に対して,「ある」と回答した者が意外に多く,38%であ った。 街頭で市民に対して無作為に質問したならば,もっと少ない値となっていたと予想される。 神楽は1000年以上の歴史を有し,日本の各地に形を変えて残っている。したがって,石見神楽は観 たことがなくても,いずれかの種類の神楽を観たことがあるのかもしれない。したがって今回のアン ケート調査では,石見神楽を観たことがあるかを問うべきであったかもしれない。なぜなら石見神楽 103 は,舞の演目や舞い方,曲調などが他の神楽とは明らかに異なっているからである。 ただし,最近観たという人は少ないかもしれない。なぜなら,このアンケートは中高年者に対して 質問しているので,彼らは出身地や旅行先で以前観たというこという可能性があるからである。 (3) 神楽の印象についての結果 神楽の舞いを観てもらい,その直後にどのような印象を持ったかを質問した(複数回答可)。 ここでは,神楽の印象に当てはまる言葉として選んだ24のキーワードについて,上位10単語を挙げ る。その中でも,3つの単語の回答数が圧倒的に多かった。その1つが,「勇壮」(30票)という単語で ある。鑑賞してもらった神楽が,「塵輪」(じんりん)いう演目と,「大蛇」(おろち)という演目 であった影響もあるかもしれないが,この単語が第1位となった。続いて,「伝統」と「文化」(とも に26票)という単語が続いている。以下,「華やか」(14票),「面白い」(12),「豪華」(9),「元気」 (6),「創造的」(5),「哀愁」(5),「愉快」(4)が続く。 ここで挙げられた10の単語全体から読み取れる傾向としては,神楽に対して非常に肯定的なイメー ジであることであるである。 10の単語うちに,唯一マイナスのイメージであるといえるのは, 「哀愁」という単語である。これは, アンケート回答者が,中高年者であったことがにも関係しているかもしれない。 この結果は,石見神楽が本来持っている庶民性や娯楽性に由来するものであると理解できる。 つぎに,神楽の面,衣装,小道具などの模様やデザインについて質問した。その結果は,「大変好 き」(61%),「少し好き」(33%),「あまり好きではない」(6%),「好きではない」(0%)であった。 以上の結果から,神楽のデザインや模様は概ね人々に好まれていることがわかる。 神楽のデジタ ルコンテンツから,さまざまなものを生み出していくことについて可能性があるといえよう。 神楽などは郷土の伝統芸能とみられ,特定地域の人にしか受け入れられないものに思われがちであ るが,この結果からも実はそうでないことが分かる。1000年以上の歴史を持つ神楽には,日本人の根 本精神やデザインの形が生き続けているといえる。 今回は中高年者に対してしかアンケートを採っていないが,参加してくれた若者に対するヒアリン グ調査の結果によると,むしろ彼らこそが強い衝撃や印象を持っていることがわかった。これは,世 代を超え,歴史と伝統を背負った日本の文化として神楽が再評価されると理解することができる。さ らに,現在はポップカルチャーが先行しているが,海外世界においても日本の文化やデザインが大い に評価されつつある。 ポップカルチャーと比べて,神楽はより潜在的でより基層的なものである。このような性質を持つ 神楽がデジタルコンテンツ化されれば,海外でも評価される可能性は大いにあると思われる。 (4) 「また観たいか」という質問について 「神楽をまた観てみたいと思いますか」という質問に対して,「是非,観てみたい」という人は79% であった。これに「機会があれば観たい」(19%)を含めれば,実に98%に達する。 この回答は神楽を観た直後に採ったということもあり,リップサービスの部分もあろうが,その影 響を差し引いても高い評価であったといえよう。というのは,翌日に掲載された新聞記事(読売新聞 と神戸新聞)の中でも,鑑賞者の肯定的な印象が書かれていたからである。 本サブグループの研究者による定性的な観察でも,鑑賞者の大半が,演目のあいだ中,身を乗り出 104 して舞いを鑑賞し,独特な曲に聞き入っていたという印象を持った。 (5) デジタルアーカイブについて 最後に,「デジタルアーカイブとして神楽はきちんと保存すべきか」に関して質問した。その結果 は,「大いに進めるべき」(78%),「徐々に進めるべき」(20%),「わからない」(2%),「必要ない」 (0%)であった。 保存する必要がないという人は皆無であったので,すべての人々が価値がある文化資産(文化資本) として神楽を評価しているといえる。 ただし,「徐々に進めるべき」との意見も少なくない。実際,アーカイブ化を進めるためには,行 政等などからの資金を必要とする。日本の多くの地方自治体の財政が逼迫する中で,多額の資金を提 供することが危惧されていると予想できる。それゆえアーカイブ化は,原則として行政が実行するに しても,それが破綻しないようなスキームが必要であるといえる。 そのためには,本サブグループが進めている「市民の手による歴史文化資本に対するデジタルアー カイブ化とその市民による彼らによる利活用に関するの研究」が必要であるといえよう。 そこで本サブグループでは,特定非営利活動法人A-GENERいわみの協力を得て,浜田市内に保管 されている神楽の面のデジタルアーカイブを作成するとともに,本アンケート調査を実施した。 5.4 実務構築調査研究サブグループ 実務構築調査研究サブグループでは,「デジタル放送の将来像がDRMに与える影響度調査」とい う題目で本年度は研究を進めた。以下では,その成果の一部を示す。 5.4.1 デジタル放送の現状調査 (1) デジタル放送の推移 2003年12月1日,地上デジタル(テレビ)放送が東京・大阪・名古屋の3地区で始まり,2006年12 月には全国のすべての県庁所在地で地上デジタル放送が見られるようになった。日本の地上デジタル 放送は従来のアナログ放送を置き換えるものとされており,現行の法制では2011年7月24日までにア ナログテレビ放送は終了し,完全にデジタル移行することとなっている。 デジタル放送の特長は,映像や音声の信号を1か0の信号に置き換えて送ることによって,これまで のアナログ方式に比べると格段に多くの情報を,途中で劣化させることなく送ることができるという ことである。送信できる情報量が多いのでこれまでの映像に比べて非常に高画質のハイビジョン放送 や多くのチャンネルを送ることが可能になった。またこれまでの映像・音声の他にデータ放送と呼ば れる機能もあり,リモコンのボタン操作ひとつで,いつでも天気予報や文字情報のニュースが見られ たり,クイズやショッピングなどの双方向の番組作りも可能になった。 また携帯向けデジタル放送「ワンセグ」も2006年4月に正式スタートし,日本の巨大な携帯電話文化, マーケットの中に放送も参入した。 液晶・プラズマなど薄型・大型のテレビが爆発的なブームとなったこともあって,デジタル放送の 普及は順調に進み,2006年12月段階での受信機普及台数は1,725万台(NHK調査速報値)とされてい 105 る。 デジタル放送への移行のスキームが議論され,国の施策として決定されてきた1990年代に比較する と,日本ではブロードバンド化が進み,映像メディアへの接触方法が大きく変化してきた。それは映 像メディアの始祖とされる映画の独壇場に,テレビが登場し,やがてテレビ画面を独占していた放送 局による放送から,家庭用ビデオ,ゲーム機の登場でテレビ受像機が「テレビ局の放送だけを映すも の」から,「様々な映像メディアを写すスクリーン」に変化してきたところに,さらにブロードバン ド経由で流れてくる映像が本格的に加わろうとしている。 デジタル放送はデジタルメディアの一端であるため,他のデジタルメディアとの親和性も高く,今 後さまざまな展開が期待されている。また先に述べたようにデジタル技術により画質の劣化もほとん どない。 しかし,逆に言えば,「ハイビジョンの高画質」な,「何回ダビングしても画質の劣化のない映像 コンテンツ」が,「ブロードバンドネットワークを通じてシームレスに形成されたネットワーク」を 通じて流通する事象は,合法的なものなら賛美されるべきものだが,違法に流通するものであれば, 大きな問題を引き起こす。折りしも90年代後半から日本のテレビドラマが中国,香港,台湾,東南ア ジアで大ブームとなり,日本での放送から1週間以内に違法にダビングされた映像ソフトがこれらの 国の街頭で売られる,という事態が頻発し始めた。また,前後して日本のアニメ作品が広く世界に浸 透し始め,大きなコンテンツマーケットを形成することとなった。「メイド・イン・ジャパン」のコ ンテンツだけの問題ではない。日本の地上波放送にとって重要なコンテンツである洋画(主にハリウ ッド製作の映画)が日本でハイビジョン放映されたものが,違法に録画,複製されたものが,ブラッ クマーケットに流れ流通するという事態が日常化すれば,大きな経済的損失を著作権者に与えるのみ ならず,ハリウッドが日本の放送に映画を出すことを躊躇する,ということにもなりかねず,テレビ 放送を通じて多種多様な娯楽を享受してきた善良な一般視聴者にとってもはかり知れない損失とな る。 このような背景から,デジタル放送では所要の権利保護のスキームが導入されることになった。本 章では,その経緯を考察していく。 (1)-a 専門チャンネルのCSデジタル放送の登場 地上デジタル放送前 地上デジタル放送の開始に先立つこと7年。1996年10月,日本のデジタル放送はCS(通信衛星を使 った衛星放送),「パーフェクTV」(現在のスカイパーフェクTV!)で始まった。CSではデジタル の特長のうち,多チャンネル化を実現した。映画,ニュース,スポーツ,アニメなど200を超える専 門チャンネル群を生み出された。衛星から送り出される電波は全国一律。低コストで全国をカバーで きるというメリットがあり,少ない資金でも始められる専門チャンネルに向いているメディアととら えられている。 元々のCS放送はアナログの衛星を利用した「スカイポート(1992年∼98年)」と「CSバーン(1992 年∼98年)」が元祖である。またこの間に各地で多くの都市型多チャンネルのケーブルテレビが開局 して,これらのケーブルテレビは地上波放送の再送信だけでなく,衛星経由のCS番組をセールスポ イントにして発展していった。また,デジタルCSもパーフェクTV以外に,国際的メディア王と呼ば れたマードック氏が日本進出を図ろうとしたジェイ・スカイ・ビー(1996年12月設立),米国で普及し たディレクTV(1997年12月本放送開始)の参入があったが,いずれもマーケットの取り合いの中で 106 パーフェクTVと経営統合し,現在の「スカイパーフェクTV!」を形成するに至った。 また,BS(放送衛星)デジタル放送とアンテナを共用できるメリットがあることからBSと同じ軌 道位置(110度)の通信衛星でのCSデジタル放送も2002年に始まり「110度CS放送」と呼ばれている。 現在多くの地上デジタル受信テレビには,BSデジタル放送とこの110度CS放送の受信機能もついてい る。110度CS放送は開始当初はスカイパーフェクTVと日本テレビ系の「プラットワン」の2つのプラ ットフォーム(サービス)があったが,これも2004年に経営統合され,現在のスカイパーフェクTV の110度CSサービスに一本化されている。 著作権保護の点から見ると,従来型スカイパーフェクTVは専用の受信機から映像・音声のケーブ ルでアナログ化された信号を取り出して,アナログテレビで視聴するというのが基本的パターンであ るので,特段のデジタル権利保護のスキームは取られていない。勿論,有料放送であるので受信機に 備え付けられたカードを用いて契約チャンネルの鍵開けをする限定受信方式は取られている。110度 CSについては,元からBSデジタル,地上デジタルと受信機を共用するスキームの中で規格が決定さ れたのでBCASカードを用いた限定受信,コピー制御の方式が取られている。 (1)-b BSデジタル放送 本格的デジタル放送の開始 次いで2000年12月に始まったのがBSデジタル放送。アナログ放送でNHKが1,000万世帯を越える一 大マーケットを築いてきたメディアのデジタル版だけに民放各系列もこぞって新会社を作り参入し た。ここでは高画質のハイビジョンと双方向機能を活かしたデータ放送が注目を浴びた。特にデータ 放送は,あらかじめ受信機に設置場所の郵便番号を入力しておくことで,いつでもその地域の天気予 報が見られ独立型と呼ばれるサービスや,選挙の開票速報でも自分の地域の開票速報が見られたり, クイズやショッピングに双方向で参加できる番組連動型の2種類のサービスがスタートした。 「今後はBSとブロードバンドの時代だ」。こんな勇ましい掛け声にローカル局は「炭焼き小屋」化 してしまうのでは,と戦々恐々とする中でBSデジタル放送はスタートした。衛星ひとつ上げれば全 国をカバーできるので,地上波ネットワークに比べて安価に全国に番組を届けられるというメリット が放送開始前後にはアピールされ,ナショナルスポンサーがBSに乗り換えるのではないか,という 点が危惧されたからだ。しかしBSデジタル放送の道はなかなか厳しく,放送開始前に言われた「千 日一千万台」という普及目標は1,000日に当たる2003年7月で約432万世帯(NHK推計)と目標の半数 以下だった。総合編成,無料広告放送という地上波と同じビジネスモデルを踏襲したが,折からの不 況もあり,「受信機が高い割に番組に新味がない」という風評が先行してしまった。ただ,苦節のス タートとは言え,地上デジタル放送の受信機には,このBSデジタルの受信機能もついていることか ら受信機の普及は進み,2006年12月には,アナログ変換したCATVで視聴している世帯を含めて2,000 万世帯まで普及した。なお,NHKの独自調査では2006年12月現在のBSデジタル受信機普及台数は約 1,977万台となっている。 このBSデジタル放送から,現在のデジタル放送のDRMのもとになっているB-CASカードが登場し た。ちなみに放送業界ではDRMという言葉よりRMP(Rights management and Protection)という言葉 を常用する。またB-CASカードが元々,有料放送やNHK契約の有無を管理するための限定受信シス テムであったことはカードの名称そのものが(Conditional Access System)一番よく表わしている。 BSデジタル放送開始当初はコピー制御は行われていらず,B-CASカードは主に有料チャンネルであ るWOWOWとスターチャンネルの契約者識別と,NHKBS(デジタルBS1,2,BSハイビジョン)画 107 面に受信契約未締結者に受信機設置の連絡をNHKにしてもらい受信料支払いを促すメッセージ表示 に使われた。一般放送のコピー制御は地上デジタル放送と同時の2004年4月になってからである。 (1)-c 地上デジタル放送の登場 CS,BSに続いて2003年12月の地上デジタル放送開始で,いよいよ日本のデジタル放送は本格的な 普及を迎える。全国1波,つまり衛星を上げさえすれば全国をカバーできるCSやBSと異なり,地上波 は全国のすべての放送事業者に広げなければならないし,東京タワーや生駒山といった各放送局の親 局だけでなく,親局からの電波が届かない地域に設置された中継局をデジタル化していかなくては全 国でデジタル放送を見ることは出来ない。さらに地上デジタル放送が使うUHFの帯域は,すでに多く のアナログ放送が,親局や中継局用に使っているため,混信しないようにこれらアナログ波の周波数 を一度変更してからでないとデジタル放送の電波が出せないという地域も多い。またアナログ中継局 については,NHK,各民放局が全国に設置するのにおよそ40年をかけてきたものを,2011年7月まで の限られた期間内にデジタル化しなければならないという大きな困難を伴った大事業である。 こういう事情でデジタル放送の開始は全国一律ではなく,まず2003年12月1日に東京,名古屋,大 阪の3つの広域圏で始まり,順次,開始局を増やしていき,2006年12月にようやく全国の全部の民放 局でデジタル放送が始まり,すべての県庁所在地や主な都市で視聴可能になった。受信可能エリアは 世帯比率で言えば全国の84%に達したが,これから残りの16%のエリアに拡大していく困難な事業が 続く。 (2) デジタル放送の特長 映像・音声の信号をデジタル化して圧縮して効率的に送ることができる,このことはテレビ放送に 画期的変化をもたらした。また地上デジタル放送で日本が開発,採用したISDB-T(integrated services digital broadcasting-terrestrial)方式は,諸外国で採用された方式にくらべてはるかに様々な機能を可 能にするものである。一方で著作権保護の観点から言えば,前述したようにそれだけ魅力的なコンテ ンツが放送を通じて広く社会に流通することになるわけでコンテンツ保護が必要になる所以である。 デジタル放送の特長は,ハイビジョン,データ放送,マルチ編成(多チャンネル放送),携帯・移 動体向け放送(ワンセグ:地上波放送のみ)が一般視聴者にとっても日常接し,理解を得やすいところ である。そして,もうひとつ,国全体の利点としては使用する周波数(チャンネル数)を減らし,余 った帯域を通信や他のカテゴリーの放送に転用し,電波の有効利用がはかれるという点もある。 (2)-a ハイビジョン(高精細映像) 一般に映像の美しさを表現する物差しとしては画素数が使われることが多いが,テレビ放送は走査 線で画面に画(絵)を描いていくので走査線の本数が基準となっている。これまでのアナログ放送で は,日本が採用しているNTSC方式の場合,525本の線が交互に入れ替わり動画を描いていくインタ ーレース方式(i)が取られてきた。実効描画部分で言えば480本ということになり,これを標準画質 としている。さらにパソコンの画面と同じ表示方法である,全部の走査線がいっせいにかわるプログ レッシブ方式(p)もあり。デジタル放送ではこのように走査線の数とプログレッシブ,インターレ ース方式の組み合わせで放送規格が決まる。480i(480本の走査線を交互に動かすもの),(480p), (720i),(720p),1080i(1,080本の走査線を交互に動かすもの),(1080p)が規格となっていて, 108 720,1080がハイビジョンとされている。走査線の数が多いから非常に精細なところまで表現できる のがハイビジョンの仕掛けである。実際に日本のデジタル放送で用いられているのは標準画質480i と,ハイビジョンの1080iである。さらに言えば,アナログ放送時代からの標準画質の機器(カメラ, 録画・スタジオ設備)で製作された番組も局から送出されるときは1080iにアップコンバートされて 放送しているので,後述のマルチ編成時間帯以外はすべてがハイビジョン送出されていることになる が,アップコンバートの場合,画質は標準画質と変わらない。 アップコンバートではない純正にハイビジョンの製作環境で作られた番組を「ピュアハイビジョ ン」と通称することもある。デジタル放送の普及を進めるためには視聴者にデジタルテレビに買い換 えてもらう必要があるわけだが,一番,アピールしやすいのはこのハイビジョンである。このため, 総務省や放送事業者などで構成するデジタル放送推進団体の定めた計画の中では放送事業者にピュ アハイビジョンの番組比率を増やすよう具体的数値で努力目標を定めている。 なおハイビジョンという言葉はNHKが1964年以来開発を進めてきた高精細テレビにつけた「和製 英語」で,アナログ衛星放送でミューズ方式として実用化された。デジタル放送では正式には「デジ タルハイビジョン」と呼ぶ。また外国では「Hi Definition Television」であり,略してHDTV,或いは 口語では「ハイデフ」とも称される。日本でも放送業界内を中心にデジタルハイビジョンを「HD」, 標準画質を「SD(Standard definition)」と呼ぶ。 コンテンツ保護の観点から言えば,圧倒的にテレビ放送の画質が向上したという点がテレビからの 録画物の価値を上げることになる。また,音声も5.1チャンネルサラウンドや洋画番組でも日本語, 英語双方のステレオ放送が可能になった。 (2)-b データ放送 映像でも,音声でもないデジタル放送で本格的に始まったサービスで,具体的にはいつでもニュー スや天気予報の主にテキスト情報が見られたり,双方向機能と組み合わせてクイズ番組に参加したり ショッピングに参加したりできる機能である。ニュースや天気予報のようにその時放送している番組 の内容に関係なく定常的に同じメニューで放送されているデータ放送を「独立型データ放送」と呼び, クイズに参加するとか,その番組のさらに詳しい情報を伝える内容のものを「番組連動型データ放送」 と呼ぶ。 また双方向機能をサポートするためにBSデジタル以降は受信機に通信回線がついている。2000年 スタートのBSデジタル放送ではダイヤルアップ方式の2400bpsというスピードの低いものであった が,2003年開始の地上デジタル受信機ではADSLや光ファイバー,ケーブルインターネットの普及な ど一般家庭のブロードバンド化にあわせイーサネットの接続口を設けた。これによってデータ放送画 面から局のサイトに飛ばして,画像などの重いコンテンツをダウンロードするなどのサービスも可能 になった。また,データ放送ではないが,このイーサネットの接続口を利用して松下電器を中心にし た電機業界が中心になり,テキストと画像を中心にした通信接続サービス「Tナビ」も行われている。 この種の通信サービスは今後,動画配信にと拡大していく。 なお,デジタル放送のデータ放送自体は言語はHTMLではなく,BMLで記述するよう規格されてい る。 また,デジタル放送の全部分を録画できる機器ではデータ放送部分も含めて録画できる。(普及価 格帯のハードディスク録画機器ではサポートされていない。)このためBSデジタル放送の開始直後 109 には双方向クイズ番組をDVHSで録画して,番組で正解発表後にテープを巻き戻してデータ放送で正 解を入力,送信するケースが出てきたため,その後はデータ放送での時間制御を厳しくして録画では 参加できないようにしてある。 (2)-c マルチ編成(多チャンネル放送) アナログ放送と同程度の画質,標準画質ならひとつの放送局に与えられた帯域の中で3つまで番組 を同時に送ることが可能になった。マルチ編成とも多チャンネル放送とも呼ばれる。この機能を活か せば,常時,第2チャンネルでローカル編成を行ったり,野球中継が伸びた時もレギュラー番組を第1 チャンネルで流し,裏の第2チャンネルで野球を最終回まで中継することや,甲子園球場の阪神戦の 裏で横浜スタジアムのベイスターズ戦の中継ということも技術的には可能だ。しかし,実際には特に 民放では実現へのハードルは高い。その理由は民放の主たる収入源のコマーシャルに密接に影響する 視聴率で,複数の番組を同時にオンエアすることで視聴率が散逸したり,第1チャンネルと第2チャン ネルで広告主が競合する懸念もある。 毎日放送(MBS)では2003年12月のデジタル放送開始当初から平日のショッピング番組「板東英二の 欲バリ広場」で多チャンネル編成を行った。メインチャンネルでは毎日,新しい内容の放送を,サブ チャンネルでは過去に人気のあった回の再放送をし,言ってみればショッピングの売り場のタナが2 倍になるような効果を狙った。 CMのしがらみのないNHKは,2004年夏のアテネオリンピックでデジタル総合チャンネルで多チャ ンネル編成を使い多くの競技をカバーした。さらに同年秋には教育テレビで本格的に多チャンネル編 成を開始,囲碁将棋などの趣味,外国ドラマに再放送等々,弾力的な編成を始めた。一方,民放他局 では野球やゴルフ中継で複数のカメラを選べる試みがなされたり,MBSでも視聴者からの携帯サイ トとデータ放送の投票で負けた方のお笑い芸人が「サブチャンネルに落ちていく」趣向の娯楽番組「国 民のルール」を2005年に制作したが,総じて民放ではあまり実現していない。 (2)-d 携帯・移動体向け放送 ワンセグ 地上デジタル放送の電波の一部分を使い携帯や車載の受信機でも安定した受信ができる方式で送 信するもの。デジタル放送ではひとつの放送局に割り当てられた周波数の帯域(6メガヘルツ)を13 のセグメントに分割し,さまざまな信号を送っているが,そのうちのひとつのセグメントをこの携帯 向け放送に割り振ったので「ワンセグ」という名前になった。2006年4月から始まった。 放送内容は固定向け放送と同じ番組内容のサイマル編成だが,主な受信機は携帯電話なので,通信 機能と結び付けた双方向サービスが容易にできる。通常は画面の上半分が放送番組の映像,下半分に ワンセグ向けのデータ放送が表示され,そのデータ放送部分からiモードやEZ-WEBなどの通信サー ビスを介して放送局の携帯サイトにアクセスできる。 映像の圧縮方式は固定向け放送で使われているMPEG2という方式より圧縮効率の良いH.264が採 用されている。想定される映像サイズが大きくないこと,B-CASカードが実装できるサイズより小さ な受信機がほとんどのことから固定向けのようなスクランブル方式は取っていないが,録画した番組 コンテンツは自機でした再生できない制御となっている。 110 (3) コンテンツ保護システムの現状 (3)-a 制度面からの経緯考察 日本のテレビ番組の海賊版(違法コピー版)がアジアを中心にあふれている。特に人気の高いアニ メやドラマは放送日から2,3日でアジアの露店でDVDが売られるという有様だ。特にデジタル放送 はハイビジョン放送,5.1chサラウンド音声など,画質,音質とも品質が高い上に,デジタル技術の 特性でコピー回数を重ねても品質の劣化があまりない。このまま高品質の映像ソフトがデジタル放送 でオンエアされれば,ハリウッド映画など,特に著作権に敏感なライツホルダーが,日本の放送界に ソフトを提供しなくなるのではないか,このような懸念をかかえながら,2000年12月,BSデジタル 放送が始まった。 開始後,しばらくしてBSデジタル放送の番組録画テープがネット市場で売買されるという事件が 起き,デジタル放送におけるDRM実施の必要性が改めて認識された。(注:放送業界としては,DRM という言葉よりRMP,Rights Management and Protection という用語を使う。)さらに本格的なデジタ ル放送普及が期待される地上デジタル放送の開始が2003年12月に迫ってきた。このため,放送業界を 中心に,BSデジタル放送で,主に有料放送の加入者にだけ放送が視聴できるツールとして開発され たB-CASカード(Conditional Access System:限定受信カード)を利用したRMPシステムが提起され, 採用が決まった。 このコピー制御の方式はCGMS(Copy Generation Management System )と呼ばれ,デジタル放送の信 号にコピー世代・コピー可否の管理情報をのせるもので,これに対応するレコーダに相応の動作をさ せるというものである。これには送信する放送事業者の意図に従い「コピーフリー」「コピーワンス」 「コピー禁止」などの信号を選択して付加することが出来るようになっている。デジタル放送開始時 は「コピーフリー」の信号で始めたが,この方式導入後は一部110度CSのショッピング系のチャンネ ルを除いては,すべての放送事業者のすべての番組が,原則「コピーワンス」で放送されている。つ まり一度だけ録画ができ(コピーワンス),その後はダビングはできず,複製する時は元の素材が消 えるムーブだけが可能,となっており,この仕組みを担保するため,正しい仕組みを組み込んだ正当 なメーカーにだけB-CASカードを発行し,放送をスクランブル化することで,B-CASカード付きのテ レビでしか放送を視聴できなくする,という方式である。 コピーワンスと同時にスクランブル放送制の導入は,準備,視聴者への浸透を図るのに若干の時間 が必要と考えられたことから,地上デジタル放送開始からおよそ5ヵ月後の2004年4月から始まった。 開始当初は一部利用者から問い合わせが殺到したが,本格的なデジタル放送普及期の現在は大きな混 乱もなく定着している。 しかし,B-CASカードによるRMPは最終的な方式と放送業界が考えてきた訳ではなく,また,利 用者側の視点からも方式の変更を求める意見が強まってきた。 放送業界にとって問題となったのはB-CASカードのコストの高さである。元々,B-CASカードをRMP に採用したのは,その時点で利用可能な唯一の既成インフラであったという条件下での判断であった。 莫大な数の普及が見込まれる民生品テレビ,録画機器に,1枚当りのコストが高価なプラスチックカ ードを付けるというシステムを放送事業者も応分の負担をしながら続けていくのは過大な経費負担 になるため,早晩,カードを介さない,ソフトによるDRM,「新RMP」への移行が模索された。新 RMPとレガシーとなるB-CASカード方式両方の「カギ」を送るサイマルクリプト方式で検討が行わ れた。しかし,「カギ」が破られた際のリカバリー策を巡る論議などがまとまらず新RMP導入のス 111 ケジュールは大幅に遅れている。 他方,利用者側からは,これまでコピーフリーだったアナログ放送から,一挙に規制が厳しくなっ たため,反発があり,特にハードディスク付きDVDレコーダが普及するにつけ,DVDへのムーブ(コ ピーできないため,ハードディスク内の元素材を消去してDVDに移すこと)の失敗などから来る不 便さが喧伝された。 使い勝手という面からだけでなく,B-CAS方式を巡っては技術の大元のARIB(電波産業会)規格 自体が単なる技術規格であって,拘束力がどこまであるのかという疑義や,運営するBCASが独占企 業となることへの問題提起,受信者の個人情報が独占的にBCAS社に集まることへの不安,スクラン ブルを基幹メディアである地上波放送,無料広告放送にかけることへの疑義など,様々な観点から問 題が提起されている。 このような視聴者,国民からの意見を受け,様々な機会でコピーワンスに対する見直し論が提起さ れてきた。 (3)-a-1 情報通信審議会(総務省) 情報通信審議会が2005年7月31日に公表した第2次中間答申では「2011年の地上デジタル放送の全面 移行に向けた受信機の普及に際して大きな障害」などと批判し,「コピーワンスの現行の運用を固定 化する必然性はない,視聴者の利便性を考慮して運用の改善に対応することが必要」として,見直し を検討し2005年末までに結論を出すよう指示したが,具体的な結論は出されなかった。(第2次中間 答申を参照) (3)-a-2 「規制改革・民間開放推進会議」(内閣府主導) 「規制改革・民間開放推進会議」ではNHK改革や放送の地域免許制の見直しなど放送に関する案件 も議題になっているが,2006年12月に出された「規制改革・民間開放の推進のための重点検討事項に 関する第3次答申」ではコピーワンス緩和の方針が打ち出されている。(詳しくは,上記答申の94ペ ージを参照) (3)-a-3 文化庁の「文化審議会・著作権分科会」 文化庁の「文化審議会・著作権分科会」は2006年1月に報告書をまとめ,デジタルメディア全般の 著作権保護について触れ,デジタル放送のコンテンツ保護方式を紹介しているが,特段の問題点提起 はなかった。 (3)-a-4 内閣「知的財産戦略本部」 「知的財産戦略本部」は,知財に関する内閣の基本的な方向性を示す「知的財産推進計画」を毎年発 表しており,2006年6月に発表された「知的財産推進計画2006」の中でも,コピーワンスの見直しが 唱われている。(詳しくは「知的財産推進計画2006」89,90ページを参照) (3)-b 現在進行中の議論 これらの批判を受けてコピーワンスを中心にRMPの改訂議論が続けられている。電機メーカーを 中心とした団体,電子情報技術産業協会(JEITA)は,暗号化により出力データを保護しインターネッ 112 ト上には流出しないようにするが,コピー回数は無制限にするEPN(encryption plus non-assertion)方 式を提案している。情報通信審議会の答申も,コピーワンスに代わってEPN方式で検討せよ,と具体 的に一歩踏み込んだ。これに対し放送業界は「コピーが可能ではコンテンツホルダーが納得しない」 として猛反発している。 EPN方式とは,コンテンツを出力/記録する時には暗号化を施して著作権は保護するが,コピーに 関しては数や世代の制限などを設けないという考え方。「出力保護付きコピーフリー」となる。放送 波に多重するコピー制御情報の変更によって実現する。具体的には,デジタルコピー制御既述子の中 で複製の世代を制御する情報である「digital recording control data」の値と,コンテント利用記述子の 中で出力保護の有無を制御する情報である「encryption mode」の値を変更する。録画機に蓄積した 番組を取り外し可能な記録媒体に複製を生成する場合や,IEEE1394やIPネットワークなどのデジタ ル・インタフェースで出力する場合には,運用規定で認められたコンテンツ保護技術を使って暗号化 処理を施す。これを出力保護という。こうした運用形態にすれば,録画した番組のインターネットを 使った再送信が事実上不可能なまま,複製に対する制限は大幅に緩和される。 放送事業者側は,事実上コピーフリーになれば権利者の理解が得られずコンテンツの調達が難しく なるとして,EPN方式に反対の意思を表明してきた。またネットワークへの流出がEPNで防げるか疑 問としてきた。代わって放送事業者側が提案したのは,ハードディスク内にムーブ用のバックアップ を保存することを許して,基本的には現状と同じムーブだけ許すというものであった。 情報通信審議会の下部機関である「デジタルコンテンツの流通の促進等に関する検討委員会」は, 2006年12月に第6回会合を開催したが様々な意見が続出した。家電メーカー関係の委員は,EPN方式 の採用を原則としたうえで,「コピーワンス方式の採用が必要である一部の放送番組は例外的にコピ ーワンスにすべき」と提案した。 放送側委員からは,コピーワンス対象の番組とそうでない番組の 線引きは困難として,家電メーカー側の提案に難色を示した。ただ教育番組など学校で需要のある放 送番組についてはEPN方式にも含みを持たせた。一方で権利者団体側からは,事実上コピーフリーの EPN方式に強い懸念を示し,代替案としてコピー回数を緩和する方向を示した。委員会はこれで著作 権保護技術の検討を一時休止し,これまでに出た意見を整理することにし,2007年3月までに,コピ ーワンス方式の維持やEPN方式の導入など,それぞれの状況が視聴者にどのような影響を及ぼすかを まとめた資料を作成し,どの方式が地上デジタル放送にふさわしいかの議論を再開する。 (3)-c 各国のデジタル放送 地上デジタル放送は1998年9月 イギリスのBBCが標準画質(SDTV)で多チャンネル放送を開始し, 続いて11月には民放のON Televisionが有料・多チャンネル放送を開始した。 同じく98年11月には米 国で20都市の42の放送局で地上デジタル放送が開始された。米国は日本と同じ様にハイビジョン (HDTV)中心の展開となっている。 他に,スウェーデン(1999年),スペイン(2000年),オーストラリア(2001年),フィンランド (2001年),韓国(2001年),オーストリア(2006年10月)などでデジタル放送が開始されている。 中国では北京オリンピックにあわせて2008年に放送開始の予定である。また,日本と同じ方式を採用 することが決まっているブラジルは2007年12月にサンパウロから放送開始の予定である。 一方,アナログ放送の終了は,2005年にスウェーデンの一部地域でアナログ停波が実施された。以 降,イタリア,フィンランド,オーストリア(2007年),スペイン(2010年),フランス(2010年以 113 降),イギリス(2012年まで)などヨーロッパ各国でアナログ放送の終了が進む予定である。また台 湾は2008年,米国は2009年,韓国は2010年,中国では2015年までにアナログ放送終了が予定されてい る。 コンテンツ保護については日本ほど突出した動きはない。米国ではFCC(米連邦通信委員会)がブ ロードキャストフラッグというインターネットにコンテンツが流れないようにする制御をかけるこ とを,デジタルテレビ 受信機に基準適合義務を課すことによって実現しようとしてきたが,2005 年 5 月,コロンビア地区連邦控訴裁判所はFCC にはそのような義務を課す権限がなく無効という決定 を下し,宙に浮いた形となった。 (4) コンテンツ流通 (4)-a 国内コンテンツ流通事情 無料ストリーム配信の「Gyao」が2006年6月に登録視聴者数が1,000万人を超えるなどネットを利用 した映像コンテンツ流通は加速を増してきている。コンテンツ配信ビジネスとしてはB to C市場とB to B市場のモデルに分けることが可能であるが,本調査ではB to C市場を中心に報告をおこなう。 映像配信のサービスモデルとしては,パソコン向けの配信,セットトップボックスを使ったテレビ 向けの配信のほか,携帯電話へ向けたサービスが存在し,ユーザから月額固定や従量制で課金する有 料のモデルと無料のモデルが存在している。 (4)-b パソコン向けサービス動向 2005年4月にUSENがサービスを開始した「Gyao」を皮切りに,無料のストリーム配信サービスが 増えてきているといえる。放送事業者についても動向を探りながらコンテンツ配信への取組みが活発 化してきているといえる。 代表的なサービスとしては,Gyao(http://www.gyao.jp/),MSNビデオ (http://jp.video.msn.com/v/ja-jp/v.htm),Yahoo!( http://streaming.yahoo.co.jp/)などがある(詳しくは,平成 18年度委託研究報告『デジタル放送の将来像がDRMに与える影響度調査』を参照)。 (4)-c 放送事業者によるコンテンツ配信 放送事業者によるコンテンツ配信の代表的なものとしては, TBS(http://www.tbs.co.jp/bbbox/),フ ジテレビ(http://www.fujitvondemand.jp/index.html),日本テレビ(http://www.dai2ntv.jp/),テレビ朝日 (http://www.tv-asahi.co.jp/tvasahibb/) , テ レ ビ 東 京 (http://id.ani.tv/static/html/) , 関 西 テ レ ビ (http://www.ktv.co.jp/movie/index.html),プレゼントキャストなどがある(詳しくは,平成18年度委託研 究報告『デジタル放送の将来像がDRMに与える影響度調査』を参照)。 (5) その他の動き ネットレイティングス社の調査によると,2006年5月調査において,「Gyao」への推定接触者数が 382万人に対して,米国の動画共有サイト「You Tube」への日本から推定接触者が420万人と発表し, その急激な人気に注目があつまっている。その後,9月の同調査では,日本からの推定接触者数は734 万3,000人と,8月(731万9,000人)からほぼ横ばいになっている。 「YouTube」においては,その人気の背景には違法性の高い動画の投稿が多く見受けられており,10 114 月には民放テレビ局やNHK,日本音楽著作権協会(JASRAC)など23団体は10月20日,各団体が権利 を持つ動画を「You Tube」から削除するよう要請し,「YouTube」が計29,549ファイルを削除したと 発表している。さらに,著作権侵害ファイルのアップロードを防ぐ具体策を行うよう要請する書面を, 12月4日付けで送付し,12月15日までにJASRAC宛てに回答するよう求めている。 また,そのほかの動きとしては,2006年7月には,大手家電メーカー5社(松下電器産業,ソニー, シャープ,日立製作所,東芝)とISP(ソニーコミュニケーションネットワーク)において,ブロー ドバンド接続機能を有するデジタルテレビ向けの共通テレビポータルサービスを提供する事業会社 として「テレビポータルサービス株式会社」を設立。2007年度中にストリーミングVODサービス, 2008年度中にダウンロードサービスを検討しており,家電各メーカーも将来の映像配信について具体 的な動きを示している。 (3) コンテンツ流通の諸問題 日本が新たな市場として定めていたWTO加盟し,著作権法の整備を急いでいる中国に注目し,2005 年12月∼1月(上海),2006年12月(深セン・香港)と音楽を中心としたエンタテインメント調査を 実施した。 資本主義と共産圏の法体系の相違は,メディア特にモバイルを中心とした発展は目まぐるしいとい え,「ITU TELECOM WORLD 2006」においても日本の音楽メーカーが出展し,自社のモバイルサイ トやアーティストのプロモーションをおこなっている。しかし,日本のエンタテイメント産業は海賊 版を理由にアジア圏(特に中国)への進出が進んでいないというのが現状である。 海賊版はプロモーションのフライヤーであり,市中での頒布はその人気のバロメーターであるとい うのが現地関係者の話である。現在,香港ではCDの売上が最大4∼5万枚ということであるが,アナ ログ(レコード)の時代は,50万枚の打ち上げがあった。現状では有料(2∼5RMB)・無料の音楽 ダウンロードサービスにて音楽産業自体を盛り上げていくしかないのが現状である。 著作者なのか,著作権者・著作隣接権者であるかの契約は,あくまで日本の著作権法に基づいたも のであるが,中国では,むしろ最終的な利益を鑑みた米国に近い大陸的イメージで築かれつつあると いえる。香港の音楽出版社責任者に面談したところ,香港・シンガポールに関しては日本の論理は通 るが大陸は難しいとのことであった。 また,著作権は難解であるという理由から簡単なものにしようとする動きがあるもののやはり国内 外を問わず,著作権に関する正しい認識が必要であると言える。今回の調査では,海外在住の著作者 が日本で権利を信託(在住地では現地代理店が窓口)しているにも関わらず,アジアマーケットを狙 う日本企業が在住地で他社との間で二重契約を結んでいるケースがあった。これは海外に限った話で はなく,国内においても無知による違反は存在しているといえる。 今回の調査において,中国のメディア,政府,企業,法律家,エンタテイメント産業に関わるさま ざまな人にインタビューを実施したが,もっとも大事なこととの問いに異口同音に「guanxi」と答え られた。「関係」である。「情」である。それを日本は忘れて進んでいるような気がする。 情報とは 情(ありさま)を報ずる ことと 情(なさけ)に報(むく)いる の両義を持つもの である。著作権を簡略化する方向で進んでいる現状は,まるで「ゆとり」教育が産みだした弊害と同 様ではないだろうか。単なる産業として議論するのは,その国の文化を滅ぼすことであると言っても 過言ではないと言えるのではなかろうか。 115 5.4.3 まとめ (1) デジタル放送の将来像 現在の放送界や総務省の最大の関心事は地上デジタル放送をいかに普及させ,遠隔地の条件不利地 域でも中継局建設やCATVなどの有線手段,或いはIP伝送を含めた手法で受信でききるようにして法 律で定められたように2011年7月24日までのデジタル放送への完全移行を着実に進めるかという点に あるが,それ以降,或いは同時進行的にデジタル放送の進化形への動きが進みつつある。 要素別に分ければ,次世代の衛星放送,アナログ放送終了後の帯域を利用したデジタルラジオを含 めたマルチメディア放送,実現に向けて大きく動き出しているIP方式での放送,現行デジタルテレビ に付属している通信機能を進化させての通信連携サービスなどが挙げられる。そしてこれらの形に合 わせて,ふさわしいコンテンツ保護の手法が検討,採用されるべきである。 衛星放送については現在のNHKアナログハイビジョン放送が2007年に終了するし,2011年にはア ナログNHK-BS1,2,アナログWOWOWが終了する予定で,衛星上に新たな放送利用可能な帯域が生 じることになる。さらに日本が固有に持つ,もうひとつの国際的権利もある。アナログハイビジョン の跡地はすでに参入事業者が決まり,従来型のBSデジタルの技術規格の下で放送が始められる。一 方,新規衛星については専用のチューナーを用いて受信することになるので現行BSデジタル受信機 規格のレガシー化を気にする必要はなく,映像圧縮方式の高効率化など新しい機軸の導入が可能であ る。 2000年のBSデジタル放送開始前後から議論されてきた大容量のハードディスクを持つ受信機に対 して放送波の一部をつかって映像などのデータを時間をかけて送る蓄積型(サーバ型)放送も,地上 波ではデータを送れる帯域が限られていたことと,その後のブロードバンド環境の整備によってダウ ンロード系のビジネスは通信(ブロードバンド)が圧倒的な優位に立つことになったため,久しく表 舞台に出てこなかったが,放送メディアが増え,画像圧縮技術が進むと効率的方法として再び脚光を 浴びるかも知れない。その際にはコンテンツ保護技術はファイル課金技術と並び重要なファクターに なるものと見られる。 アナログ放送終了後の帯域の有効利用についてはすでに様々な議論が行われている。アナログ放送 が使っていた1から12チャンネルのVHF帯と,主に中継局で使用されてきたUHFの上の部分(50から 60チャンネル台)がその対象であり,すでに2003年から東京と大阪で実用化試験放送を続けているデ ジタルラジオがVHFの中の帯域を希望している他,米国で移動体向け放送を始めつつあるクアルコム なども参入に向け着々と準備を進めている。一方で日本のワンセグ技術と同じISDB-Tを使った放送 型マルチメディアも研究を進めようとしている。 IPTVは最大の難関と言われた著作権上の処理が2006年の法律改正で放送と同等に扱われることに 決まったので,いよいよ実現にむけて動きが加速する。 ブロードバンドを中心とする通信を取り巻く技術の進歩は今後も加速度をさらに速め,続いていくも のと思われる。今後は移動体向け通信の高速・大容量化も加速するものと見られる。放送と通信の連 携,協業はさらに進むことになろう。他方,放送や通信を取り巻く権利者,著作権者の意識の高まり, 放送・通信事業者に求められるコンプライアンス意識もそのレベルが上がってこよう。これらの諸環 境の中で,実効性があり,一般市民,視聴者が納得し,使い勝手の良いコンテンツ保護の手法の検討, 116 開発が急がれる。 (2) コンテンツ保護のあり方 デジタルコンテンツを保護することの重要性については,第1章,第2章において調査したとおりで ある。これを実現するための方式については,社会的なコストを充分に検討した上で最適なものを選 定し運用する必要がある。 無料放送におけるコンテンツ保護をB-CAS方式に頼る現状の地上デジタル放送では,視聴世帯の増加 に対して直線的にコストが増大するため,早急に新たな方式を導入することが求められている。 また,デジタルコンテンツがアナログ方式で複製される場合はDRMの検討領域外の議論として別 途考察する必要がある。今日,パソコンとテレビの融合が進み高性能パソコンにデジタルテレビチュ ーナーが内蔵された機種も多く見受けられる。パソコンの高性能化が進み,テレビ映像のアナログ表 示出力をパソコンにキャプチャして再度デジタル化することも可能になってきた。このような方式を 用いてHD品質映像を再度デジタル化した場合,品質劣化の少ないコピーフリーなデジタルコンテン ツが生成できるため,著作権違反の拡大が危ぶまれている。 アナログテレビ放送における以上のようなケースのコンテンツ保護手法としてマクロビジョン方 式が運用されているが,デジタル放送においても受信機器のアナログ出力に対するコンテンツ保護に ついても施策を講じなければならない。 著作権違反の拡大を防止するための手法として,違反行為を摘発するための情報提供者に報奨金を 与える制度が考えられるが,本テーマにおける社会的コストのグローバルな見方の中にこの制度の有 用性,コスト等を精査し盛り込んで行くことも重要な課題となる。 (3) 通信・放送融合下でのDRMのあり方 通信と放送の融合,パソコンとテレビの融合と技術革新の進む中,インターネットとデジタル放送 でそれぞれ運用されるDRMを統合化して合理的でかつ堅牢な方式を開発することが新たな課題とな ってきた。 社会的コストを最小化させるためにも,この課題検討は有用であると考えられる。また,インター ネットの普及が進み国民の標準インフラのひとつとして数えられる今日において,デジタルコンテン ツに紐づく知的所有権の所在と契約,その運用を一元管理するデータベースおよび決済システムを開 発・構築することの意義があらためて評価されており,既存の複雑な契約とその運用システムの代替 として嘱望されている。 このように,既存の権利処理構造の変革というテーマについても本研究では大きな課題として取り 組む必要があろう。 117 6 非常時情報通信システム 6.1 総論 非常時情報通信システムワーキンググループ (EIS-WG)では,平成 16 年度および平成 17 年度の研 究活動を踏まえて平成 18 年度も活動を継続した. 昨年度(平成 17 年度)までの 2 年間では,非常時における情報ニーズの整理,非常時情報通信シス テムの必要性の明確化,安否確認システムに関わる法的・社会的な用件や事例の収集整理を行い, さらに緊急時の通信の特徴を C to C, C to G, G to C, G to G の4つに分類して,国内外におけ る非常時情報通信の社会的位置付けや受容性の調査を行うとともに,大学における非常時情報通信 システムの活用等の現状調査と武力攻撃・テロ等における非常時情報通信システムの活用について も議論してきた. 今年度は,上記を踏まえ以下の研究活動や普及啓発活動を行った. (1) 非常時指揮システム(ICS)と災害救援通信(TDR)についての現状の整理と考察,問題点の抽出 (6.2 節) (2) ICS や TDR を中心とした,米国の非常時情報通信システムの現状調査 (6.3 節) (3) 連続講演(「情報通信・危機管理講演 2006」)の開催を通じての研究成果の社会への還元と啓 発活動 (6.4 節) (4) 非常時情報通信システム研究開発用システム (EIS-RDS) の実装とこれを用いた社会システ ムについての検討 (6.5 節) 従前よりわれわれは,非常時における情報通信システムの重要性に着目し,近い将来,社会シス テムとして適切な形で組み込まれることを念頭に議論を続けてきた.大規模な自然災害や事故,凶 悪犯罪やテロなどは,以前から存在はしていたものの,この数年でわれわれの社会生活に迫る現実 的な大きな脅威と認識されるようになってきている.そのような中で平成 18 年度末には石川県能登 地方で最大震度6強の地震が発生し,死者こそ1名だったものの地元の生活には大きな混乱が生じ る事態が発生した.また,平成 19 年度になってからであるが,米国の大学のキャンパス内で銃の乱 射による大量殺人事件があり,さまざまな予期せぬ事態があちこちで発生している.非常時におけ る情報通信システムを社会システムとして確立させるため,技術面,制度面,運用面における議論 と成果の社会への還元は日に日に増大している. 6.2 非常時指揮システム(ICS)と災害救援通信(TDR) 最近、国内外で大規模・広域災害や国際テロが多発しており、国際的にも危機管理の問題が大き な課題になってきている。このような状況の中、欧米では、産学連携による、危機管理体制や非常 時情報通信に関する実践的な R&D が加速してきた。 大規模・広域災害、同時多発テロ等のような重大な緊急事態においては、住民の安全安心及び重 大な生命損失の回避の観点から、危機管理体制としての非常時指揮システム(Incident Command System: ICS)と非常時通信としての災害救援通信(Telecommunication for Disaster Relief: TDR) 118 の 2 つの要素が非常に重要な意味を持つと考えられる。特に、9.11 同時テロ事件以降、大きくクロ ーズアップされてきたのは、ICS と TDR の問題である。その後、ICS と TDR の問題は、スマトラ沖地 震(2004 年) 、7.7 事件(ロンドン同時テロ事件) (2005 年) 、ハリケーン・カトリーナ災害(2005 年)においても大きな課題を浮き彫りにした。 欧米では、特に、米国、英国を中心として、災害・テロ等の緊急事態の際に、ICS に基づく応急 対応を行う仕組みを備えている。また、米国や EU では、非常時通信の定義と TDR の位置づけを明確 化し、TDR を含む非常時通信の技術的要件やその標準化を行っており、それに基づいて国際研究の 枠組みで、TDR に関する先進的技術開発研究や実証実験研究を推進している。 上記を踏まえて、ICS と TDR に関する調査・分析を実施し、大規模・広域・複合災害を対象とし た ICS と TDR 研究の位置づけについて考察した。 6.2.1 ICS (1) ICS の定義 非常時指揮システム(ICS)は、米国で 30 年以上にわたり多くの応急対応機関(消防、緊急医療、 公安、救命・救助)により使用されてきた、標準化されたオールハザード対応の緊急事態管理のフ レームワークであり、自然災害、危険物漏洩事故、テロ等の緊急事態において使用されている。 これまで、緊急事態管理に関しては、以下のような問題点が指摘されていた。 ・ 緊急事態管理の指揮命令系統が明確でなかったこと。 ・ 利用可能な通信システムを効率的に利用できず、また、通信における用語やプロトコルの相違 による混乱があったこと。 ・ 現場で、整然とした体系的な事態対応行動計画がなかったこと。 ・ 異なる組織・機関の要員や資源の統合の基に緊急事態管理の責任を負う指揮官が、要員に任務・ 責任を委任し、資源を効果的に管理することを可能にするための、共通の、柔軟性のある、参 考となる緊急事態管理構造(フレームワーク)が存在しなかったこと。 ・ 相互に緊急事態に対処する複数の組織・機関の権限・責任等を、一つの管理構造及び事態対応 行動計画策定のプロセスの中に統合するための、よりどころとなる手法がなかったこと。 ICS は、以上のような問題点を解決するため、応急対応機関の長年の経験と実践を踏まえて開発 された、実効性のある緊急事態管理の手法・手順(ベスト・プラクティス)として位置づけられて いる。 現在、ICS は、米国のほか、英国、ニュージーランド、オーストラリア、カナダの一部地域等で 使用されており、国連でも国際標準として使用することを推奨している。 (2)ICS の歴史的背景 ICSの概念は、1970 年にカリフォルニア州で発生した破壊的な山林火災の後に開発された(この 山林火災は 13 日間続き、死者 16 名、損失家屋・構造物 700 棟、焼失面積 50 万エーカー(約 2,000 km2)の損害を出した)。この大規模火災では、各消防機関間の通信及び応急対応活動の調整におい 119 て数多くの問題が発生したことにより、迅速かつ効果的な応急対応活動ができなかったことが大き な問題となった。 米国連邦議会は、この災害の教訓を踏まえて、米国山林局に対し、大規模火災において、効果的 に応急対応機関間の活動を調整し、限られた資源を割り当てることができるシステムの開発を委任 した。 この結果、 カリフォルニア州や地方政府の山林・火災防護局、 消防局等の協力の下に、FIRESCOPE (Firefighting RESources of California Organized for Potential Emergencies)と呼ばれる、消 防機関用の ICS が開発された。その後 ICS は、FIRESCOPE をベースに改良・標準化され、警察、緊 急医療等の応急対応機関で使用されるようになった。 ICS の重要性は、9.11 同時テロ事件で浮き彫りにされた。当該事件当時、現場で ICS に則った非 常時指揮、命令系統等を確立することができず、複数の応急対応組織(ニューヨーク市消防局、警 察局等)間の指揮・統制・通信に大きな混乱をきたした事実を踏まえ、緊急事態における指揮、統 制及び通信能力を向上させるため、 「米国へのテロ攻撃に関する国家委員会」 (通称 9.11 委員会)は ICS を国家レベルで採用することを勧告した。 DHS(国土安全保障省)は、これを受けて、FIRESCOPE の ICS をベースとした全米標準の ICS を策 定し、2004 年 3 月に、ICS を軸とした全米非常時管理システム(National Incident Management System: NIMS)を開発・公表した。現在、米国では、連邦政府を含め、すべての州・地方政府で NIMS を導入し、NIMS に則って緊急事態に対処することを要求している。ICS は、NIMS の最も核となる要 素であり、米国においては、州・地方政府の応急対応機関に対して、NIMS、とりわけ ICS に関する 教育・訓練が行われている。 (3) ICS の原理と特徴の概要 ICS は、明確な任務の設定、通信システムの統一、指揮命令系統の統一、用語の共通化、組織機 能の標準化等を行い、互いに異なる複数の組織・機関が持つ人員・資源を一つの標準的な組織構造 に統合し、緊急事態に対して迅速かつ効果的に対応するための仕組みである。 ICS は、緊急事態が発生した時から、緊急事態対処に関する管理及び活動の必要性がなくなるま での期間に対して適用されるように設計されている。表 6-1 に、ICS の主な原理と特徴の概要を示 す。 表 6-1 ICS の主な原理と特徴の概要 原理・特徴 概要 全員が理解でき ICS 組織構造下でのコミュニケーションにおいては、誰もが理解できる平易 る言葉の使用 な言葉を使用し、決して特定の組織や機関内で通用する言葉、略語、専門用 語等を使用しない。 用語の共通化 多様な組織・機関の人間が集まって、多様な資源を利用して応急対応活動に あたるため、標準化された用語を使用する。 柔軟性・拡張性 緊急事態の規模・複雑さ、ハザードの種類等に基づき、トップダウンにより のある組織構造 モジュール型で組織が展開される。ICS の組織構造は標準化されており、必 の設定 要に応じて、組織内にサブ組織を設定することができる。 120 原理・特徴 概要 事案行動計画の 事案行動計画(Incident Action Plan: IAP)は、緊急事態対処に関する全体 策定 の目標、作戦の目標等を共有し、ICS 組織全体の活動を支援することを目的 として、非常時指揮官の管轄の下、緊急事態対処活動で達成する戦術目標に 基づき作成される。 監督管理が可能 非常時管理において監督責任を持つ者の管理可能な人数は、3∼7 人とされて な人数の規定 おり、ICS では、1 名の監督責任者につき、5 位内の組織単位(各組織単位の 責任者(1 名)が直接の監督責任者に報告する)を管理にすることが推奨さ れている。 単一の指揮命令 ICS においては、各個人が上位監督者に状況等報告を行う場合、指揮命令系 系統 統及び情報伝達の混乱を避けるため、個人別に指定された 1 名の上位監督者 にのみ報告を行うように定められている。 責任の明確化 緊急事態対処においては、すべての法的権限を持つ機関及び所属する個人の 説明責任が重要になる。各個人は、所属する機関・組織の施策や方針、適用 される国や自治体の規則・規程に従う必要がある。このため、ICS では、個 人の説明責任を保障するため、 「チェックイン」 (任務に着く者は、必ず緊急 時現場にてチェックインを行い、任務・配置の命令を受ける)、 「単一の指揮 命令系統」 、 「監督管理が可能な人数の制限」等の原理が適用される。 緊急事態対処の 緊急事態対処においては、現場周辺にさまざまな種類の施設が設置される。 ための施設の設 ICS では、特定の施設で実施されている応急対応活動を明らかにし、どのよ 営手順の標準化 うな組織の要員がどの施設に位置しているかを識別することを容易にするた め、緊急時に設定・設営するにも、共通の用語が使用される。また、事態対 処の目的に応じて、その設置・設営場所や手順も標準化されている。 資源の管理 緊急事態対処においては、応急対応時に使用される資源を正確に把握・管理 することが非常に重要になる。 「資源」は、緊急事態において割り当てられた、 あるいは利用可能な、要員、チーム、施設、供給、設備等を指す。資源の管 理には、資源のカテゴリ化、発注、派遣、追跡、回収等の手続きが含まれる。 緊急事態管理活動の支援に使用される資源は、標準化されたカテゴリ、種別 等により区分される。資源は、運用上の混乱を避け、相互運用性を高めるた め、資源の能力・性能等により種別化される。 通信の統合化 ICS における通信は、緊急事態対処に関与する多様な機関を繋ぐように設定 され、統合化される。このため、通信の統合化に必要な通信機器、システム、 通信プロトコル等を示した共通の通信プランが開発される。 指揮権の移転 非常時指揮官の指揮権が、別の責任者(非常時指揮官として着任する)に引 き継がれるプロセスを意味する。ICS では、緊急事態の状況や規則により、 非常時指揮官の交代が行われる。 単一指揮と合同 ICS の基本的な指揮形態には、単一指揮(Single Command: IC)と合同指揮 指揮 (Unified Command: UC)の 2 つがある。 121 原理・特徴 概要 (1) 単一指揮 緊急事態が単一の行政管轄体(地方・州政府等)内で発生し、その緊急事態 に対する管理責任と権限を持つ 1 つの機関が対応する場合に、権限を持つ当 該機関の非常時指揮官の下、単一の IC(非常時コマンド)及び ICP(非常時 指揮所)が設定される。 (2) 合同指揮 緊急事態が、単一の行政管轄体内で発生し、緊急事態管理の責任・権限を持 つ複数の当局・機関が緊急事態に対応する場合や、緊急事態が複数の行政管 轄体にまたがって発生する場合に取られる指揮形態 6.2.2 TDR (1) TDR の定義 9.11 同時テロ事件以降、欧米を中心とした電気通信に関する国際的標準化団体において、非常時 通信の機能要件や標準化に関する検討が盛んに行われてきた。また、2004 年 12 月末に起きたスマ トラ沖地震での壊滅的な津波災害を受けて、津波等の警報や住民への情報伝達に関する機能要件や 標準化に関する検討が、これらの国際的標準化機関を中心として推進されている。 現 在 、 非 常 時 通 信 は 、 欧 米 で 、 あ る い は 、 国 際 的 に も 緊 急 時 通 信 サ ー ビ ス ( Emergency Telecommunications Service: ETS)と呼称されており、通信の送受信の主体によって、政府・応 急対応機関同士の通信(G to G) 、政府・応急対応機関から民間への通信(G to C)、民間から政府・ 応急対応機関への通信(C to G) 、民間同士の通信(C to C)の 4 つのタイプに分類・定義されてい る。このうち、災害時における被災地の救援や減災活動を目的とした、政府・応急対応機関(警察、 消防、緊急医療等)同士の通信(G to G)及び政府・応急対応機関から民間(住民)への通信(G to C)は、災害救援通信(Telecommunications for Disaster Relief: TDR)と呼ばれている。 (2) TDR に関する先進的 R&D プロジェクト 9.11 同時テロ事件以降、TDR の重要性が国際的な電気通信標準化団体において広範囲に議論さ れ、TDR に関する技術開発ならびにその標準化に関する研究活動が盛んに実施されている。この背 景には、9.11 同時テロ事件において、ニューヨークの世界貿易センタービルの被災現場で救援・救 助活動に当たった、消防、警察等のファースト・リスポンダーの無線通信システム間に相互運用性 がなかったため、相互に無線が通じず、多くの犠牲者が出たことにある。また、テロ等の発生時に おいて、被災現場で救援・救助活動を行うことは非常に危険であるため、ファースト・リスポンダ ーが危険かつ苛酷な環境で安全に応急対応することを支援する ICT 研究の必要性が、当時から議論 されていた。 現在、TDR に関する R&D は、5∼10 年先をみた、先進的なユビキタス・アドホック無線ネット ワークシステム、ブロードバンド・アプリケーションの等の開発・展開・実装に焦点が置かれてい る。ここ数年、欧米で、地方自治体の危機管理訓練の一環として、ファースト・リスポンダーを対 象とした、先端かつ実効性のある TDR システム・アプリケーションの実装実験及びフィールド演 習も盛んに実施されている。 122 表 6-2 に、欧米の先進的な TDR に関する代表的な R&D プロジェクトの例を示す。 表 6-2 欧米の先進的な TDR に関する代表的な R&D プロジェクトの例 プロジェクトの 研究・参加機関等 開発期間 プロジェクトの目的、概要等 名称 ETSI(欧州電気通信標準 Project MESA 2000 年∼ 公衆安全・応急対応分野に焦点を置いた、次世 for 化機構)及び TIA(米国電 代高度ユビキタス無線ブロードバンドデータ and 気通信工業会)を代表機関 通信に関する仕様、標準化、技術に関する調整 Safety Applications) として、ETSI/TIA メンバ と開発を行うことを目的とした、欧州・米国共 の企業、研究機関、政府機 同プロジェクトである。 関等及び応急対応・公安関 本プロジェクトでは、アドホック・ユビキタ 係機関(地方地方自治体、 ス・ネットワーク、サービス特定型及び一般の 政府関連機関・団体、国際 情報通信アプリケーション上で、データ、デジ 機関等を含む)が参加。 タル・ビデオ、デジタル音声等の高い伝送率等 (Mobility Emergency を達成するための標準仕様や新しい技術の開 発を行っている。 RESCUE (Responding Crises Calit2 to (California Institute for 2003 年 ∼ ファースト・リスポンダーの応急対応活動に資 2008 年 するための成果を提供することを主たる目的 and Telecommunications and としたプロジェクトである。 Unexpected Events) Information Technology) 本プロジェクトは、緊急時において、ファース を代表機関として、13 の ト・リスポンダーが、被災地に関する情報を迅 大学・研究機関、17 企業 速かつ効果的に収集・分析・共有し、住民に対 及び 8 つの地方政府・連邦 して情報伝達する能力を急激に向上させるこ 機関が参加。 とを目標とする。 College 2004 年 ∼ 本プロジェクトは、EU の Sixth Framework 2007 年 Programme(第6次フレームワーク計画)の統 RUNES University (Reconfigurable London を 代 表 機 関 と し Ubiquitous て、7企業、11 大学、3 つ 合プロジェクトの 1 つである。本プロジェクト Networked の研究機関が参加。 では、さまざまなインフラへのセンサー埋め込 Embedded みを行うことを前提として、変化する環境に応 Systems) じて自己形成できる標準化されたアークキテ クチャを構築するために、ネットワーク・アプ リケーションの創出プロセスを簡略化するた めのミドルウェアを開発・展開することを目的 とする。 本プロジェクの主なアプリケーション領域と して、「緊急時応急対応」が含まれており、本 プロジェクトで開発される技術を、 「現実世界」 で実証するシステムの開発を目標としている。 123 6.2.3 大規模・広域・複合災害を対象とした ICS と TDR 研究の位置づけに関する考察 大規模・広域・複合災害時においては、住民の安全安心及び重大な生命損失の回避の観点から、 国内外の共通の課題として以下等を挙げることができる。 表 6-3 住民の安全安心及び重大な生命損失の回避の観点に基づく、 大規模・広域・複合災害時における国内外共通の課題 分 類 課 題 危機管 ・ 応急対応機関間の責任分担・協調指揮・ (国、自治体、ファースト・リスポン 理体制 ダー間)の標準的な仕組み ・ 広域・複合災害の特徴に応じた、危機管理指揮体系の確立( 「合同指揮」 、 「地 域指揮」等) ・ 応急対応機関間の通信システムの相互運用性の確保 ・ 救援・救助活動のための資源の調整の仕組み(特に同時多発災害の場合) 非常時 ・ いつでも、どこでも、必ずつながる災害に強い通信ネットワーク 通信 ・ 被災情報の効果的な収集と正確な分析 ・ 応急対応機関間での迅速かつ効率的な情報共有 ・ 応急対応者の状況に応じたリアルタイム情報通信及び指揮・統制システム ・ 応急対応者の安全を確保するためのモニタリング・システム ・ 地域・住民の状況・環境に応じた正確かつタイムリーな情報提供 ・ 被災者個人の状況・個人に応じた情報提供 上表中、 「危機管理体制」における課題は、いずれも ICS の原理に基づき解決していく必要のあ る事項である。一方、 「非常時通信」における課題の多くは、TDR 研究の枠組みで解決していく必 要のある事項である。 ICS は、災害時における被災現場や国・自治体における応急体制の標準的な指揮構造やその仕組 みを定義するだけではなく、ICS で使用する TDR の概念や管理ポリシーを定義するものである。 現在、国内では、首都大規模地震、東海・南海・東南海地震等の連続的な地震の発生が懸念されて いる。このため、広域あるいは同時多発災害を視野において、ICS に代表される統一的な指揮構造 下での相互運用性や標準化の視点に立った研究、並行して、TDR の概念やその実践的課題に関する 視点に立った技術開発・標準化研究を実施していくことが必要である。 6.3 米国調査 6.3 米国現地調査 2007 年 2 月 19 日∼25 日にわたり、米国の危機管理あるいは非常時通信に係わるR&Dプロジェクト 等を実施している大学・研究機関及び危機管理コンサル企業に対して現地ヒアリング調査を実施し 124 た。 以下、訪問先毎にヒアリングの内容を示す。 6.3.1 California Institute for Telecommunication and Information Technology (Calit2),UCSD(University of California at San Diego) Division (1) 訪問日時 2007 年 2 月 20 日 午後 2 時∼午後 5 時 (2)訪問機関の概要 Calit2 は米国及びカリフォルニア州における先端技術に基づく産業・経済力の再生と国際競争力 の強化を目的として設置された研究機関である。今回の訪問に おいては、同研究所のUCSD(カリフ ォルニア大学サンディエゴ校)部門を訪問し 、Rescue(Response Responding to Crises and Unexpected Events)及びResponSphereプロジェクトの全体像、及び当該プロジェクトで実施されて いる無線技術を軸としたアプリケーション研究の内容についてヒアリングを行った。 (3)ヒアリングの概要 ①Rescue/ResponSphereプロジェクトの全体像 Rescueプロジェクトとは、緊急時において、ファーストリスポンダーが、被災地に関する情報を 迅速かつ効果的に収集・分析・共有し、住民に対して情報伝達する能力を急激に向上させることに より、減災に資することを目的としたプロジェクトである。プロジェクト内では、様々な状況を再 現して対策を練るためのテストベッドが構築されている。 一方、ResponSphereプロジェクトは、Rescueプロジェクトの一部として実施されており、大学、 政府、企業等が参集して、応急対応の問題に関する学際的研究・活動を組み込むためのITインフラ の"テストベッド"(ResponSphere)を形成し、Rescueプロジェクトにおける開発・試験・検証のため のプラットフォームとして機能させることを目的としている。 ②CalMesh CalMeshは、小規模かつ軽量の、容易にネットワークの再構成が可能なノード(迅速に信頼性のあ る無線メッシュ・ネットワークを自己形成する)を持つアドホック・ネットワークである。 ③Always Best Connected (ABC) ABCは、ユーザーが、インターネットへの継続的かつ最適な接続を維持するために、シームレスに 多重のネットワーク・インフラからローミングしアクセス(GPRS,1xRTT,1xEVDO,ethernet)すること を可能にする適応型ソフト・ハードウェアシステムである。ABCは、CalMeshに統合されている。 ④ロケーション追跡用携帯電話プラットフォーム 本プラットフォームは、携帯電話を利用した移動支援GPS(AGPS)技術をベースとして、個人、車両 等の位置を追跡するシステムである。 125 ⑤ピアtoピア無線通知システム 本システムは、サンディエゴの高速道路上で、ドライバーが目撃した事故や緊急事態を他のドラ イバーに警報・通知するための、ピアtoピア(P2P)通信システムのプロトタイプである。 6.3.2 George Mason University (School of Public Policy) (1)訪問日時 2007 年 2 月 22 日 午前 9 時半∼午前 11 時 (2)訪問機関の概要 George Mason University(GMU)は米国で最大規模かつ最高の公共政策大学院(School of Public Policy)であり、国家ガバナンス、地域開発、国際商取引・政策、科学・技術、 文化・価値の 5 つ の分野に関する研究を行っている。GMUではCapWINプロジェクトの背景や 内容を中心にヒアリング した。 (3)ヒアリングの概要 ①CapWINプロジェクトの概要 CapWIN(Capital Wireless Integrated Network)プロジェクトは、メリーランド州、バージニア州 及びコロンビア特別区(ワシントンD.C.)の 3 つの行政府のパートナーによるプロジェクトでファー スト・リスポンダー間の相互データ通信・情報共有ネットワークを展開することを目的としている。 ②CapWINプロジェクトの背景 米国の地方政府は歴史的に独立的な権限を持っており、そのため、警察、消防等のファースト・ リスポンダーも地方政府間で相互に協力する仕組みがなく、異なる地方政府のファースト・リスポ ンダー間で互いに無線がつながる状況にはない。 この状況が原因で大きな混乱を巻き起こした事件が、1999 年にメリーランド州、バージニア州、 コロンビア特別区にまたがって発生した。そのため、これらの地域及び関連する地方政府で、無線 通信の相互運用性向上について具体的な検討が開始された。 さらに 9.11 同時テロ事件ではファースト・リスポンダー間の通信の相互運用性がクローズアップ された。そして、これを契機に連邦政府が資金を積極的に提供するようになり、CapWINプロジェク トが誕生した。 ③その他 ・ICSは、州・地方政府レベルの緊急医療期間でも採用されている。ハリケーン・カトリーナ災害 においては、ICS の枠組みでトリアージ等が行われた。但し、異なる州・地方政府の緊急医療機 関間で相互無線通信を行う環境はない。 ・ハリケーン・カトリーナ災害では、被災地の通信インフラが壊滅したため、 126 NASA が衛星通信用機材等を被災地に運び、緊急医療機関の通信を確立した。 6.3.3 MSA Incorporated (1) 訪問日時 2007 年 2 月 22 日 午後 3 時∼午後 5 時 (2)訪問機関の概要 MSA は緊急時計画策定等の分野のコンサルタントを中心に活動を行っている危機管理コンサル企 業である。MSA では BCP(事業継続計画)/COOP(政府事業継続計画)や ICS の訓練等についてヒアリン グを行った。 (3)ヒアリングの概要 ①米国における BCP と COOP BCP と COOP は民間と政府という違いはあるものの、両者とも計画策定のプロセスは本質的に同じ である。9.11 テロ事件は BCP について目を覚まさせる事件であった。米国の BCP 市場は良好である が、最近の BCP 市場はかなり冷却化している。大きな災害が起きると一時的に BCP への意識が高ま るが、ある程度の期間が過ぎるとその意識が低下してしまう。 ②ICS 訓練について FEMA では、州・地方政府のファースト・リスポンダー向けに ICS の訓練を行っている。FEMA の危 機管理研修所や米国消防局では、ICS 訓練の一環として、Web 上で ICS に関するオンラインの自己学 習サービスを行っている。ミズーリ大学では、大学のエクステンション・プログラムとして、消防・ 救助訓練研究所で、消防士や応急対応者に対してフィールド訓練を行っている。 ③大規模災害への対応について ハリケーン・カトリーナ災害においては、市民の避難はうまくいった。気をつけないといけない のはメディアのセンセーショナルな報道である。例えば、メディアはスーパードーム(避難場所の一 つ)において大量殺人等があったことを報道したが、実際にはこのような事実はなかった。 6.3.4 James Madison University, Institute for Infrastructure and Information Assurance(IIIA) (1) 訪問日時 2007 年 2 月 23 日 午前 10 時半∼午後 3 時(昼食あり) (2)訪問機関の概要 James Madison University(JMU)の IIIA(インフラ・情報保障研究所)は国土安全保障及び国家 安全保障問題に焦点を置いた学際的研究センターである。 JMU では IIIA におけるインフラ保護・ 127 危機管理プロジェクトの内容についてヒアリングした。 (3)ヒアリングの概要 ①IIIA における国土・国家安全保障研究の構成 IIIA では以下のような研究・開発を行っている。 - 室内空気汚染センシング・警報システムの開発 - 生物剤に対する免疫・浄化技術研究プロダクト開発研究 - 危険化学物質漏洩事故・化学テロに対するファースト・リスポンダー用の意思決定支援システム の開発 - 生物テロに対するワクチン開発 - 生物テロ・感染症診断技術に関する研究 - エネルギー危機・環境持続技術に関する研究 - バイオテクノロジに関する研究 - ネットワーク・セキュリティ・リスク評価用のシミュレーション・モデリングツール(NSRAM)の 開発 - GIS を使用したコンテナ追跡に関する研究 - RFID に関する研究 - 災害時における被災者のメンタルヘルスに関する研究(ハリケーン・カトリーナ災害における被 災者の心理学的研究を含む) - コンピュータ・セキュリティ訓練プログラムの開発 ②バイオ・ケミカルセンサーに関する研究 化学・生物剤に関する通常の検知方式(質量ベース・電気伝導率ベース)ではなく、サーマルベー スで感知するセンサーの開発に関する研究を行っている。サーマルベースとは、大気中の化学・生 物剤と特定の材料との化学反応が起きる際に放出・吸収される熱を用いる方式である。 ③ネットワーク・セキュリティ・リスク評価用のシミュレーション・モデリングツール(NSRAM) NSRAM は、電力・通信・コンピュータ・交通・パイプライン等の相互接続されたインフラが事故 やテロ攻撃を受けた場合にどのように反応し、相互作用するかを分析するシミュレーション・モデ リングツールである。 ④その他 JMU は、重要インフラ防護に関する研究(国家首都地域インフラ評価プロジェクト)を GMU と共 同で実施してきた(本プロジェクトは GMU 主導で実施され、2005 年に終了) 。 JMU は、首都圏の州・ 地方政府の行政官に対し、同プロジェクトの研究成果を踏まえて、インフラ保護の役割を担う必要 性について提言したが、行政官らはインフラ防護の責任はインフラ企業が負うべきと主張し、同プ ロジェクトの研究成果を考慮する意思を示さなかった。 128 6.4 連続講演 6.4.1 連続講演の概要 「情報通信・危機管理連続講演」は7回が計画され、講師調整の都合で中止となった1回を除き 6回実施された。各講演は平日の昼間(13:00∼15:00)に金沢大学内の講義室(原則として情報メ ディア基盤センター内)で行われた。講師は各専門分野で専門家が担当するものとし、非常時情報 通信研究 WG メンバと外部からの招聘者とのどちらかが実施した。聴講者は特に資格等は問わず、参 加費も徴収せずに広く一般も含めた参加を期待した。実際の参加者は金沢大学の教職員、学生、石 川県内の情報通信関係の企業、自治体等であった。表 6-4 に連続講演の各回の概要を示す。 表 6-4 連続講演の概要 回 第1回 開催日 タイトル 講師所属 2006 年 ハリケーン・カトリーナ災害 みずほ情報総研㈱ 9月1日 の教訓 講師氏名 多田 浩之氏 情報・コミュニケーション 部シニアマネジャー 第2回 2006 年 被 災 者 登 録 検 索 シ ス テ ム みずほ情報総研㈱ 9 月 27 日 (IAA システム)の開発・活 情報・コミュニケーション 氏 用経緯と今後の課題 第3回 能瀬 与志雄 部 2006 年 情報セキュリティ対策に係 ㈱三菱総合研究所 10 月 30 日 わる政策と研究の動向 村瀬 一郎氏 情報通信技術研究本部 情報セキュリティ研究部 部長 主席研究員 第4回 (都合によ 法制度 − − り中止) 第5回 2007 年 インターネット上の脅威を WCLSCAN プロジェクトリ す ず き ひ ろ 2月5日 発見する∼早期広域攻撃警 ーダ のぶ氏 戒システム WCLSCAN 第6回 2007 年 日本災害史からの教訓 1月 25 日 神奈川大学大学院 歴史 北原 糸子氏 民族資料学研究科 非常 勤講師 第7回 2007 年 総括: 「情報通信・危機管理」 金沢大学 総合メディア基 大野 浩之氏 2 月 28 日 の本質 盤センター 教授 みずほ情報総研㈱ 多田 浩之氏 情報・コミュニケーション 部 シニアマネジャー なお、これらの講演は電子教材化され、金沢在住・在勤・在学以外の方もネット上で利用できる ようにする方向で検討が進められている。 129 6.4.2 連続講演の実施結果 ■第1回(ハリケーン・カトリーナ災害の教訓) (1)実施概要 日時:2006 年 9 月 1 日(金) 13:00∼15:00 会場:金沢大学総合メディア基盤センタープレゼンテーション室 講師:みずほ情報総研㈱情報・コミュニケーション部シニアマネジャー 多田 浩之氏 (2)講演内容 2005 年 8 月、ハリケーン・カトリーナは、米国メキシコ湾岸地域(ルイジアナ・ミシシッピ・ア ラバマ州)を直撃し、被災面積 23 万 km2(ほぼ英国と同等の面積) 、死者 1,500 名以上、被災家屋 (再居住不可)30 万戸、被害総額 1,500 億ドルという、米国史上最悪の災害である。 連邦議会は、この災害の最大の原因が連邦政府の応急対応が遅れたことにあるとして、上院、下 院で独立に調査を実施し、 数多くの聴聞会を実施するとともに、 各々独立に調査報告書を公表した。 また、ホワイトハウスも、連邦政府のカトリーナ災害への対応問題を受けて、独自に内部調査を進 め、連邦政府としてのカトリーナ災害の教訓をまとめた報告書を公表した。これらの報告書から、 壊滅的な災害への準備、危機管理指導力、通信、避難支援、ロジスティックス等を含め、米国政府 の危機管理における幅広い領域の問題点や教訓が明らかにされている。 一方、米国政府のカトリーナ災害への対応とは対照的に、企業の減災・危機管理対策としての業 務継続マネジメント(BCM)の枠組みで、カトリーナ災害への対応に成功し、連邦議会から賞賛され た米国企業がある。これらの企業は、連邦議会の聴聞会に喚問され、カトリーナ災害への対応に成 功した秘訣を聞かれ、各社とも非常に興味深い知見を述べている。 米国政府のカトリーナ災害対応の問題点と教訓及びカトリーナ災害対応に成功した米国企業の BCM の事例について解説し、大規模自然災害に対する危機管理の本質および今後に向けた教訓につ いて考察が述べられた。 <講演目次> ・イントロダクション ・米国連邦・州・地方政府のカトリーナ災害対応問題 ・カトリーナ災害の概要 ・カトリーナ災害における関係者の証言 ・カトリーナ災害により明らかになったこと(総論) ・カトリーナ災害に対する危機管理に成功した企業の事 ・カトリーナ災害の惨状(写真) 例 ・カトリーナ災害の教訓 (3)参加者からのコメント ・ 集団介護の現場では、人手が足りないというのが重要な課題である。このような課題の解決 を支援するようなしくみは考えられないのか。 130 ■第2回(被災者登録検索システム(IAA システム)の開発・活用経緯と今後の課題) (1)実施概要 日時:2006 年 9 月 27 日(水) 13:00∼15:00 会場:金沢大学総合メディア基盤センタープレゼンテーション室 講師:みずほ情報総研㈱情報・コミュニケーション部 能瀬 与志雄氏 (2)講演内容 大規模災害直後の情報ニーズとして最も大きいのは家族・親族・知人の安否・所在の確認である。 しかし、その最も一般的な手段である電話網は回線容量を超えた通話が発信されることによる不具 合(輻輳)が起ったり、それを防止するために通話制限がかけられるため、連絡を取ることが困難に なることがしばしばある。被災者登録検索システム(IAA システム)は阪神・淡路大震災の時にこ のような状況が1週間近くも続いたことをきっかけとして原型が開発された、インターネットを利 用して安否情報をやりとりするためのシステムであり、新潟県中越地震やスマトラ沖地震等でも活 用されて来た。 この被災者登録検索システム(IAA システム)の開発・活用の経緯と現状が述べられた。また、 住民や自治体等の利用者のニーズや評価についてアンケート調査等に基づく分析が解説された。さ らに、このようなシステムをより有効なものにするための課題について考察が述べられた。 <講演目次> ・大規模災害時の情報ニーズと通信状況 ・被災者登録検索システム(IAA システム)の開発経緯と概要 ・被災者登録検索システム(IAA システム)の運用状況 ・自治体の安否確認システムへのニーズ ・安否確認システムの今後の課題 (3)参加者からのコメント ・ 安否情報要求に応えると使える物だと感じる。通信インフラ自体の強化が最も効果的だと思 う。行政等により知人からの安否情報の要求に対して確認に行く。現在被災者からの一方通 行のシステムなので使い勝手が悪い。その上被災者の方が情報インフラの損害が大きい。道 のネットの IAA 等利用しない。安否確認のニーズは両者、要求が見えない点がシステムの欠 点。情報の双方向性を考えていない。現場に居ない人の発想したシステムと感じる。掲示板 のメリットは双方向性。話を聞く人が開発に存在しなかったのではないか。検索の方が多い 現状を考えた方が良い。 ・ IAA の抱える本質的な矛盾をなんとかした方が良い。電話が使えずネットが使える環境と は?外国等時差や金の問題のある所では有効かもしれない。普及より先に本質的なシステム の見直しが必要なのではないか。個人的にネットにアクセスできる環境では個人的に連絡が とれる環境である。 131 ■第3回(情報セキュリティ対策に係わる政策と研究の動向) (1)実施概要 日時:2006 年 10 月 30 日(月) 13:00∼15:00 会場:金沢大学総合メディア基盤センタープレゼンテーション室 講師:㈱三菱総合研究所情報セキュリティ研究グループ グループリーダ・主席研究員 村瀬 一 郎氏 (2)講演内容 わが国における情報セキュリティ対策に係わる近年の政策の動向と、それに係わる研究開発がど のようになされているかについて述べられた。まず、最近の情報セキュリティに係わる脅威の動向 が解説され、情報セキュリティ対策においては費用対効果が重要であるとの指摘がされた。情報セ キュリティ対策に係わる政策は、内閣官房を中心に遂行する体制が進められている。研究開発は、 インターネットの定点観測である WCLSCAN、情報システムのハザードマップ分析、重要インフラの セキュリティ対策の実際(机上演習など)が紹介された。最後に、今後の課題として、技術的課題、 制度的課題、マネジメント的課題がそれぞれ述べられた。 <講演目次> ・情報セキュリティに係る脅威の動向 ・インターネット上の定点観測システム ・我が国の情報セキュリティ政策の変遷 ・情報システムのハザードマップ ・現代における情報セキュリティ対策の動向 ・重要インフラのセキュリティ対策 全体の動向 ・法律と倫理に係わる問題 脆弱性情報の取り扱い ・今後の課題 (3)参加者からのコメント ・ 個人情報の定義/範囲は? →省庁によって異なる。一般的には名前とその人が識別できる情報とそれに関係した情報 ・ 情報セキュリティの投資と効果の具体的な見方はないか? →事故と株価との相関は米国学会で事例がある ・ 被害額の数値化手法はどんなものがあるのか? →JNSA の被害予測 WG では積み上げ式で算出している。モデル型のものは様々なものがあ り、例えば Gordon=Loeb モデルや CERT/CC モデルがある。 ・ 恐怖感からパソコンに触らないという現象の緩和策は? →テレコムアイザックで一般の人のところに行って脆弱性を直すプロジェクトがある。し かし、決め手となる手段はなかなかない。 ・ WCLSCAN に興味を持ったら参加できるのか? →オープンなプロジェクトなので歓迎する ・ 個人が情報漏えいの原因となっていることが多いがその対策は? →技術でできることはすべて技術で対応する。あとは教育だが、誰に対して行うのかを十 分考慮すべき 132 ■第5回(インターネット上の脅威を発見する∼早期広域攻撃警戒システム WCLSCAN) (1)実施概要 日時:2007 年 2 月 5 日(月) 13:00∼15:00 会場:金沢大学総合メディア基盤センタープレゼンテーション室 講師:WCLSCAN プロジェクトリーダ すずき ひろのぶ氏 (2)講演内容 インターネット上では悪意の攻撃者による意図を持った攻撃やコンピュータワームが感染を広げ ようと攻撃が日常的に発生している。新しい攻撃が広域に発生した場合、これを早期に発見するこ とは重要な技術である。WCLSCAN はインターネット上の攻撃を早期に発見し、それを人間に分かり やすい形で通知することを目的としたシステムである。 まず、WCLSCAN の目標として人手を使わずにインターネットを監視して新たな脅威を発見するこ と、そのために巨大なデータから脅威を見つけ出すこと、いつでもどこでも簡単にアクセスできる ことが挙げられた。ついで開発の経緯について、当初は予算獲得がなかなかならなかったこと、現 在でも中央省庁の類似プロジェクトに比べると低い予算で大きな効果を上げていることが示された。 ついで、WCLSCAN のポータルサイトはアイコン表現などわかりやすい形も含めて脅威の状況を示 していることがデモを交えて示された。 最後に、WCLSCAN が企業や個人のボランタリーな活動で支えられていることが示された。 (3)参加者からのコメント ・ 特定の会社だけ狙い撃ちするような脅威には対応できるのか? →スピア形は全体に網を張る方法だとなかなか見えない。 ・ センサー型はたくさんセンサーがいるのかと思っていたが5,6個で足りると聞いて驚いた。 →広く攻撃するものはだいたいわかる。数よりも IP アドレス空間を正しく把握できているの かが重要。 ・ サイネットのように大規模な DOS アタックの予告があるときはどうするのか? →サイネットはまばら。インターネットプロバイダとは様相が異なる。いろいろなところに センサーを置くのが意味がある。 ・ 検出の間隔はどれくらいか? →ベイズ推論から計算結果が出るのに約6時間。急激なピークは30分で出るがそれは目で 見てもわかるのでそれほど有効ではない。感染してから広がるのには24時間位かかるこ とが普通なので、これでも十分実用的である。むしろ、じわじわ広がるのはノイズに隠れ がちで人間には気がつき難い。攻撃が大規模になる前にじわっと感知するのに価値がある。 ・ Windows Vista の影響は? →感染パターンが変わると思う。Vista 自体は強力な排他制御がある等、いままでの Windows がひどすぎたのが、よりマシになる。 ・ 研究でコラボレートする条件は? →目的を明確にしてもらい、give&take の関係になれるのであれば OK。 133 ■第6回(日本災害史から何を学ぶか) (1)実施概要 日時:2007 年 1 月 25 日(木) 13:00∼15:00 会場:金沢大学 自然科学研究系図書館 AV ホール 講師:神奈川大学大学院 歴史民族資料学研究科 非常勤講師 北原 糸子氏 (2)講演内容 現在、巨大災害が日本を襲うという不安を持つ人々が多い。地球が活動期に入ったという自然科 学者の発言が盛んであり、政府、行政の対策も真剣味を帯びている。現代都市社会のような過密さ と高層化された建物とは無縁な生活をしていた時代の歴史的な災害から学ぶことの意義はどこにあ るのか、こうした疑問を受けることが多い。では、なにが役立つのか、実際の社会では災害の実験 を行なうことはできない。過去の災害から学ぶものを見出すこと自体が災害史を現代に活かす道で はないのかとの問題意識の元、江戸時代の二つの安政地震の教訓について史料に基づいて解説があ った。江戸時代の災害からの教訓として強者が弱者を救済する社会慣行が機能しており、近代社会 になってからは生活回復の速度に差が生じて格差拡大の方向が見られることがあり、復旧支援にお いて矛盾是正の方向の見極めや促進が重要であること等が示唆された。 (3)参加者からのコメント ・ 1854 年安政東海・南海地震と 1855 年安政江戸地震に関する話しをされたが、当時の人口に 対して被害全体の大きさはどのような程度なのか? →難しい質問だ。当時の江戸周辺の人口については、幕府の記録からは本当の数字がわから ない。 ・ 当時の地震でライフライン(玉川上水)の復旧がすぐに行われなかったのは大問題ではない のか? →当時は井戸がたくさんあり、水売りもやっており、江戸での給水にはあまり問題はなかっ たようだ。 ・ 当時の地震対策と意識はどうであったのか →当時は、地震は不思議な現象として扱われていた。西洋に何か対策技術的なものがあるの だろうと考えられていたようだ。 ・ 当時、町レベルで商人等がお金を出し合って救済資金を出していたとのお話であるが、その 金は誰が調整・管理したのか? →町会所を通して救済資金をプールしていたようだ。これは、町の運営費として、節約金と して積み立て、米穀屋等が管理していた。通常時は、これを貸しつけ、運用していた。 ・ 震災時において、幕府は直轄地以外に対してはどのように修復に関与したのか? →基本的には、幕府は直轄地でも、大名に修復を命令するだけで何も関与しなかった。幕府 は、大名に災害後に金を貸与するが、貸与金はすべて大名の拝領高によって割合が決めら れた。被災が甚大な地域について優先的に資金を貸与するということはなかった。 134 ■第7回(総括: 「情報通信・危機管理」の本質) (1)実施概要 日時:2007 年 2 月 28 日(水) 13:00∼15:00 会場:金沢大学総合メディア基盤センタープレゼンテーション室 講師:金沢大学 総合メディア基盤センター 教授 大野 浩之氏 みずほ情報総研㈱情報・コミュニケーション部シニアマネジャー 多田 浩之氏 (2)講演内容 情報通信・危機管理連続講演 2006 の総括として「危機管理の本質」をテーマにとりあげ、 「危機 管理フェーズ」 「非常時通信の 4 つの形態」 「危機管理の重要な要素と非常時通信の役割」などにつ いて論じ、国内における危機管理の実効性の問題を踏まえた、包括的な危機管理 R&D の必要性、テ ストベッド、機器管理演習などの重要性が説かれた。また、直近の 2007 年 2 月 21 日から 24 日 にかけて米国で実施した、情報通信・危機管理に関する研究開発等の現状調査についての速報が報 告された。 (3)参加者からのコメント ・ つくられたシステムに依存しすぎると、従来地域にあった人間的な社会関係などが失われる 可能性があることに留意すべきである。 ・ 「自助・共助」を国が言い出したということは地域に対する国の助けの放棄を意味するので はないか? →国もむしろ正直になったというべきなのではないか。国ができる範囲を確認できるように なったことは、それで意味がある。 6.4.3 まとめ (1)講演参加者の情報通信・危機管理における関心領域 今後の講演の企画等に参考にするため、講演参加者の情報通信・危機管理における関心領域を毎 回アンケートにてたずねた。 ①危機の種類 関心のある「危機の種類」としては以下のような状況であった。全体としては自然災害への関心 が高かった。 135 危機の種類 自然災害 事故災害 テロ 第2回 第3回 第5回 第6回 第7回 感染症 食品安全 化学物質 その他 0% 10% 20% 30% 40% 50% 60% 70% 図 6-1 参加の興味の情報通信・危機管理における関心領域(危機の種類) ②情報通信システムに関するテーマ 関心のある「情報通信システムに関するテーマ」としては以下のような状況であっ た。全体としては緊急時情報通信への関心が高かった。 情報通信システムに関するテーマ 広報、情報伝達 リスクコミュニケーション 第2回 第3回 第5回 第6回 第7回 緊急時情報通信 安否確認 情報収集(センシング/モニタリングを含む) その他 0% 10% 20% 30% 40% 50% 60% 図 6-2 参加の興味の情報通信・危機管理における関心領域 (情報通信システムに関するテーマ) ③その他情報通信・危機管理に関するテーマ 関心のある「その他情報通信・危機管理に関するテーマ」としては以下のような状 況であった。全体としては危機管理に関する技術、システムへの関心が高かった。 136 その他危機管理・情報通信に関するテーマ 危機管理に関する技術、システム 危機管理に関する法制度 第2回 第3回 第5回 第6回 第7回 災害教訓 救助、救援(行政対応) 被災者支援 緊急医療、集団介護 物資輸送、ロジスティクス ボランティア、NGO その他 0% 10% 20% 30% 40% 50% 60% 70% 80% 図 6-3 参加の興味の情報通信・危機管理における関心領域 (その他情報通信・危機管理に関するテーマ) (2)今後に向けて 情報通信・危機管理連続講演 2006 を開講し、非常時における情報通信および危機管理のありかた について、技術面だけでなく制度面・運用面からの検討を加え、過去の歴史からも多くを学んだ。 講演内容については電子教材化しネット上で利用できるようにする方向で検討を行う。また、2007 年度も「情報通信・危機管理連続講演 2007」を開講したい。法制度についての検討は十分に行えな かったので、2007 年度の課題にしたい。 6.5 非常時情報通信システム(EIS−RDS) 本節では、冒頭に述べたように大規模災害における非常時に対応可能な非常時情報通信システム を有効利用するために社会的・制度的課題を明らかにし、提案する非常時情報通信手段が有効であ るかを評価するために開発した非常時情報通信 Research and Developing System(以降 EIS-RDS と呼ぶ)プロトタイプシステムについて述べる。 6.5.1 EIS-RDS プロトタイプシステム 既に、大規模災害時等の緊急時における通信の特徴が 1. C to C、2. C to G、3. G to C、4. G to G の4つのタイプに分類できることを指摘した。それを実現化したシステムを以下にまとめる。 1.C to C IAA(I Am Alive)システム、電気通信事業者による災害用伝言ダイヤルや災害用 伝言板 2. C to G 電話による 119 番、110 番 3. G to C 市町村が防災情報を収集し、また住民に対して防災情報を周知するためのネット ワークである市町村防災行政無線 137 4. G to G 内閣府により運用・管理された中央防災無線、消防庁により運用・管理された消 防防災無線、各都道府県により運用・管理された都道府県防災行政無線 各機関が密接に連携した環境に対して、上述した非常時情報通信システムを適用するには、あら かじめ関係機関ごとに実施したネゴシエーション、あるいはシームレスな相互接続が実現できるよ うに機器設置や接続検証試験などが必要である。しかし、これらがスムーズに稼動し、正常に動作 させるための明確な手続きやドキュメント等は今のところ存在していない。当然のことながら、大 規模災害発生時には各機関が密接に連携した形で迅速に非常時情報通信システムが提供される必要 がある。非常時情報通信システムは、WEB サーバのようにインターネット上に固定的に設置され、 サーバが固有に独立してサービスを提供するような単純な計算機ネットワークに閉じたシステムで はない。民間と政府・応急対応機関双方が常日頃からネゴシエーションを行い、運用等から様々な 経験を活かした実稼動インフラを構築し、いかにそのインフラにおいて必要なサービス(アプリケ ーション)を展開できるかを、これら 4 タイプにおける機関ごとの役割を明確にしておくために何 らかの検証環境が必要である。 そこで、非常時情報通信 WG では、実際の C と G における非常時情報通信システムに焦点を当て、 その実稼働ネットワークインフラを考慮した上でのテストベッドを実現するために非常時情報通信 プロトタイプを構築した。その概要を図 6-4 に示す。 非常時情報通信研究開発システム(EIS-RDS) Mac-mini x 3台 EISコンテンツ格納サーバ x2 Mac-mini x 3台 拠点管理PCルータ EISコンテンツ格納サーバ x2 拠点管理PCルータ 拠点2:ISP 拠点1:RISTEX MacBookPro Mac-mini x 3台 インター ネット EISコンテンツ格納サーバ x2 拠点管理 PCルータ 移動環境用 移動環境用 クライアント MacBook クライアント 拠点3:金沢大学 モバイル環境 Mac-Pro x 2 台 EISコンテンツ格納サーバ x2 iMac x 2台 拠点管理 PCルータ EISコンテンツ管理サーバ 拠点ルータ管理用サーバ Mac-mini x 3台 拠点4:金沢大学基盤センター(管理ノード) 図 6-4 EIS-RDS の概要 138 コンテンツ配信管理 EIS-RDS プロトタイプシステムは、現時点では 4 ノードで構成され、各ノードがインターネット へ直接接続されている。また、災害発生時に緊急的にノードを増設できるなどの状況に柔軟に対応 できるようにするため、ノードの構成情報を他のノードに分散配置するように設計した。具体的に は、ノード増設時にはその構成情報を増設したノードから最短のノードから取得できるようにして いる。 続いて、各ノード構成の詳細について述べる。1 ノードあたり 3 台のサーバで構成され、1 台はノ ード内のネットワーク構成情報等の管理およびファイヤーウォール機能などを実現する PC ルータ として稼動するサーバ、そしてノードごとに保有する様々なデータやコンテンツを格納するサーバ が 1 台とそのデータの冗長性を持たせるために定期的にバックアップを行うサーバの計 2 台である。 もし、大規模災害が発生したと想定すると被災地においては非常時情報通信を確保するためのシス テムやハードウェア等を迅速に設置し、最終的な稼動までを行うことは困難であることが多い。そ こで EIS-RDS では、被災地ノードにおいても比較的容易に稼動が可能であること、さらに移動や設 置手段を考慮し、安価でかつ小型サーバによる構成をとっている。各ノード用に構成した EIS-RDS のプロトタイプのスナップショットを図 6-5(左図)に示す。 図 6-5 プロトタイプシステム(左図)とノードにおける稼働中の EIS-RDS(右図) さらに EIS-RDS は、大規模災害時において迅速なシステム稼動を実現するため、計算機購入時な どの初期状態から稼動状態までの非常に詳細な手順書を提供している点も特徴である。一般的に、 新規状態の計算機を稼働中の計算機と同状態に構成し直し、運用までの状態に変更することは、例 えば OS のカーネルやファームウェアのバージョン、またインストール済みのアプリケーションやそ れに付随するセキュリティパッチなど複合的な要素が多く困難なことが多い。この問題点を解決す るために、常に手順書を最新の状態に更新し、変更や更新履歴など非常に粒度の細かいドキュメン ト管理を行っている。 続いて、EIS-RDS プロトタイプを構成するための環境を実現できるかを確認するために、実機を 利用した実証実験を実施した。実証実験では、各ノードの特権ユーザ(指令者)と管理ユーザ(オ ペレータ)がプレーヤとなり、新規状態の計算機を一定時間内で正常に稼働中の計算機と同一状態 に構成できるかを確認した。図 6-5(右図)に、正常なノードとして実稼動を開始して運用を行っ ているスナップショットを示す。 平成 19 年度では、開発した EIS-RDS プロトタイプシステムをもとに、C や G の拠点が複数存在し た環境における使用事例を想定した実証実験を実施する予定である。具体的には、C から G(C to G) 139 の場合において、各ノードに対して C あるいは G をアサインし、C に存在するユーザからのリクエ ストに応じて、G がユーザからの情報を集約するサイトとして容易に構成することが実現可能かど うかを検証する予定である。 6.6 まとめ 6.2 節から 6.5 節に記した本年度の研究活動は,最終年度である来年度(平成 19 年度)にそのまま 引き継がれる. たとえば,今年度までの ICS や TDR についての調査研究を受けて,来年度はこれらを日本にど のように定着させるかを検討する段階に入る.ICS や TDR を実現するための個別の要素技術は,す でに日本には十分すぎるくらい存在しているが,それらを ICS や TDR といった形に組み上げて社 会システムの一部とし,日頃から利用可能で非常時には誰もがそれを利用できる「底力」のある機 構とするには,技術面だけではなく制度面や運用面からの議論をさらに突き詰める必要がある. なお,研究成果の社会への還元と普及啓発を目的とした連続講演は, 「情報通信・危機管理連続 講演 2007」として平成 19 年度にはその規模を拡大し,金沢大学主催の一般市民向けの公開講座と いう位置付けで引続き金沢大学で実施する予定である.来年度の講演は,今年度と同様に全 7 回で 構成し,第 1 回を 2007 年 5 月 7 日(月)としてその後第 6 回目までは隔週月曜日の夕方に金沢市内 で実施し,最終回(第 7 回)を 2007 年 9 月 1 日(土)(防災の日)の昼間(午後)に開催し,併せて以下で 述べる EIS-TDR 公開実験を実施するする予定である. 今年度組み上げた EIS-TDR の評価は,来年度に本格的に行うことになる.EIS-TDR を用いた公 開・非公開の実験を通じて,非常時情報通信のあるべき姿を実際に体験できる明確な形にし,今後 の社会にどのように取り込むかの議論を加速させ4年間の研究活動を総括する方針である. 140 7 情報セキュリティ投資 7.1 背景 7.1.1 情報セキュリティ対策の実施効果 近年、情報セキュリティ技術の進歩は著しく、様々な攻撃などへの対策手段が利用できるようになっている。 しかし、現実のセキュリティ水準は、必ずしもこれら技術の進歩に見合うほど向上しているわけではない[1]。 この要因分析を科学的に行うことは容易ではないが、世界の情報セキュリティ研究者の間では、従来よりも 多角的な分析が盛んになっている。すなわち、情報セキュリティが技術的な問題だけでなくマネジメントの 問題(目的達成のために資源の利用を計画・指示・調整・制御すること)も含むという認識が強まり[2]、技術 的に可能な事柄だけでなく、経済学や公共政策、会計学などの観点から実際のセキュリティ水準向上のた めに何ができるかがより詳しく論じられるようになってきた[3],[4]。中でも、情報セキュリティに対して最適な 投資がなされているか、などの経済学的視点から問題を掘り起こす研究の潮流は、2002 年頃より、1つの国 際研究コミュニティを形成するに至っている[5]-[7]。これらは、情報セキュリティ対策の実施効果に関する分 析的な研究の流れを生み出した。 対策技術の進歩を身近にかつ端的に反映したものとして、民生用の暗号を利用したシステムや、暗号も利 用したシステムが数多くある。それらを適切に利用すれば、技術導入のインパクトは大きいだろう。一方で、 技術以外の観点も含めて適切な取り組みがなされずに、むしろ管理の不行き届きなどにつながることがあ れば、かえって大きなリスク要因ともなろう。そこで、本計画型研究開発「高度情報社会の脆弱性の解明と 解決」においても、平成17年度まで暗号リスクWGの中で実証分析に焦点を絞った分析的研究を行ってき た。定量的なモデルに関する先駆的な実証研究だという点が特徴である。 7.1.2 暗号リスクWGにおける取り組み 定量的なモデルに限定しなければ、世界では数多くの注目すべきアプローチがなされている。例えば、企 業や組織を情報セキュリティのリスク管理に集中させるために、いくつかの研究は、情報セキュリティの現状 及び情報セキュリティの侵害による潜在的な損失を議論している[8],[9]。また、経験的なセキュリティ管理の 方法を提案し、企業や組織においてケーススタディを行うことによって、それらの方法の効果を検証したとい う報告例も多い[10]-[14]。これらの定性的な研究や啓発的なアプローチに対して、強力かつ実証的なサポ ートを提供することは、大変難しい。定量的なアプローチに対するサポートを得ることも困難だが、知見とし て共有する価値のある結果が得られれば、その発展性は相対的には大きいだろう。 「強力かつ実証的なサポート」とは、理論的な観点から見ると方法論が厳密であり、データが豊富で信頼で きるということである。ただし、データの信頼性と可用性の間にはトレードオフがあることに注意すべきである。 通常、政府の公式調査等の信頼性の高い資料は、より一般的な目的のために設計されており、我々にとっ て、それらのデータを用いて情報セキュリティの問題に着目した厳密な分析を行うことは簡単ではない。一 方、我々が特定の実証分析として情報セキュリティ投資を対象とする調査を設計する場合、十分な量のサ ンプルを入手するのは非常に難しい。しかも、回答者は政府の公式調査ほどの真剣さをもって調査を受け 止めるかどうか分からないので、収集した回答データには信頼性に関して問題があるだろう。従って、暗号 リスクWGでは、情報セキュリティ対策への最適投資を定量的に論じる理論上のアプローチからヒントを得て、 141 可能な限り厳密な方法論と適切なデータを用いて実証分析を行った。 対象としたアプローチは、我々が知る限り最も発展性のあるアプローチである、米国メリーランド大学の Gordon と Loeb によって 2002 年に提案された情報セキュリティにおける投資対効果のフレームワークである [2],[15]。学術用語として定着したわけではないが、Gordon-Loeb モデルと呼ばれることが多い。彼らは、2 つのセキュリティ侵害確率関数を導入し、第二関数に示された受諾しうるセキュリティ投資戦略を論じ、情報 セキュリティに関する予算は中程度の脆弱性の情報システムに重点的に配分されるべきだという「多くの場 合に直感的に受け入れられ易い投資方針」を導く理論構造を示した。関数系を変更することにより、より深 刻な脆弱性への投資を増やす高度な安全性第一主義とでも言うべき方針を導出することもできる。解析解 を導く関数系が見つかっているため、組み合わせ論的に実務的な選択問題と融合させることも、比較的容 易である[16]。以上のようなフレームワークとしての発展性や先駆的研究としての意義が注目を集め、国際 学会においても大変盛んに引用されるに至っている。彼らの原著論文[15]では、実証分析研究の重要性も 主張されていたが、前述の困難性から、必ずしも実証研究例の報告が理論発表のすぐ後に続いたわけで はなかった。 暗号リスクWGにおける情報セキュリティ投資の研究では、まず、Gordon-Loeb モデルに基づいて、日本の 地方自治体における電子政府関連投資のデータを利用した実証分析を行い、情報システムの脆弱性と情 報セキュリティ投資の相関関係を検証した[17]。この成果は、その後、2006 年秋の国際会議 The Workshop on the Economics of Securing the Information Infrastructure (Washington D.C.)におけるパネル討論で代表 的な実証研究として紹介されるなど、実証研究の分野での先駆的取り組みとして世界的にも注目されてい る。もちろん、その完成度は比較的成熟した分野の施策提言に資する実証研究と比べればまったく及ばな いが、現在の国際的な学術コミュニティの流れの中で一定の存在感を示したと言ってよいだろう。引き続い て、前述の第二関数を傍証する成果をあげ、その過程で得た分析技術を応用して、実務的により関心が高 いと思われる仮説の検証を行った。すなわち、情報セキュリティ投資における補完性の重要性を示す検証 である。 一般に、投資を話題にする場合、人々は有形資産を考える傾向がある。しかしながら、最近の研究は、有 形資産と無形資産(例えば、人材育成、社風など)へも投資を怠らないという「補完性を重視した投資」が生 産性を改善し、より多くの利益を企業にもたらすことが示されている[18]-[20]。この考え方が、情報セキュリ ティ投資にも適用可能だと思われる。そして実際、我々は、平成17年度に、情報セキュリティ対策間の補完 性の効果を検証した。具体的には、日本企業に対する信頼性の高い調査(経済産業省による情報処理実 態調査)に基づき、コンピュータウィルスによるインシデントの発生と情報セキュリティ対策の導入状況の相 関関係を検証した。その結果、「防御装置」、「セキュリティポリシー」、「責任・教育体制」の三種類の対策を 漏らさず同時に導入した場合、コンピュータウィルスによるインシデントの発生が有意に抑えられたことが明 らかになった。また、外部発表成果として平成17年度内にとりまとめるには至らなかったが、本節でこれまで に述べてきた研究の発展的な取り組みとして、補完性を重視した投資の継続が有効であることを検証した。 具体的には、情報処理実態調査の平成14年と15年2カ年のデータを用い、三種類の対策を継続的に実 施すればコンピュータウィルスによるインシデントの発生が有意に抑えられたことが分かった。 7.1.3 平成18年度の展開 平成18年度の冒頭ではまず、前節で最後に述べた成果(補完性を重視した情報セキュリティ投資の継続 142 が有効であることの検証)の完成度を高めて前述の国際コミュニティで認められる場へ成果発表し1)、暗号リ スクWGにおける分析的研究としては一定の段階に達した。 一連の成果は、一方で、分析的研究に終始するアプローチの限界を示唆したとも言える。理論と実践のギ ャップと言ってもよいことだが、情報セキュリティ対策に関する実際の意志決定プロセスでは、情報セキュリ ティのみを分離あるいは独立させて考えることは大変困難である。この困難を打破するためには、情報セキ ュリティ投資に特化した理論研究とその実証研究だけではなく、それらを情報システム設計というより広い課 題の中でどう活用するかという見方が必要である。この観点から情報セキュリティ投資研究を発展させ実務 上のインパクトを高めるためには、リスクに関する費用対効果を考慮した先進的な情報システム設計に関わ る意志決定プロセスの研究が、有望なアプローチの一つだと考えられる。 情報セキュリティ関連も含むリスクへの関心が高まる中で推進されてきた代表的な取り組みとして、電子政 府がある。実際、米国連邦政府の電子政府実現において主導的役割を果たす機関の一つであるGSA (General Services Administration: 連邦調達庁)では、IT投資の新たな評価手法である VMM(Value Measuring Methodology)が開発され、利用実績が上げられている。この VMM は、OMB Exhibit 300(以下 「Exhibit 300」)の作成に資することを目的に 2002 年に開発されている。しかし、伝統的なビジネス・ケース 分析手法では、必ずしも Exhibit 300 の要求を満たすことができない。例えば、Return on Investment(ROI) では、政府の財務的便益に限定されており、非財務的な間接的要因まで分析が及ばない。また、定量化可 能な基準を開発する構造が示されていない。さらに、分析は財源確保の手段と見なされており、進行中の プロジェクトの管理や評価の道具とはなっていない。これらの課題を解決するために、VMM は開発された。 例えばこの意味で、VMM は「先進的な」手法と言ってよいだろう。 やや詳しく見ると、VMM では、5つの効果要因 (1)直接利用者(顧客)効果 (2)社会的(非直接利用者・公共的)効果 (3)政府運営上/基礎的効果 (4)政府財政的効果 (5)戦略的/政治的効果 に分けて、効果の計測を行う。こうすることで、一部分の効果計測にとどまっていた従来の IT 投資効果の計 測手法の問題点を解決することが可能となる。さらなる細分化とそれらの重み付けは、アド・ホックに専門家 の集まり等を組織して数値設定を行う。そして、リスク、コストの分析も行って統合することにより、最終的に は IT プロジェクトに関する最適投資を支援する枠組みとして機能する。これまで進めてきた情報セキュリテ ィ投資研究は、研究が発展するにつれて、むしろ特定の脆弱性に着目した方が理論との親和性が高いな ど、よりミクロな視点へ移行する傾向があった。細分化と統合を系統的に実施できる VMM は、その傾向にも 適合できる可能性を秘めている。ただし残念ながら、米国におけるベストプラクティスの積み重ねで開発さ れたものであるため、必ずしも我が国における適用方法は明らかではない。 そこで、平成18年度の中盤から後半は、VMM に関する調査をして我が国におけるケーススタディの研究 設計を行い、平成19年度の完遂を目指してケーススタディを開始した。調査においては、まず、VMM に関 する公開文書から抽出できる方法論及びその特徴を、より詳しく調べて整理した。不十分な点は、可能な 限り、ヒアリング調査などで補った。そして、米国における適用実績に関する調査を行い、その結果をまとめ 143 た。これらの調査に関して 7.2 節にまとめ、ケーススタディ設計とその開始状況について 7.3 節にまとめるこ ととする。これらの研究は、より広い見地から議論して進める必要があるため、暗号リスクWGではなく総括グ ループの中で進めることとなった。 7.2 VMM VMM とは、米国の社会保障庁(SSA)と連邦調達庁(GSA)が提携し、電子政府システムに関連する定量的・ 非定量的利益を定量化し、異なる利害関係者が異なる代替手段について、同一の尺度で比較し判断する ことができる枠組みの実現を目標として、2001 年から開発を開始した IT 投資の評価手法である。ハーバー ド大学、ブーズ・アレン・ハミルトンコンサルタント等からなる研究チームによって開発された。これまでの IT 投資評価手法の考え方としてよく用いられた、パフォーマンスベース評価の考え方とポートフォリオ・マネジ メントの考え方を融合した手法である。開発以降、VMM は米国政府内の各府省内にてさまざまなプロジェ クトに活用されている他、府省横断型のプロジェクトにも活用できるように、改良が加えられている。 2005 連邦CIO評議会内,行政管理予算局 (OMB),GSAら アメリカ航空宇宙局(NASA)等で使用実績 共同でVMMをSTARに組込み 米国行政改革協議会 (CEG)により 2004 運用展開開始 2003 e-Travelおよびe-Authenticationにて、 Buildingの考え方・方法論のリファインおよび実証 VMM How-To-Guide、VMM Highlights を連邦CIO評議会(CIO Council)より公表 2002 VMMの基本的な考え方・方法論をまとめた Building a Methodology for Measuring the Value of e-Services 公表 2001 VMM開発タスク開始 図 7-1 VMM の開発・運用の経緯 *e-travel:各連邦政府機関共通の出張手続きシステム。民間での出張管理事例を取り入れた政府全体のウェブベースでのサービスを、民 間事業者に委託して提供する。 出張の企画、承認、予約、支払い、払い戻し、予算確認、報告書の作成・決裁などができるようになる。 *E-authentication:連邦政府のウェブサイトの認証作業を「FirstGov.gov」にゲートウェイを設けて一元的に管理することで、民間事業者、国 民及び政府の負担を軽減する。 *STAR(Strategic and Tactical Advocates for Results):CIO・CFO・CEO・調達官などを目指す中級以上の連邦政府管理職を対象に、リーダ シップやプロジェクト管理に焦点をあてた短期集中プログラム 出典:各種公表資料を元に、三菱総合研究所作成 VMM は、他の指標に比して、IT投資対効果という考え方をさらに進め、「効果」・「リスク」・「コスト」を統合し て評価する点に特徴があり、経済産業省で平成 15 年度に実施された「情報システムの政府調達の高度化 に関する調査研究」の中の「政府調達のための IT 投資評価に関する調査研究」でも取り上げられている。 本研究プロジェクトとの関係では、リスクの扱いを重視していることが注目に値する。 7.2.1 VMM の仕組み VMM は、下記の4つのステップから構成される。 ①効果、リスク、コストのフレームワークの構築 課題1 − 効果の確認 144 課題2 − リスクの確認 課題3 − コストの確認 ②代替案の設定と評価 課題1 − 代替案の確認と定義 課題2 − 代替案の効果とコストの算出 課題3 − リスク解析 ③情報の集約 課題 1 − コスト見積の情報集約 課題 2 − 投資収益の算出 課題 3 − 効果スコアの算出 課題 4 − リスクスコアの算出 課題 5 − 効果、コスト、リスクの比較 ④文書化およびコミュニケーション 課題1 − 顧客と利害関係者に効果を伝達する 課題2 − 予算根拠となる文書を準備する 課題3 − 特別レポートが必要とする条件を満たす 課題4 − 学んだ教訓を活かしてプロセスを改善する 図 7-2 VMM の考え方 出典:CIO Council, Best Practices Committee, Value Measuring Methodology How-To-Guide, 7.2.1.1 パート 1:効果、リスク、コストのフレームワークの構築 1) 課題1−効果の確認 ここでは、 145 ① 効果のリストアップおよび簡潔で具体的なネーミング・説明の付与 ② 効果の評価指標・評価基準の設定 ③ 評価尺度の設定 の 3 つの作業を行う。 VMM では、ユーザを Direct Customer (User)、Social (non-User/Public)、Govemment/ Operational Foundation、Strategic/Political、Govemment Financial の5つに分類しており、この作業を行うにあたっ ては、企業等組織の責任者から直接のユーザまで、直接・間接を問わず幅広いユーザにヒアリングを 行う必要がある。なお、ヒアリング結果を集約する際には、必要に応じて AHP 等のツールを使用するこ とが推奨されている。 本節での作業の結果として、各項目の重要度の付与された図 7-3 のような効果リストが得られる。 Summary of VMM Weighting & Scoring for Title XVI “Check Your Benefits” Applying VMM to Title VXI “Check Your Benefits,” we determined the following scores for each of the Value Factors and their respective value measures Agency Direction Value Factors and Value Measures (% share of total weight) Direct User Maximum Value of the Value Factors Program Mgt. Direction Sub-Criteria Maximum Measure Value 25% Scoring (“Normalized”) Sub-Criteria Points (%) Scoring Specialists: OPB, OAS, OQA, OCOMM 21.0% Expanded Access (50%) 12.5% 10 of 10 12.5% User Time Saved (30%) 7.5% 6 of 10 4.5% Increased Satisfaction (20%) 5.0% 8 of 10 4.0% Social 15% Scoring Specialists: OCOMM, OQA, OSM 13.0% Increase Public Confidence (33%) 5.0% 10 of 10 5.0% Access for “Hard to Reach” (33%) 5.0% 8 of 10 4.0% Equity and Fairness (33%) 5.0% 8 of 10 4.0% Government Financial 10% Effectiveness and Efficiency (50%) Scoring Specialists: OB, DCS, OQA 5.0% Return on Investment (50%) 5.0% Operational/Foundational 30% 9.0% 8 of 10 4.0% 10 of 10 5.0% Scoring Specialists: DCS, OES, OPB, OAS 25.0% Supports Future eService Transactions (50%) 15.0% 10 of 10 15.0% Supports Transformation (33%) 10.0% 6 of 10 6.0% 5.0% 8 of 10 4.0% Supports Organizational Learning (17%) Strategic / Political 20% Satisfies External Mandates / Requirements (50%) Supports ASP (50%) TOTAL 100% Scoring Specialists: OSM, OES 18.0% 10.0% 10 of 10 10.0% 10.0% 8 of 10 8.0% 100% Value Score 86% 86% 図 7-3 重要度の付与された効果のリストの例 出典:Mary Mitchell(GSA), Tony Trenkle(SSA), Michelle Quadt(B.A.H.) Value Measuring Methodology:A Panel Discussion 2) 課題2−リスクの確認 ここでは、リスクの構造の確認およびリスクの定義の作業を行う。また、リスクへの対応策に対してどの程 度のコストをかけられるかを把握するために、Risk Tolerance 分析を行う。これらの作業を行うに当たって は、プログラムマネージャ・技術者・意思決定者・ポートフォリオマネージャ等にヒアリングをすることとされ ている。 本節での作業の結果として、各リスクのリストが得られる。 3) 課題3−コストの確認 ここでは、コストの構造の確認作業を行う。コストの内容を確認するに当たっては、プログラムマネージャ・ 146 技術者・意思決定者・ポートフォリオマネージャ等にヒアリングをすることとされている。 コストは、次節以降の分析に使用するため、なるべく細かな単位で取得しておく必要がある。 7.2.1.2 パート2:代替案の設定と評価 1) 課題1−代替案の確認と定義 ここでは、原案に対する代替案を設定する。代替案には、「現状のまま(投資を行わない)」という選択 肢も含まれうる。 この作業を行うに当たっては、プログラムマネージャ・技術者にヒアリングを行うこととされている。 2) 課題2−代替案の効果とコストの算出 ここでは、前項で設定した代替案について、効果とコストを産出する。具体的には、 ① モデルの構築・分析 ② データの標準化 ③ 不確定性分析・感度分析 を行う。 この作業を行う上で、必要に応じてモンテカルロシミュレーションツールや COTS コスト推計ソフト等を 使うこととされている。 本項の作業結果として、代替案の効果およびコストの分析結果が得られる。 図 7-4 データの標準化 ステップ1で得られた効果を、high/expected/low に分類するための閾値を設定する。 出典:CIO Council, Best Practices Committee, Value Measuring Methodology How-To-Guide, 147 図 7-5 不確定性分析 効果・コストは、様々な状況下での効果・コストの合計値。状況の発生確率を算出する。 出典:CIO Council, Best Practices Committee, Value Measuring Methodology How-To-Guide, 図 7-6 感度分析 効果・コストの原因となっていることが、それぞれどの程度の影響を与えているかを分析する。 出典:CIO Council, Best Practices Committee, Value Measuring Methodology How-To-Guide, 3) 課題3−リスク解析 ここでは、リスクの発生確率および効果・コストへの影響の把握を行う。具体的には、 ① リスク要素の確認と定義 ② 発生可能性と影響の設定モデルの構築・分析 を行う。 148 リスクの影響の設定例 リスクの定義 図はe-Travelのリスク定義の例。ここでは、「コス ト」「技術」「スケジュール」「運用」「法」の5 つのカテゴリーを設定し、各リスク要素がどのカテ ゴリーに影響を与えるかを検討している。 図 7-7 リスク分析 出典:CIO Council, Best Practices Committee, Value Measuring Methodology How-To-Guide, 図 7-8 リスクの発生可能性と影響の設定 出典:CIO Council, Best Practices Committee, Value Measuring Methodology How-To-Guide, 149 7.2.1.3 パート3:情報の集約 本節では、前節までで得られた効果・リスク・コストに関する情報を集約し、原案および代替案の効果・コス ト・リスクを同一の基準で比較できるように整理する。 コスト見積もりに関する情報集約 コスト見積もりに関する情報集約 投資収益を算出する 投資収益を算出する 価値スコアの算出 価値スコアの算出 リスクスコアの算出 リスクスコアの算出 価値、コスト、リスクの比較 価値、コスト、リスクの比較 図 7-9 情報集約の作業フローおよびアウトプットイメージ CIO Council, Best Practices Committee, Value Measuring Methodology How-To-Guide, を元に作成 7.2.1.4 パート4:文書化およびコミュニケーション VMM では、分析結果を文書化し、適当な組織・ユーザとの間で分析結果を理解してもらうためのコミュニケ ーションをとることが最も重要な作業として位置づけられている。 7.2.2 VMM の適用事例 7.2.2.1 XML.gov XML.gov とは、CIO Council が設置した XML を調査して政府全体で使用するためのワーキンググループに よって構築された米国の電子政府構築に関する XML ポータルサイトである。ワーキンググループは、 XML.gov のための機能を決定するにあたり、ブーズ・アレン・ハミルトンと契約し VMM を適用した。 適用の課程では、開発時にかかるコストだけではなく、その後にかかるコストについても調査を行い整理し ている(表 7-1)。 150 表 7-1 整理されたライフサイクルコスト Cost Elements ($ Million, Inflated) 1.0 System Planning & Development 1.1 Hardware 1.2 Software 1.3 Development Support 1.4 Studies 1.5 Other 2.0 System Acquisition & Implementation 2.1 Procurement 2.2 Personnel 2.3 Training 3.0 System Maintenance & Operations 3.1 Hardware 3.2 Software 3.3 O&M Support 3.4 Recurring Training 3.5 Other Operations & Maintenance TOTAL LIFECYCLE COST FY 2004 $ 1.0 $ $ $ 1.0 $ $ $ 2.3 $ 1.2 $ 1.1 $ $ $ $ $ $ $ $ 3.4 FY 2005 $ 0.3 $ $ $ 0.3 $ $ $ 0.5 $ 0.2 $ 0.3 $ $ 1.8 $ 0.1 $ 0.8 $ 0.9 $ $ $ 2.6 FY 2006 $ 0.3 $ $ $ 0.3 $ $ $ 0.6 $ 0.3 $ 0.3 $ 0.0 $ 1.9 $ 0.2 $ 0.8 $ 0.9 $ $ $ 2.7 FY 2007 $ $ $ $ $ $ $ $ $ $ $ 2.0 $ 0.2 $ 0.9 $ 0.9 $ $ $ 2.0 FY 2008 $ $ $ $ $ $ $ $ $ $ $ 2.0 $ 0.2 $ 0.9 $ 0.9 $ $ $ 2.0 FY 2009 & Beyond $ $ $ $ $ $ $ $ $ $ 10.6 $ 1.0 $ 4.7 $ 4.9 $ $ $ 10.6 $ TOTAL $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ $ 1.6 1.6 3.4 1.7 1.7 0.0 18.2 1.6 8.0 8.5 23.1 出典: GSA, Booz Allen Hamilton, XML.gov Registry/RepositoryBusiness Case また、現在の業務の分析を行ったうえで、代替案は連邦型モデルと集約型モデルの2つを設定し、比較分 析を行っている。 Peer to Peer Registry/Repository Configuration with Synchronization Agency 1 XML Registry/Repository Agency 2 XML Registry/Repository Agency 3 XML Registry/Repository Agency 4 XML Registry/Repository Primary Peer XML Registry/Repository Trading Partner Trading Partner Agency 1 Web Users Industry Web Users Federal Community Web Users Agency 4 Web Users State Government Web Users 図 7-10 代替案2 連邦型モデル 出典: GSA, Booz Allen Hamilton, XML.gov Registry/RepositoryBusiness Case Trading Partner Industry Web Users Primary XML Registry/Repository Trading Partner State Government Federal Community Web Users Web Users Agency Web Users 図 7-11 代替案3集約型モデル 出典: GSA, Booz Allen Hamilton, XML.gov Registry/RepositoryBusiness Case 151 7.2.2.2 NASA ‒ Return on Investment Study on Geospatial Interoperability NASA では、2004 年まで宇宙で様々なデータを測定するために 80 個のセンサがある 30 隻の宇宙船を配 備していた。 ここから毎日数テラバイト集められるデータをコンパイルする作業について、NASA や関連の 組織および利害関係者により VMM を適用して最適な方法を検討した。 表 7-2 は設定された効果のウェイト値であり、それをもとに各代替案を採点したスコアは表 7-3 に示す通り である。 表 7-2 効果の各項目のウェイト値 出典: NASA, Booz Allen Hamilton, Geospatial Interoperability Return on Investment Study 表 7-3 Direct User のスコア 出典: NASA, Booz Allen Hamilton, Geospatial Interoperability Return on Investment Study 次にコストについては、コストの項目ごと・および代替案ごとにコストを整理している。NASA でも XML.gov と 同様に、開発時にかかるコストだけではなく、その後の年次まで含めたコストの検討・整理を行っている(表 7-4、図 7-12)。 表 7-4 Case 1 のコスト 出典: NASA, Booz Allen Hamilton, Geospatial Interoperability Return on Investment Study 152 図 7-12 推計された全期間のコスト 出典: NASA, Booz Allen Hamilton, Geospatial Interoperability Return on Investment Study 最後に、以上までで得られた効果およびコストをリスクによって調整を行い(表 7-5)、ケースを評価する。 表 7-5 Cases 1およびCase2のリスク調整後の効果およびコスト 出典: NASA, Booz Allen Hamilton, Geospatial Interoperability Return on Investment Study なお、この研究で設定されたケースは、以下の 2 つであった。ケースについては、誤解を招かないよう、簡 潔に必要な事項をまとめて伝達する必要がある(表 7-6)。 表 7-6 代替案の概要 出典: NASA, Booz Allen Hamilton, Geospatial Interoperability Return on Investment Study 7.3 ケーススタディ 本研究では、文部科学省の科学技術振興調整費積算システム(以下、「振興調整費積算システム」)を対 象として、VMM の適用を行うこととした。平成 18 年度は、効果・コスト・リスクの定量化のための基本データ 153 を収集した。本節ではその内容をまとめる。 なお、振興調整費積算システムの開発の経費は図 7-13 の通りである。 2000 科学技術振興調整費の積算に関するデータベース化 H12年度予算積算データの入力・集計・検索様式の作成 2001 H13年度予算積算データの入力・集計 2002 H14年度予算積算データの入力・集計 WEBシステムの構築 WEBシステムの構築 2003 iDCの運用 iDCの運用 科学技術振興調整費の積算にかかるシステム構築 WEB上で積算データの入力・修正・削除機能の構築 データの抽出・帳票の出力する機能の構築/iDCの運用(以後、毎年) 2004 契約業務支援機能構築/担当課からJSTへの機能移管に伴う調整 /ユーザインタフェイス改善要望に沿った調整/機器大幅増強 2005 2006 HWの大幅増強 HWの大幅増強 業務計画書、支払い計画書作成支援機能構築/ユーザインタフェイス改善要望に沿った 調整/データ検証/機器増強/問い合わせ対応/文部科学省内に非常用HWを設置 科学技術振興調整費業務システム運用 完了報告書機能追加/iDCの運営 問い合わせ対応の開始 問い合わせ対応の開始 図 7-13 振興調整費積算システムの開発経緯(関係者へのヒアリング元に作成) 本システムは、2003 年に最初の開発を行い 2004 年からは基本的な機能の提供が開始されその後、現在ま で順次機能を追加してきている。 なお、VMM は本来、事前評価に使用するものであるが、本研究では事後評価への適用可能性の評価を行 うことも念頭において、事後評価に適用する。 事後評価に参加するのは、文部科学省・科学技術振興機構の担当者、本システムの開発担当技術者、本 システムを使用する研究機関担当者、コンサルタント役、である。 7.3.1 パート1:効果、リスク、コストのフレームワークの構築 1) 効果の確認 効果を定義するに当たっては、まず、文部科学省・科学技術振興機構の担当者、本システムの開発担 当技術者へのヒアリングを行った上で効果の案をリストアップし、科学技術振興機構の担当者、本シス テムの開発担当技術者、本システムを使用する研究機関担当者、コンサルタント役、にて合意を形成 する過程を試行した。 154 表 7-7 効果のリスト 研究機関の利用者に関係する効果 常時、最新かつ正確なデータにアクセスできる 書類作成作業の迅速化・簡素化 書類作成以外の作業の迅速で正確な遂行 研究業務の早期の遂行 関係者の情報入力状況を随時確認できる 政府基盤・業務効率に関連する効果 常時、最新かつ正確なデータにアクセスできる 書類作成・確認作業の迅速化・簡素化 書類作成・確認以外の作業の迅速で正確な遂行 文部科学省と財務当局との調整作業の迅速化 関係者の情報入力状況を随時確認できる 戦略・政策に関連する効果 科学技術振興調整費の分析が簡単に行える 科学技術基本計画の進行状況の確認ができる 政府の財務に関連する効果 通信運搬費書類保管コスト等の削減 独立法人化に伴うコスト増大の抑制 社会的な効果 新たな研究成果 競争的資金振興調整費の運用に対する信頼 2) リスクの確認 リスクを定義するに当たっては、漏れ・抜け等を防ぎつつ効率的に定義するための方策として、既存の VMM 適用事例および各種団体におけるリスクの分類を用いてある程度汎用的なリスクのリストを作成 し、適用対象システム固有の事情によるリスクを追加することとした。 振興調整費積算システム固有のリスクについては、開発担当技術者および文部科学省・科学技術振 興機構の担当者へのヒアリングを通じて把握した。 155 表 7-8 XML.gov のケースで設定されたリスク(各種資料を元に整理) Risk Input Alt 1 Probability Alt 2 Probability コスト超過 Low Medium High データ・情報の紛失 Low Low Medium Medium Medium Low High Medium High High ハードウェア/ソフトウェア障害と交換 プロジェクト規模の見積もりミス Alt 3 Probability 不適切なプロジェクトチーム、見通し/経営計画 Low High レジストリ・レポジトリ構造による政府機関の安全要求の不適切な適用 High Medium High PMOスタッフと時間要件の不十分な配分 Low Medium High 政府機関スタッフの専門的技術の不足 Low Low Medium 実行時間の見積り不足 Low Low Medium High 実行とクリティカルパスのモニタリング不足 Low Medium 連邦政府のポリシー、成果物およびレジストリ/レポジトリの技術的規格の欠落 High Medium Low 政府全体におけるXML技術に関する意識の欠如 High Low Medium Medium Medium Medium High Medium Low Medium Low Medium 政府機関の組織文化によるXMLの政府の仕様・規格・より幅広い適用への抵抗 High Medium High 現在のXML技術主要な政府全体のレジストリ実装の複雑さに対応するのには不十分:非相互運用のリスク High High Medium XML化へ向けて連邦邦政府間のコーディネートを行い監理・監督を行うオーソライズされたガバナン部隊の欠如 High Medium Low レジストリ/レポジトリ構造における、将来相互利用可能となる技術をサポートするスケーラビリティの欠如 High High High データ要素およびレジストリ構造の規格設定にのっとったレジストリ以外では効率が悪い High Medium Low アップグレード、標準化、コーディネーション等のサポートにより長期にわたり不確定な資金が必要となる High Medium High 政府機関幹部のサポートと長期的リーダーシップの欠如 政府機関において個別のXMLレジストリ登録が継続し、成果物のリユースが進まない 政府のXML規格によらずに開発された政府にて使用中のCOTSプロダクト 仕様書と登録活動の調整に関するコンセンサス形成が困難となる High High High 構成管理が持続可能ではない High Medium Low Base Peer レジストリが既存のレジストリと共存不可 High Low Low 表 7-9 NASA Geospatial Interoperability で設定されたリスク(各種資料を元に整理) Risks Risks コスト超過 十分な費用削減を行わない少数の業者への集中 データ・情報の紛失 今後特定のベンダからの調達を必要とする技術やアプリケーションの投資の選択に関する リスク ハードウェア/ソフトウェア障害と交換 規格に基づく技術の未熟に関するリスク;技術的問題/失敗のリスク プロジェクト規模の過大/過小見積もり 提案された代替手段がPMAやeGovの目標達成に貢献しないリスク 不適切なプロジェクトチーム、見通し/経営計画 アプリケーションが動作しない予期しない事態 レジストリ・レポジトリ構造による政府機関の安全要求の不適切な適用 異なった規格間の相互運用性が十分でない PMOスタッフと時間要件の不十分な配分 GI標準に関する政府機関スタッフの専門的技術の不足 組織が採用しないために、規格が孤立する 実行時間の見積りミス 技術の可能性が実現せず、川下ユーザへ影響が波及する GIオープンスタンダードの実装における実行とクリティカルパスのモニタリング不足 連邦政府のポリシー、成果物およびレジストリ/レポジトリの技術的規格の欠落 政府全体における地理空間技術に関する認識欠如 政府機関幹部のサポートと長期的リーダーシップの欠如 政府機関において個別のXMLレジストリ登録が継続し、成果物のリユースが進まない 政府で使用中の地理空間データとGISアプリが、 Geospatial Standardに対応しない 政府機関の組織文化によるGeospatial Standardの政府の仕様・規格・より幅広い適用への 抵抗 将来相互利用可能となる技術をサポートするスケーラビリティの欠如 規格にのっとったデータ以外では効率が悪い アップグレード、標準化、コーディネーション等のサポートにより長期にわたり不確定な資金 が必要となる 仕様書と登録活動の調整に関するコンセンサス形成が困難となる 構成管理が持続可能ではない 過剰に推計されたライフサイクルコストに基づくライフサイクルコストのリスク 156 表 7-10 GMITS のによる脆弱性の例(各種資料を元に整理) 分類 脆弱性の例 分類 脆弱性の例 環境及び基 礎構造 建物、ドアおよび窓の物理的保護の欠如 建物、部屋への物理的アクセス管理の不適当または 不注意な使用 不安定な電力配電網 洪水の影響を受けやすい地域への配置 ソフトウェア ハードウェア 定期的な交換計画の欠如 電圧の変化に対する影響の受け易さ 温度変化に対する影響の受け易さ 湿気、ホコリ、汚れに対する影響の受け易さ 電磁放射に対する影響の受け易さ 記憶媒体の不十分な保守/不適当な設置 有効な構成変更管理の欠如 ワークステーションから離れる際に ログアウト しない 効果的な変更管理の欠如 文書化の欠如 バックアップコピーの欠如 適切に削除されていない記憶媒体の処理または再利 用 通信 保護されていない通信回線 ケーブル接続の欠如 送信元および受信者の識別と認証の欠如 平文でのパスワード転送 メッセージ送受信の証明の欠如 ダイヤルアップ回線 保護されない重要度の高いトラフィック 不適切なネットワーク管理 保護されない公衆回線への接続 文書 保護されない保管 廃棄時の注意欠如 管理されないコピー作成 人事 要員の不在 外部または清掃スタッフによる作業時の監督不在 ソフトウェア 開発者のための不明確または不完全な仕様書 ソフトウェアのテストをしない、または不十分なソフト ウェアのテスト 複雑なユーザインタフェース ユーザの識別および認証メカニズムの欠如 監査証跡の欠如 ソフトウェアの公知の欠陥 保護されていないパスワードファイル 不十分なパスワード管理(簡単に推測できるパスワー ド、平文でのパスワードの保管、不十分な頻度での変 更) アクセス権の誤った割り当て 管理されていないソフトウェアのダウンロードおよび使 用 表 7-11 本ケーススタディにおけるリスク定義の案 リスク リスク プロジェクトの計 画に関するリスク ソフトウェアのテストをしない、または不十分 PMOスタッフと時間要件の不十分な配分 不適切なプロジェクトチーム、見通し/経営計 画 システムの使用時に発生するリスク プロジェクトの遂 行に関するリスク コスト超過 プロジェクト規模の過大/過小見積もり 遂行時間の見積もりミス 実装における実行とクリティカルパスのモニ タリング不足 過剰に推計されたライフサイクルコストに基 づくライフサイクルコストのリスク 十分な費用削減を行わない少数の業者への 集中 今後特定のベンダからの調達を必要とする 技術やアプリケーションの投資の選択に関す るリスク 定期的なハードウェア交換計画の欠如 開発者のための不明確または不完全な仕様 書 関係者が複数あるため、要求に矛盾が発生 する 不十分・不適切な仕様 ・保護されていない通信回線 ・複雑なユーザインタフェース ・ユーザの識別および認証メカニズムの 欠如 ・ソフトウェアの公知の欠陥 環境及び基 礎構造 建物、部屋への物理的アクセス管理の不適当または不注意な使用 不安定な電力配電網 洪水の影響を受けやすい地域への配置 ハードウェア 電圧の変化に対する影響の受け易さ 温度変化に対する影響の受け易さ 湿気、ホコリ、汚れに対する影響の受け易さ 電磁放射に対する影響の受け易さ 記憶媒体の不十分な保守/不適当な設置 有効な構成変更管理の欠如 ソフトウェア 監査証跡の欠如 保護されていないパスワードファイル 不十分なパスワード管理(簡単に推測できるパスワード、平文でのパスワードの 保管、不十分な頻度での変更) アクセス権の誤った割り当て 管理されていないソフトウェアのダウンロードおよび使用 ワークステーションから離れる際に ログアウト しない 効果的な変更管理の欠如 文書化の欠如 バックアップコピーの欠如 適切に削除されていない記憶媒体の処理または再利用 通信 ケーブル接続の欠如 送信元および受信者の識別と認証の欠如 メッセージ送受信の証明の欠如 ダイヤルアップ回線 保護されない重要度の高いトラフィック 不適切なネットワーク管理 保護されない公衆回線への接続 文書 保護されない保管 廃棄時の注意欠如 管理されないコピー作成 人事 (問い合わせ対応等)要員の不在、不足 政府機関における担当者移動による体制の立て直し 外部または清掃スタッフによる作業時の監督不在 157 3) コストの確認 開発担当技術者にて保管している隔年の見積もり書を元に、システムの開発・運用に要した費用を整 理した。なお、整理の雛形は、過去の VMM 適用事例を参考に設定した。 事後評価であることもありデータが集めやすかった。 表 7-12 振興調整費積算システムの各年の開発・運用コスト(関係者へのヒアリングを元に作成) 2003 1.システム計画・開発 1.1仕様策定 ①新規 ②拡張 1.2その他 ①会議 ②旅費 2.システムの実装 2.1調達 ①ハードウェア ②ソフトウェア構築 ③ソフトウェア拡張 3.システムの保守・運用 3.1運用 ①iDC運用 ②データ管理 ③回線費 ④その他 3.2保守 ①ハードウェアアップグレード ②ソフトウェアアップグレード ③ハードウェアリプレース ④ソフトウェアリプレース ⑤その他 3.3改修・拡張 3.4サポート 3.5トレーニング 計 2004 2005 6275000 2006 3457720 計 9732720 6,275,000 1,952,540 1,505,180 1,952,540 7,780,180 5,322,620 19,255,220 3,023,400 5,355,985 10,875,835 82,392,154 1,810,000 5,015,600 7,107,000 195,000 1,615,000 2,328,400 700,000 1,987,200 29,861,830 500,000 6,607,000 13,792,568 3,040,985 2,281,635 17,441,926 2,760,000 4,840,000 129,600 4,590,000 2,760,000 4,840,000 129,600 4,590,000 2,760,000 5,280,000 129,600 6,630,000 12,660,000 20,460,000 518,400 15,810,000 219,230 2,091,000 216,600 680,000 94,400 510,000 267,000 754,460 3,281,000 3,119,000 7,676,000 4,233,500 10,998,500 576,368 832,036 1,205,890 8,760,904 19,880,390 46,211,660 69,754,860 48,074,136 48,986,812 213,027,468 21,295,830 4,380,000 5,500,000 129,600 267,000 224,230 7.3.2 パート2:代替案の設定と評価 1) 代替案の確認と定義 本研究は事後評価であるため、開発開始時に検討され得た案を代替案とするのが適当である。文部 科学省・科学技術振興機構の担当者、本システムの開発担当技術者、本システムを使用する研究機 関担当者、コンサルタント役で原案および代替案を、下記の3つと設定した。 A案:2002 年までの DB 化済のまま 各研究機関はワープロソフト、もしくはスプレッドシートで積算書類を作成する。 各研究機関は適宜入力ファイルを、原課もしくは JST に送付する(FAX の場合もある)。原課もしくは JST は、受信したファイルから、DB に必要な数値を転記する。業務計画書・支払計画書・完了報告 書等の作成支援機能は提供しない。 B案:機能限定案 積算に関する基本的な入力・集計・検索等の機能を構築。 2006 年度末時点の積算システムの機能のうち、業務計画書作成支援機能、支払計画書作成支援 機能、完了報告書作成支援機能を構築しない。 C案:2006 年度末 積算に関する基本的な入力・集計・検索等の機能のほか、業務計画書作成支援機能、支払計画書 作成支援機能、完了報告書作成支援機能をもつ。 158 7.4 今後の展望 平成18年度の情報セキュリティ投資研究で取り組み始めた VMM の研究は、将来的には、情報セキュリティ 投資に関する理論と融合した新たな段階へ発展させ実用に供することが望ましい。しかし、ビジネス慣行等 の異なる我が国でケーススタディを実施し、その結果から我が国に有効な知見を抽出することだけでも1年 余りの短期間では容易ではない。先進性と先駆性ゆえ素材はよく、実務的にも 7.2 節で述べたように政府 等から一定の注目を集めているが、時間の制約があるため知見の活用を本プロジェクトの達成目標に含め ることは適切ではない。すなわち、本計画型研究開発のもとでは「情報セキュリティ投資との本格的な融合」 は扱わず、将来のそれに貢献するために VMM 適用上の問題点を次の5つに分けて整理し、学術論文より もむしろ指針などの文書化の形で社会貢献するよう努めたい。 (1)一般的な問題 (2)我が国で適用するための問題 (3)事前評価ではない場合の問題 (4)情報セキュリティを含むリスク分析が困難な場合に顕著となる問題 (5)情報セキュリティに関する効果計測が困難な場合に顕著となる問題 参考文献(平成17年度までの成果発表文献を含む) [1] M. E. Whitman: Enemy at the Gate: Threats to Information Security , Communications of the ACM, Vol.46, No.8, pp.91-95, August 2003. [2] Lawrence A. Gordon and Martin P. Loeb: Managing Cybersecurity Resources: a Cost-Benefit Analysis . The Mcgraw-Hill Homeland Security Series, 2005. [3] R. j. Anderson: Why Information Security is Hard: An Economic Perspective , 17th Annual Computer Security Applications Conference, New Orleans, Louisiana, December 2001. [4] 田中秀幸, 松浦幹太: 情報セキュリティ・マネジメントの制度設計 . Network Security Forum 2003, October 2003. [5] R. Anderson and B. Schneier: Economics of Information Security , IEEE Security & Privacy, Vol.3, Iss.1, pp.12-13, 2005. [6] H. Varian: System Reliability and Free Riding , Workshop on Economics and Information Security, University of California, Barkeley, May 2002. [7] H. Varian, F. Wallenberg and G. Woroch: The Demographics of the Do-Not-Call List'', IEEE Security & Privacy, Vol.3, Iss.1, pp.34-39, 2005. [8] Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn and Robert Richardson: 2005 CSI/FBI Computer Crime and Security Survey . Computer Security Institute, 2005. http://www.gocsi.com/ [9] Peter Kuper: The status of Security , IEEE Security & Privacy, Vol.3, Iss.5, pp.51-53, 2005. [10] 中村逸一, 兵藤敏之, 曽我正和, 水野忠則, 西垣正勝: セキュリティ対策選定の実用的な一手法 の提案とその評価 , 情報処理学会論文誌, No.45, Vol.8, pp.2022-2033, 2004. 159 [11] Sangkyun Kim and Hong Joo Lee: Cost-Benefit Analysis of Security Investments: Methodology and Case Study , LNCS 3482, pp.1239-1248, 2005. [12] Bilge Karabacak and Lbrahim Sogukpinar: ISRAM: Information Security Risk Analysis Method , Computers & Security, Vol.24, pp.147-159, 2005. [13] Scott Dynes, Hans Brechbuhl and M. Eric Johnson: Information Security in the Extended Enterprise: Some Initial Results From a Field Study of an Industrial Firm , Workshop on the Economics of Information Security, 2005. [14] Peter E.D. Lovea, Zahir Iranib, Craig Standinga, Chad Lina and Janice M. Burna: The Enigma of Evaluation: Benefits, Costs and Risks of IT in Australian Small-Medium-Sized Enterprises , Information & Management, Vol.42, pp.947-964, 2005. [15] Lawrence A. Gordon and Martin P. Loeb: The Economics of Information Security Investment , ACM Transactions on Information and System Security, Vol.5, No.4, pp.438-457, November 2002. [16] 松浦幹太: 情報セキュリティと経済学 , 2003 年暗号と情報セキュリティ・シンポジウム(SCIS2003)予 稿集, pp.475-480, 2003. [17] Hideyuki Tanaka, Kanta Matsuura and Osamu Sudoh: Vulnerability and Information Security Investment: An Empirical Analysis of E-Local Government in Japan , Journal of Accounting and Public Policy, Vol.24, pp.37-59, 2005. [18] Erik Brynjolfsson, Lorin M. Hitt, and Shinkyu Yang: Intangible Assets: Computers and Organizational Capital , Brookings Papers on Economic Activity, pp.137-181, 2002. [19] Timothy F.Bresnahan, Erik Brynjolfsson and Lorin M. Hitt: Information Technology, Workplace Organization, and the Demand for Skilled Labor: Firm-Level Evidence , Quarterly Journal of Economics, Vol.117, Iss.1, pp.339-376, 2002. [20] Erik Brynjolfsson and Lorin M. Hitt: Computing Productivity: Firm-Level Evidence , Review of Economics and Statistics, Vol.85, No.4, pp.793-808, 2003. 平成18年度の成果発表文献 1) W. Liu, H. Tanaka and K. Matsuura: An Empirical Analysis of Security Investment in Countermeasures Based on an Enterprise Survey in Japan , Workshop on the Economics of Information Security 2006 (WEIS2006), Cambridge, UK, 2006. 160 8 高度情報社会における法律的、政策的検討 8.1 基本認識 現在の日本における情報セキュリティ政策は、 「セキュアジャパン 2006」に見られるように、政 府機関/重要インフラ/企業/個人の各対象別に推進すべき政策が総合的に明示されており、現在 は各省庁において具体化・実現化が徐々に進展している。また、2005 年 4 月、内閣官房情報セキ ュリティセンターが設置され、2006 年度より省庁横断的な取り組みが本格的に開始されたところで ある。 一方、企業においては情報セキュリティ対策の領域の中でも、事件・事故の被害を受けやすいに もかかわらず、市場原理の影響や関心の薄さにより、対策が遅れがちな領域である。最近の情報セ キュリティ上の脅威は、経済的利益を目的としたものや、特定対象に向けた攻撃など、悪質化の傾 向にあることから、企業においても対策が急務となっている。個人情報保護法や日本版 SOX 法な ど、企業においては内部統制が強化されつつあり、セキュリティを考慮した IT の重要性は高まっ ている。産業や業務における情報システムへの依存へは高まる一方だが、情報システムの複雑化、 ネットワークの広域化が進み、情報システムに関連した事故は、自社内にとどまらず、外部に対し て想定されない影響を与えるケースが増えると想定される。 情報システムの複雑化・広域化や、インターネットを介した攻撃手法の高度化・悪質化を背景に、 企業がさらされる情報システムに係わる脅威はますます増大し、リスクの把握が困難になっている。 企業において効果的な情報セキュリティ対策を行うためには、過去の情報システム障害に関わる状 況や対策などの情報を共有することで、有効な予防策を検討することが可能になると考えられる。 そこで、今年度は情報システム障害に係わる情報共有を行うための仕組みや体制に関して現状を 整理し、情報共有実現に向けた法的政策的課題を明確化した。 8.2 情報システム事故調査委員会設置に関する検討 8.2.1 重要インフラ分野における主な情報システム障害 昨今、大規模な情報システム事故が起きている。下表は、特に社会生活や経済活動に影響の大き い重要インフラ分野における最近の情報システム事故のうち幾つかを例示したものである。 161 表 8.2.1-1 最近の重要インフラ分野における情報システム障害例 通信 金融 航空 162 電力 鉄道 政府・行政サービス このような情報システム障害が起きた場合、原因が解明されても原因の詳細については公表にさ れず企業内に閉じられてしまうケースが多く、事故から得られた知見が共有されずに同様のトラブ ルが起きたりしている。このため、航空・鉄道分野において「航空・鉄道事故調査委員会」がある ように、情報システムの分野でも、類似事故の再発防止と発生時の被害最小化を目的に「情報シス テム事故調査委員会」を設置することが考えられる。 8.2.2 航空・鉄道事故調査委員会 そこで、情報システム事故調査委員会設置の可能性を検討するにあたり、まず、航空・鉄道事故 調査委員会について調査を行った。 (1) 航空・鉄道事故調査委員会の概要 (i) 設立経緯 航空・鉄道事故調査委員会は、相次ぐ航空機事故をきっかけに、1974 年に航空事故調査委員会が 発足したことに起源をもつ。その後、1991 年の信楽高原鉄道列車衝突事故や 2000 年の地下鉄日比 谷線中目黒駅構内の列車脱線衝突事故等、大規模な鉄道事故が起きたことをきっかけに、2001 年に 「航空・鉄道事故調査委員会」に改名し、それまでの航空事故のほかに、鉄道事故の原因を究明す る委員会となった。 163 1971(昭46)年 連続航空機事故 1973(昭48)年 航空事故調査委員会設置法制定 1974(昭49)年1月11日 航空事故調査委員会発足(運輸省) (アメリカNTSB (National Transportation Safety Board)を参考に設立さ れた常設の事故調査委員会 2000(平12)年3月8日 地下鉄日比谷線中目黒駅構内の列車脱 線衝突事故等 2001(平13)年4月25日 航空事故調査委員会設置法等の一部 を改正する法律 ⇒「航空鉄道事故調査委員会設置法」に改名 2001(平13)年10月1日 航空・鉄道事故調査委員会 発足 図 8.2.2-1 航空・鉄道事故調査委員会の設立経緯 (ii) 目的 航空・鉄道事故調査委員会設置法(最終改正:平成 18 年 6 月 2 日法律第 50 号)によると、航空・ 鉄道事故調査委員会設置の目的は、 「航空事故及び鉄道事故の原因並びにこれらの事故に伴い発生し た被害の原因を究明するための調査を適確に行わせるとともに、これらの事故の兆候について必要 な調査を行わせるため航空・鉄道事故調査委員会を設置し、もつて航空事故及び鉄道事故の防止並 びにこれらの事故が発生した場合における被害の軽減に寄与すること」である。よって、その使命 は、 (1)原因究明、 (2)再発防止、 (3)被害の軽減である1。 (iii) 委員会の法的根拠と位置づけ 航空・鉄道事故調査委員会は、国家行政組織法第 8 条2に基づくいわゆる「八条機関」と呼ばれる ものの一つである。同委員会の法的根拠は、航空・鉄道事故調査委員会設置法にあり、その第 2 条 で、国土交通省に設置することが規定されているが、 「独立した常設機関」という位置づけである。 (2) 事故調査 (i)航空事故と鉄道事故調査の流れ 航空事故や鉄道事故が起きると、下図のような流れで調査が行われる。 1 「航空・鉄道事故調査委員会のあらまし」 (国土交通省 航空・鉄道事故調査委員会) 国家行政組織法第 3 条では、国の行政機関について規定されているが、さらに第 8 条で、 「重要事 項に関する調査審議、不服審査その他学識経験を有する者等の合議により処理することが適当な事 務をつかさどるための合議制の機関を置くことができる」としている。 2 164 事故等の発生 委員会の調査対象となる事故等 (1)航空機の墜落、衝突又は火災 (2)航空機による人の死傷又は物件の損壊 (3)航空機内にある者の死亡(自然死等を除く)又は行方不明 (4)航行中の航空機が損傷を受けた事態 (5)重大インシデント(事故が発生するおそれがあると認められる事態) 事故等の通報 航空事業者等 報告 国土交通大臣 (航空局運航課等) 事故等の調査の開始 事実調査等 ・主管調査官、調査官の指名 ・警察等関係機関との調整等 ・登録国、運航国、設計国、 製造国及び国際民間航空機関(ICAO)への通報 通報 航空・鉄道事故調査委員会 ・搭乗者・目撃者の口述、気象情報等の関係情報の入手 ・飛行記録装置(FDR)、操縦室用音声記録装置(CVR)の収集及び航空機の損傷状況の調査 ・ICAOへの予備報告 ・試験研究(分解、調査、実験)・解析 意見聴取会(関係者又は学識経験者) 報告書の公表 委員会(航空部会)審議 意見聴取(原因関係者) 報告書の国土交通大臣への提出 委員会(航空部会)議決 ICAOへ事故データ報告書を提出 出典:http://www.mlit.go.jp/araic/ を一部改変 図 8.2.2-2 航空事故における調査の流れ 事故等の発生 委員会の調査対象となる事故等 (1)列車(車両)衝突事故 (2)列車(車両)脱線事故 (3)列車(車両)火災事故 (4)その他の事故(乗客、乗務員等の死亡、5人以上の死傷、特に異例のものに限る) (5)重大インシデント(事故が発生するおそれがあると認められる事態) 事故等の通報 鉄道事業者・軌道経営者 報告 地方運輸局(鉄道部) 通報 事故等の調査の開始 ・主管調査官、調査官の指名 ・警察等関係機関との調整等 国土交通大臣 (鉄道局安全対策室) 通報 航空・鉄道事故調査委員会 事実調査等 ・乗務員・乗客・目撃者等の口述、気象情報等の関係資料の入手 ・事故関係物件の収集及び鉄道施設、車両の損傷状況の調査 ・試験研究(分解、調査、実験)・ 解析 意見聴取会(関係者又は学識経験者) 報告書の公表 委員会(鉄道部会)審議 報告書の国土交通大臣への提出 意見聴取(原因関係者) 委員会(鉄道部会)議決 出典:http://www.mlit.go.jp/araic/ を一部改変 図 8.2.2-3 鉄道事故における調査の流れ (ii) 警察の捜査との切り分けと調査の独立性 ひとたび事故が起きると、警察も捜査を開始するため、警察による捜査と事故調査委員会による 165 調査が競合してしまうという問題がある。したがって、捜査との切り分けについて考慮しておかな ければならない。この点、航空・鉄道事故調査委員会では、警察とは協力関係にあり、警察と事故 調査委員会との間で、事故調査が競合する場合において、相互の調整を図ることを目的に、現場保 存や事情聴取、物件の押収等について覚書や細目が交わされている。 もっとも、警察と事故調査委員会の捜査の目的は異なる。すなわち、警察は、犯罪捜査を行うの に対し、事故調査委員会による調査はあくまでも原因究明、再発防止、被害の軽減にある。 表 8.2.2-1 警察による捜査と事故調査委員会による事故調査 事故調査委員会 警察 原因究明、再発防止、被害の軽減 犯罪捜査 1)科学的にデータをあつめる。 ( 「科学的に」 事故原因を推定する) 2)口述(重要) 但し、米国NTSBは、免罪されるというこ とが前提。司法取引があって初めて成り立 つ。 国際民間航空条約(シカゴ条約)(以下、ICAO)付属書 13 (Annex13)では、「航空機事故調査 Aircraft Accident and Incident Investigation」について規定しているが、その中で事故調査機関の 独立性と無制限の権限を求めている。 (鉄道については、ICAO のようなものはない。 )独立性につ いては、航空・鉄道事故調査委員会は「独立した常設機関」として発足しているが、実際は国土交 通省の下に設置されているという点や事故調査報告書が裁判で使われている等、米国の同様の事故 調査委員会である NTSB (National Transportation Safety Board)に比べて独立性を疑問視する声 もある。無制限の権限については、航空・鉄道事故調査委員会の委員は、偽りを述べた人にも罰を 与えることができる強い権限をもっている(第 26 条)。しかし、強い権限の裏には、公平に中立に 科学的に判断するために委員について制限が設けられている(第 10 条、第 13 条) 。 (iii) 調査の難しさ 調査においては、図 8.2.2-2 や図 8.2.2-3 にある事実調査にあるように、乗務員、乗客、目撃者等 の口述が重要となる。しかしながら、免責されるという前提がないと発言者から証言を得難い。我 が国における現行の法制度上、刑事責任を免れることは難しい3。この点、米国では司法取引で免責 される場合があるが、日本においては、話せば免責されるのかという国民心情、文化的問題もある と考えられる。すなわち、正直に話したとしても、事故を起こした者の責任問題に発展する等、社 会的制裁は受けることになる。 (3)業界からの反応 設置法の中に、委員の権限として、立ち入り禁止、証拠保全、没収、召喚等がある(第 15 条) 3 我が国では刑法上、過失犯の処罰範囲が諸外国に比べて広いこともある。もっとも、免責された 例や制度もある。 166 が、事故やインシデントが起こると、航空・鉄道事故調査委員会の調査が終了するまで装置などが 使用できず、営業再開が遅れることから業界からの反応はさほど好意的ではないと考えられる。ま た、航空・鉄道事故調査委員会の調査が当該事故を起こした会社の社員に及ぶため、その社員の属 する労働組合の介入によって当該会社の中間幹部を責めることも予想され、会社がこのような労使 紛争を恐れるということもある。 業界としても、通常、事故が起きた場合、各会社が独自に支社に情報をまわしているが、事故形 態のみで、将来の事故防止に役立っていない、安全とコストに対する意識が高くないという課題が ある。 (4)その他 裁判との関係で、航空・鉄道事故調査委員会の委員は、証人として命ぜられた場合、裁判に出て 行かなければならないということがある。航空・鉄道事故調査委員会の作成した報告書は、 「最高の 鑑定書」として裁判に使われることも調査の独立性との関係で懸念される。 (5)まとめ 以上の調査結果に基づき、このような事故調査委員会を発足したメリットと課題は、以下のよう に整理できる。 ◆メリット ・事故調査報告書が公開されることで事故原因がわかるようになった ・これまでの簡易な報告のみからは分からなかった知見が共有されるようになった ◆課題 ・事故調査委員会の独立性 −八条委員会であること(国土交通省内) −事故調査委員会の委員が裁判に証人として召集される可能性 −事故調査報告書が裁判で使われる ・業界からの原因に関する情報収集方法 口述が重要であるのに、免責されるという前提がないとなかなか話してもらえない。 (現行の刑 法上、刑事責任を免れることは難しい。 (司法取引があって初めて成り立つ)→話したら免責されるのかという国民心情、文化的問題もあ る(責任問題、社会的制裁) 。 8.2.3 インシデントデータの収集・情報共有事例 (1)主な事例 インシデント情報共有の事例では、下記のようなものがある。 167 表 8.2.3-1 インシデント情報共有事例 名称 分野 GAIN ( Global Aviation Information 航空分野 Network) IMISS (International Maritime 海事 Information Safety System) JST 失敗知識データベース 機械、化学、石油、石油化学、建設、電気・ 電子・情報、電力・ガス、原子力、航空・宇 宙、自動車、鉄道、船舶・海洋、金属、食品、 自然災害、その他 また、インシデント報告制度では、下記のようなものがある。4 ○諸外国例 ・米国の航空安全報告制度(ASRS; Aviation Safety Reporting System) 1976 年∼NASA により運用、年間 3 万件を超える報告を分析、月間公報「コールバック」によ り航空の現場にフィードバック。10 日以内にインシデントを報告し、その他の条件を満足すれ ば免責となり FAA(米連邦航空局)の行政罰の対象とはならない制度。 ○日本 ・航空分野:航空法第 76 条 2 の規定により省令に定められた事態については国土交通大臣への報 告義務あり、航空・鉄道事故調査委員会、 (財)航空輸送技術センターによる航空安全情報ネットワ ーク(ASI-NET)等 ・船舶分野:パイロット・セーフティー・レポーティング・システム等 以下では、GAIN と JST の失敗知識データベースの概要を述べる。 (2)Global Aviation Information Network(GAIN) GAIN は、航空分野における安全向上の為に、国際的な航空業界のユーザによる/ユーザ間の任 意の情報収集と安全情報共有を促進する組織である。 ◆沿革 1996 年に、事故の情報収集と情報共有のために、米国連邦航空局(FAA)がGAINの設立を提案し て発足した。その後、航空会社、製造会社、備品供給者やベンダー、その他航空組織の専門家から なる組織に発展した。5 4 人間と工学研究連絡委員会 安全工学専門委員会報告「事故調査体制の在り方に関する提言」 (日 本学術会議 人間と工学研究連絡委員会安全工学専門委員会、平成 17 年 6 月 23 日) 5 GAINのトップページにあるニュースによると、GAINは 2006 年 1 月頃までFAAから支援を受けて いたが、人員不足と予算の削減でFAAからのプログラム支援が終了し、今は、会員企業や個人から の年間費で運営する自己基金によるNPOとして存続することを模索しているようである。 http://204.108.6.79/(2007 年 3 月現在) 168 ◆分野:航空 ◆GAIN の活動 国際的な航空業界による/航空業界間の、安全情報に関する任意(voluntary)な収集と共有を以下の 方法で促進する: (1) 安全に関する政策決定者にツールやプロセスに関する情報を提供する。具体的には、 ・既存のツールやプロセスの特定、促進、支援 ・新しいツール・プロセスの開発の促進 (2) 安全管理プロセスに関する情報収集と世界の航空業界に情報提供する (3) 異なる組織を集め、組織間のコーディネートや安全に関する協力関係を築く (4) 情報収集と共有を行うための環境整備 ◆GAINの活動6 GAIN は、 ・単一の集中化されたデータベースではない。 ・規制或いは法執行プログラムではない。 ・強制的ではない。 ・生の情報を共有しない ・既存のシステムに代わるものではない ・航空安全の改善について唯一のソリューションではない ◆組織 産業誘導型のステアリングコミッティー、3 つのワーキンググループ(WG) 、プログラムオフィス、 政府サポートチームから構成される。WG の 1 つに、グローバルな情報共有システム(Global Information Sharing Systems)について調査する「WG C」というのがある。この「WG C」は、 1999 年から 2-3 ヶ月に一回の頻度でミーティングを開催したり、ミーティングの間に電話会議をし たり、電子メールによる連絡を行ったりしている。 「WG C」のミッションは、以下のとおりである7: ・信頼するグループ間で航空安全事故情報を共有するために、システム開発を促進する ・航空産業共有システムを促進する ・航空業界における経験と対処法を共有するシステム開発を促進する ◆情報を共有することのメリット 情報を共有することのメリットは、既存の、或いは新出する脅威についてタイムリーに気づき、 リスクを低減することができるということである。 情報を共有することによって、リスクを低減することができる方法は以下を含む: ・航空会社があまり経験しない事故の追加的情報を収集することで新出するトレンドや潜在的なア 6 http://204.108.6.79/about/aboutFunctionality.cfm “Guide to Automated Airline Safety Information Sharing Systems”, GAIN, June 2003. http://204.108.6.79/products/documents/Guide_Automated_Airline_Systems.pdf 7 169 クション分析につながる。 ・他の航空会社が経験した類似の問題について知ることでそうした問題の特徴に関する情報を容易 に得ることができる。 ・他の航空会社に注意喚起することができる。 ・航空会社が限られた或いは経験のないオペレーションの分野(例えば、新しい機体のタイプ、新 しい空港でのサービス開始等)における情報を集めることができる。 ・例えば、事故の種類や特定の事故の重大な結果について、自社のオペレーションを他社と比較す ることができる。 ◆情報共有システムの役割 そして、このような情報共有システムは、以下のような便益ももたらす: ・情報収集のために個々の問い合わせをするスタッフの時間を低減できる。 ・アドホックなネットワークにより情報を共有する機会の要素を除外する。 ・同様な問題を経験した他のよい対処法をみつけられることで時間を節約できる。 ◆情報共有システムの例 以下に、GAINが紹介している情報共有システムの例を示す。8 (a) Near-Real Time Airline Safety Event Sharing System (NRT system) (リアルタイムに近い航空安全事故情報共有システム) ◆特徴 ・いつでも、どこでも、インターネットから安全情報を提供できる。 ・システムの参加者は、他の参加者にとって有益となると思われる情報を送り、参加している他の 航空会社の安全事故データベースに問い合わせをすることができる。 ・集中化されたデータベースはない。 図 8.2.3-1 Near-Real Time Airline Safety Event Sharing System (NRT system) 出典:“Guide to Automated Airline Safety Information Sharing Systems”, GAIN, June 2003. 8 脚注 7 に同じ。 170 (b) Periodic Aggregation and Analysis Systems(定期的な情報集約・分析システム) ◆特徴 ・特定されない一般化された安全事故記録を複数の航空会社から収集。データを一つのデータセッ トに統合し、元の情報提供者に個々の分析のためにデータを再送信する。 ・分析サービスが提供され、産業トレンドとして、定期的な分析レポートが発行される場合もある。 ・多くの場合、分析レポートは当該システムの参会者に配布されるため、企業内で分析する必要性 を軽減させ、自己の経験(状況)を産業全体と比較することができる。 ・企業内で分析する場合、統合されたデータセットの中で自己の記録を特定することができるが、 他の参加者の事故記録を特定することができないため、匿名性が保たれる。 図 8.2.3-2 Periodic Aggregation and Analysis Systems 出典:“Guide to Automated Airline Safety Information Sharing Systems”, GAIN, June 2003. (c) Lessons Learned and Corrective Action Systems(経験と是正アクションシステム) ◆特徴 ・匿名で、経験(事故、リスク削減方法等)を投稿したり検索したりできるシステム(電子掲示板 のようなもの) ・このシステムは、航空会社からの情報に限らず、軍事/航空安全ジャーナル、政府主催の匿名報 告システム、政府の忠告、指示も含む。 171 図 8.2.3-3 Lessons Learned and Corrective Action Systems 出典:“Guide to Automated Airline Safety Information Sharing Systems”, GAIN, June 2003. (d) 航空会社が利用しているシステム 現在、航空会社が利用しているシステムを上記の(a)(b)(c)の情報共有システムのタイプに分類す ると下表のようになる。 表 8.2.3-2 航空会社が利用する情報共有システム “Guide to Automated Airline Safety Information Sharing Systems”, GAIN, June 2003 を参考に作成。 172 (e) まとめ 上の表からは、(b)の Periodic Aggregation and Analysis Systems を採用している例が多いこと がわかる。このシステムでは、各会員企業が特定されない一般化された情報を中央に送り、それら データが中央で統合され、分析結果が会員企業にフィードバックされるため、個々の企業は自社の 経験(状況)を産業全体と比較することができるメリットがある。(a)の Near- Real Time Event Sharing System は、参加企業間でほぼリアルタイムに情報を共有することはできるが、一方でリ アルタイムという性質上、事故情報をそのまま出さざるを得ない。企業としては失敗や事故・イン シデントに関する情報はなかなか出しづらい。(c)の Lessons Learned and Corrective Action Systems は匿名で投稿したり検索したりできるものの、投稿してディスカッションできればよいが 投稿したままで回答が来ないことも予想され、各参加企業(ユーザ)が積極的に応じないとこのよ うなやり方もやはり難しい。したがって、失敗や事故・インシデントに関する情報共有の仕組みの 初期段階としては、やはり(b)が容易であると思われる。 (3) 独立行政法人 科学技術振興機構(JST)の「失敗知識データベース」 ◆特徴9 ・科学技術分野の事故や失敗の事例を分析し、得られる教訓とともにデータベース化したもの(平 成 13 年度から整備事業に着手) 。 ・科学技術振興機構(JST)が無料で提供している。 ・教育目的である。 「失敗百選」 :失敗経験から得られた知識や教訓を、大学や技術者の組織学習、教育訓練などのため に広く活用することを目的として、失敗知識データベースに搭載した失敗事例の中から国内外で発 生した典型的な失敗事例を 100 例程度取り上げ、読みやすく記述したもの。 ・分野は、機械(203)、化学(198)、石油(104)、石油化学(30)、建設(221)、電気・電子・情報(56)、 電力・ガス(71)、原子力(28)、航空・宇宙(62)、自動車(51)、鉄道(34)、船舶・海洋(30)、金属(31)、 食品(19)、自然災害(24)、その他(74)である。 ・ニュースや書籍を基に作成している。 ・作成者は、主に大学の研究者である。 8.2.4 設置に係わる問題 情報システム事故調査委員会設置の可能性にあたり、航空・鉄道事故調査委員会やインシデント データの収集・情報共有事例について幅広く調査してきた。以下では、これら調査結果を踏まえて、 情報システム事故調査委員会を発足した場合における問題を設置と運用の面から検討を加える。 ◆検討事項 1:常設機関の設置根拠 ・ 国家行政組織法の第三条機関とするか (例:消防庁、海上保安庁、海難審判庁) ・ 第八条機関とするか (例:航空・鉄道事故調査委員会(国土交通省に設置) ) ・ 内閣府のもとに置く委員会にするか(内閣府設置法第 37 条、第 49 条、第 54 条) →「独立性」を確保するにはどの形態がよいか。 9 http://shippai.jst.go.jp/fkd/Contents?fn=1&id=GE0719 173 (補足)10 ・ 三条機関は、事務局を設置することができ、勧告権を有し、各種行政処分を行なうこと ができる。 ・ 八条機関は、大臣に対する勧告をすることができ、大臣はそれに基づき各種施策を講ず る。 ・ 三条機関のほうが八条機関よりも、強い権限、組織上も独立性が強い(但し、三条機関 と八条機関は実質的には区別はそれほど明確ではない) 。 なお、日本学術会議の人間と工学研究連絡委員会安全工学専門委員会が出した「事故調査体制の 在り方に関する提言」 (平成 17 年 6 月 23 日)によると、事故調査には、常設機関の設置が望まし いとの記述がある。 もっとも、設立にあたっては、 「航空・鉄道事故調査委員会」のように、 「情報システム事故調査 委員会設置法」なるものを制定しなければならない。 ◆検討事項2: 「情報システム事故」の定義 「情報システム事故調査委員会設置法」を制定するとなると、対象となる「情報システム事故」を 定義しなければならない。 「情報システム事故」といっても、その範囲は広く、いかに範囲を定める かが問題となる。 例えば、 「情報システム」の定義は以下がある: 表 8.2.4-1 情報システムの定義 情報システム学会 HP、佐藤敬 http://issj.nuis.jp/concept/02/index.html また、下記法律では、 「情報システム」とは定義していないが、参考までにそれぞれの法律で対象と しているものを記す。 10 人間と工学研究連絡委員会 安全工学専門委員会報告「事故調査体制の在り方に関する提言」 (日 本学術会議 人間と工学研究連絡委員会安全工学専門委員会、平成 17 年 6 月 23 日) 174 表 8.2.4-2 情報システムに関連する日本の法律 海外の法律については、情報システムに関連する定義は以下のようなものがある。 表 8.2.4-3 情報システムに関連する海外の法律 参考:明治大学夏井研究室における海外のサイバー関連法令の整理 175 「情報システム」の定義を考える上で例えば次のようなものが参考となる。 (a)「武力攻撃事態等における国民の保護のための措置に関する法律」11 「国民の生命、身体又は財産」を保護している。 (b)「重要インフラの情報セキュリティ対策に係る行動計画」 (2005 年 12 月 13 日情報セキュリテ ィ政策会議決定) 重要インフラ=「他に代替することが著しく困難なサービスを提供する事業が形成する国民生活及 び社会経済活動の基盤であり、その機能が停止、低下又は利用不可能な状態に陥った場合に、我が 国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもの」 。 平成 19 年 2 月現在で定義されている重要インフラ分野は、 「情報通信」 「金融」 「航空」 「鉄道」 「電 力」 「ガス」 「政府・行政サービス(地方公共団体を含む) 」 、 「医療」 、 「水道」及び「物流」の 10 分 野である。 (c) 日本学術会議 人間と工学研究連絡委員会安全工学専門委員会「事故調査体制の在り方に関する 提言」 (平成 17 年 6 月 23 日) ・ 「事故調査機関が調査対象とする事故は、プラント事故、重大自動車事故、海難事故、 鉄道事故、航空機事故、火災、労働災害(製造業、建設業) 、医療事故、食品彦、都市災 害、自然災害等と国民生活の安全が脅かされる事故とする。 ・ 新組織発足当初は既存の調査機関の所掌から抜けている重大事故を対象として将来的に は既存組織(表 8.2.4-4)との統合も視野に入れ対象事故の範囲、業務量を拡大していく ことが望ましい。 表 8.2.4-4 管轄を行う既存組織 海難事故 海難審判庁、海上保安庁 航空機事故 航空・鉄道事故調査委員会、自衛隊事故調査委員会 鉄道事故 航空・鉄道事故調査委員会 自動車事故 警察、(財)交通事故総合分析センター 火災、化学プラント事故 消防庁、各自治体の消防署 原子力事故 原子力安全委員会、原子力事故・故障調査専門部会 資料:http://www.scj.go.jp/ja/info/kohyo/pdf/kohyo-19-te1030-2.pdf ・ 自然災害については、全てが調査対象となることはないが、設計想定内の事象(風水害、 地震)で事故が発生した場合、あるいは想定外であっても設計ミス等が考えられる場合 は事故調査を実施すべき。 (防災計画の策定、防災施設の管理・運用等の要因が関与して 災害が発生、拡大した場合は、適切な安全対策を可能とするために事故調査を実施すべ き。 ) 11 (平成 16 年 6 月 18 日法律第 112 号) 最近改正 平成 18 年 12 月 22 日法律第 118 号 http://www.kantei.go.jp/jp/singi/hogohousei/hourei/hogo.html 176 ・ 故意による犯罪も、犯罪により引き起こされた事象が、事故として起こり得る状況と密 接な関連があり、調査対象として取り上げる必要があると判断された場合には、調査を 実施すべき。 以上の例を参考に、 「情報システム事故」の定義は、例えば下記が考えられる: ・国民の生命、身体又は財産に危害をもたらすもの ・社会的に影響が大きいもの( 「影響」の尺度:件数・範囲、程度・規模、内容) ・重要インフラに係るもの ◆検討事項3:委員会の権限 情報システム事故調査委員会を設置する場合、委員会にどこまで権限をもたせるかを考慮しなけ ればならない。 航空・鉄道事故調査委員会では、関係者からの報告徴収、物件の提出・保全、立ち入り禁止等の 権限(第 15 条) 、虚偽報告への罰則(第 26 条)がある。 日本学術会議の人間と工学研究連絡委員会安全工学専門委員会「事故調査体制の在り方に関する 提言」 (平成 17 年 6 月 23 日)でも、「事故調査に対する事故当事者及び関係者に協力義務を課し、 この義務違反に対する法的措置を明確にする(例:聞き取りに応じる、資料を提出する、虚偽の説 明や資料の提出を行わない)」ことが重要であることが指摘されている。 そしてその前提条件として、 「事故当事者の証言は刑事裁判の証拠としては認めないという規定及び、事故再発防止等安全対策 にとり有益な知見のみを公開するという規定が確立」していることが求められるという。 そこで、情報システム事故調査委員会設置法を制定する場合、委員会の権限についても検討しな ければならない。航空・鉄道事故調査委員会設置法で強い権限が付与されている背景には、航空事 故や鉄道事故が直接、生命や身体に被害をもたらす重大性がある。そのため、 「情報システム事故」 が生命や身体に重大な被害をもたらす場合に限り強い権限を認める等、範囲を限定することが必要 である。それゆえ、この問題は、検討事項2の「情報システム事故」の定義の問題と関連している。 ◆検討事項4:委員の義務 強い権限が与えられる場合、それと同時に委員に一定の事項を義務づけることが必要である。航 空・鉄道事故調査委員会では、秘密保持の義務、政治活動の禁止、委員長及び常勤委員の報酬を得 るような他の職務の従事の禁止(以上第 10 条)のほか、利益相反に関する規定(第 13 条)が存在 する。 8.2.5 運用に係わる問題 ◆検討事項5:警察や他の組織との捜査権の切り分け 情報システム事故によって生命や身体、財産に被害が及んだ場合、警察が捜査を開始することが 考えられる。この点、航空・鉄道事故調査委員会では、8.2.1 で記述したように、警察との間では予 め、覚書や細目が交わされている。 日本学術会議 人間と工学研究連絡委員会安全工学専門委員会が出した「事故調査体制の在り方に 177 関する提言」 (平成 17 年 6 月 23 日)にも、警察等による捜査や他組織の調査が実施されている場 合は、速やかに協議し、優先権を決定、協力関係を確立することが必要であるとの指摘がある。 したがって、情報システム事故調査委員会を設置した場合は、競合すると思われる組織との間で 予め協力体制や捜査権の切り分けについて協議・規定しておくことが望ましい。 ◆検討事項6:委員の専門性 情報システム事故調査委員会を設置する場合、委員として適切な人材は誰かということを考慮し なければならない。この点、例えば、日本学術会議の人間と工学研究連絡委員会安全工学専門委員 会が出した「事故調査体制の在り方に関する提言」 (平成 17 年 6 月 23 日)では、 「専門性とともに、 広い判断力のある人材、さらには、リーガルマインドを持った専門家(法律家)も含まれているこ とが望ましい」とされている。同報告書では、 「独立行政法人等の第三者的機関を支援機関として活 用する形態」のほか、米国NTSB12のパーティー・システム方式と同様の方法である、外部専門家 参加制度の確立の有効性が紹介されている。すなわち、 「独立行政法人の機関の専門家の他に、学協 会、専門性を有するメーカー、運航・操業会社当の外部専門家も必要に応じ事故調査に参加させる」 仕組みである。 この示唆は「情報システム事故調査委員会」設置において大変参考になると思われる。すなわち、 情報技術や法律の専門家等の常勤委員のほか、様々な分野の専門家がすぐに当該事故調査に参加で きるような仕組みにしておくことが必要だと思われる。 ◆検討事項7:情報公開と事故調査報告書の取り扱い 事故の再発防止等の観点から公の事故調査委員会を設置するとなると、委員会が事故調査を行っ た結果を示した事故調査報告書は、公表されることが必要である。むろん、個人や国の安全等に関 する情報はこの限りでない(cf. 行政機関個人情報保護法第 6 条)。 実際、航空・鉄道事故調査委員会では、事故調査報告書が公開されている。 ただし、事故調査報告書が裁判で利用されることもあり得る。また、証人として裁判所に呼ばれ た場合は、委員は行かなければならない。事故調査報告書は公表されているものなので、公表され ている範囲内においては、特段問題はないと考えられるが、それ以上の証言が求められるとなると 委員会の独立性との関係で問題となる。そこで、日本学術会議の人間と工学研究連絡委員会安全工 学専門委員会「事故調査体制の在り方に関する提言」 (平成 17 年 6 月 23 日)では、事故調査報告 書の使用について、下記が提言されている: ・調査報告書が公表された後は公知の事実となるので、民事裁判での証拠としての使用は、基本 的には容認する。 ・調査機関が証言を得やすくするために、調査報告書のうち、事故当事者の証言に対応する部分 については、刑事裁判の証拠としての使用は認めない。 」と示されている。 ◆検討事項8:インシデントデータ収集の仕組み 情報システム事故調査委員会が発足し、事故調査報告書を作成・公表するとなると、当該報告書 12 National Transportation Safety Board、国家運輸安全委員会 178 から得られた知見はその後の同様の事故発生の防止に役立てなければならない。しかし、事故やイ ンシデントに関する情報は、匿名性の確保や免責されるということが明確でないとなかなか証言が 得られにくい。 航空分野では、上記で紹介したように、Global Aviation Information Network(GAIN)が航空会 社間の事故情報共有システムの方法に関するレポートを出しており、匿名性が担保されるような仕 組みが紹介されている(8.2.2(2)参照) 。 同様の仕組みは、情報システム事故に関しても、参考になる。 日本学術会議の人間と工学研究連絡委員会安全工学専門委員会「事故調査体制の在り方に関する 提言」 (平成 17 年 6 月 23 日)では、 「インシデントデータ収集は、できれば事故調査機関とは別の 第三者機関が担当することが望ましい」とされている。このため、情報システム事故調査委員会と は別に、例えば、独立行政法人がインシデントデータ収集を担うことも考えられる。 独立行政法人では、例えば、8.2.3(3)で紹介したように、科学技術振興機構が「失敗知識データベ ース」を構築している。仮にこのデータベースを充実化させるとすると、以下のような方法も考え られる: ・ 「情報システム」に関する事故に関する情報を充実させる。 ・現在のニュースや書籍を情報源にするだけでなく、当事者へのヒアリングや自発的な情報提供の 仕組みを加える。その場合は、匿名性を担保するべく、例えば現状のものとは別に「匿名 情報シ ステム事故事例」を構築する等の方法が望ましい。 ・教育目的にとどまらず、原因究明、再発防止、被害の提言を目的に加え、官公庁、民間の情報セ キュリティ担当者が還元できる情報を提供する。 ・匿名化された事例において、 「対処」は外部への対処だけでなく、社内的な対応方法についても、 ヒアリングや自発的な情報提供により明記する。 8.3 提言 日本の情報セキュリティの政策に関し、情報システム事故に関する情報共有体制の現状について 調査を行い、情報システム事故調査委員会の設置可能性について検討した。情報システムに関して は、事業法がないこと、定義が困難であることから、航空・鉄道のように事故調査委員会において 情報を集約する体制においてはいくつかの課題があることが示された。これより、望ましい情報共 有体制とは、第三者機関が情報集約の役割を担い、情報公開の方法や情報提供者の権利確保等につ いては、既存の類似事例を基に留意点を踏まえながら運用することが望ましいと考えられる。 179 付 録 180 181 付録 研究開発成果の発表状況 (研究開始以降のすべてを掲載) 1 国内外ジャーナルへの論文等投稿・掲載実績 題名 1 ハザードマップ作成ソフト試作版を開 発 2 3 高度情報社会の脆弱性を俯瞰するため の災害予測図(ハザードマップ)作成シ ミュレーションソフト試作版を開発 社会技術研究システム ミッション・プ ログラムⅡ 「高度情報社会の脆弱性の 解明と解決」第 1 回ワークショップを開 催 4 ハザードマップ作成の模擬実験ソフト を試作 5 Simulation Experiment Software for Hazard Mapping Trial Version Produced 6 7 8 9 2003年情報セキュリティインシデ ントに関する調査報告の概説 ∼ウイルス被害、個人情報漏洩被害の考 察∼ 知的財産権紛争のゲーム分析 Vulnerability and information security investment: An empirical analysis of e-local government in Japan 特集 情報社会における脆弱性にかか わる研究動向 情報社会の脆弱性について 10 特集 情報社会における脆弱性にかか わる研究動向 暗号における脆弱性について 11 12 13 14 特集 情報社会における脆弱性にかか わる研究動向 DRM における脆弱性について 特集 情報社会における脆弱性にかか わる研究動向 脆弱性を視覚化するハザードマップと コストモデルについて 特集 情報社会における脆弱性にかか わる研究動向 脆弱性問題を解決するための多重リス クコミュニケータ 多重リスクコミュニケータの開発構想 と試適用 著者(所属 WG) 科学技術振興機構 社会技術研究シス テム (総括G) 社会技術研究シス テム ミッショ ン・プログラムⅡ (総括G) 社会技術研究シス テム ミッショ ン・プログラムⅡ (総括G) 科学技術振興機構 ミッション・プロ グラムⅡ (総括G) JST Mission-oriented Research Program II (総括G) JNSA セキュリティ 被害調査WG (総括G:RISTEX -JNSA 共同研究) 金野 和弘 (DRM−WG) Hideyuki Tanaka, Kanta Matsuura, Osamu Sudoh (CR−WG) 村瀬 一郎 土居 範久 岡本 栄司 松浦 幹太 冨高 政治 猪俣 敦夫 (CR−WG) 山口 英 金野 和弘 (DRM−WG) 村野 正泰 江連 三香 村瀬 一郎 (総括G) 佐々木 良一 (MRC−WG) 佐々木 良一 (MRC−WG) 182 雑誌 年月 建築技術 2004年8月号 2004 Aug. No.655 2004 年 8 月 1 日 JST ニュース 2004年8月号 Vo.2/No.11 2004 2004 年 8 月 1 日 JST ニュース 2004年8月号 Vo.2/No.11 2004 2004 年 8 月 1 日 S&T Today 2004年8月号 Vol.16 No.8 2004 年 8 月 15 日 S&T Today August 2004 Vol.16 No.8 2004 年 8 月 20 日 JNSA Press Vol.11 August 2004 2004 年 8 月 31 日 公共選択の研究第43 号 2004 年 12 月 Journal of Accounting and Public Policy 24 (2005) pp.37-59 2005 年 1 月 情報処理 6 Vol.46 No.6 通巻484号 P619 2005 年 6 月 15 日 情報処理 6 Vol.46 No.6 通巻484号 P625 2005 年 6 月 15 日 情報処理 6 Vol.46 No.6 通巻484号 P643 2005 年 6 月 15 日 情報処理 6 Vol.46 No.6 通巻484号 P648 2005 年 6 月 15 日 情報処理 6 Vol.46 No.6 通巻484号 P672 2005 年 6 月 15 日 情報処理学会論文誌「多 様な社会的責任を担う コンピュータセキュリ ティ技術」特集号 2005 年 8 月 15 16 17 18 19 20 21 多重リスクコミュニケータによる合意 形成の試み 佐々木 良一 (MRC−WG) 前編「 多重リスクコミュニケータ の 開発の背景とその構想」 佐々木良一 (MRC−WG) 後編「多重リスクコミュニケータの適用 手順と適用計画」 佐々木良一 (MRC−WG) 情報ネットワークシステムの脆弱性と セキュリティ投資に関する実証分析 田中 秀幸 松浦 幹太 (CR−WG) 金野 和弘 (DRM−WG) 猪俣 敦夫 大山 義仁 岡本 栄司 (CR−WG) 猪俣 敦夫 岡本 栄司 (CR−WG) デジタル著作権管理(DRM)に関する 研究:経済学的アプローチ 暗号危殆化に対する暗号 SLA の提案と 支援ツールの実現 社会技術的観点から見た暗号危殆化リ スク問題 Cyber Security Management 2005 Vol.9 Number70 Cyber Security Management 2005 年 9 月号 Cyber Security Management 2005 年 10 月号 社会経済システム 第 26 号,2005 社会技術研究論文集 第3号(web 版近刊) 情報処理学会論文誌 Vol.48 No.1 pp.178-188 電子情報通信学会 学会誌 寄書 2007 年 1 月号 <ワーキンググループ略称> 総括G: 総括グループ MRC−WG: 多重リスクコミュニケータワーキンググループ CR−WG: 暗号リスクワーキンググループ DRM−WG: DRMワーキンググループ EIS−WG: 非常時情報通信システムワーキンググループ 183 2005 年 9 月 11 日 2005 年 9 月 2005 年 10 月 2005 年 11 月 2005 年 11 月 2007 年 1 月 2007 年 1 月 2 国内外研究会合・学会等での研究成果発表実績 1 2 題名 発表者(所属 WG) 多重リスクコミュニケータの開発構 想 佐々木 良一 (MRC−WG) Vulnerability and information security investment: An empirical analysis of e-local government in Japan Hideyuki Tanaka Kanta Matsuura Osamu Sudoh (CR−WG) 猪俣 敦夫 Sk. Md. Mizanur Rahman 岡本 健 岡本 栄司 (CR−WG) 石井 真之 日高 悠 佐々木 良一 (MRC−WG) 日高 悠 石井 真之 佐々木 良一 (MRC−WG) 3 フィッシングメール防御のためのメ ールフィルタリング手法の提案 4 多重リスクコミュニケータの開発構 想と試適用(その1) 5 多重リスクコミュニケータの開発構 想と試適用(その2) 6 Vulnerability and Effects of Information Security Investment: A Firm Level Empirical Analysis of Japan 7 暗号アルゴリズム危殆によるリスク 分析の一考察 8 Support System for Decision Maker in Multiplex Risk Communicator 9 Novel mail filtering analysis and method against Phishing mail 10 公開鍵暗号危殆化のデジタル署名付 文書への影響分析(その2) 11 多重リスクコミュニケータにおける 関与者情報獲得支援方式 Hideyuki Tanaka Kanta Matsuura (CR−WG) 猪俣 敦夫 穂積 俊充 田中 永 岡本 栄司 (CR−WG) Hiroshi Yajima Tomohiro Watanabe Ryoichi Sasaki (MRC−WG) 猪俣 敦夫 Sk. Md. Mizanur Rahman 岡本 健 岡本 栄司 (CR−WG) 藤本肇 上田祐輔 佐々木良一 (MRC−WG) 渡部知浩 矢島敬士 佐々木良一 (MRC−WG) 184 会合・学会 2004 年暗号と情報セキ ュリティシンポジウム SCIS2004 Financial Systems and Cybersecurity: A Public Policy Perspective, May 年月 2004 年 1 月 27 日 2004 年 5 月 28 日 2005 年暗号と情報セキ ュリティシンポジウム SCIS2005 1A-3 2005 年 1 月 13 日 同上 2005 年 1 月 27 日 同上 2005 年 1 月 27 日 The Second Annual Forum on Financial Information Systems and Cybersecurity: A Public Policy Perspective 2005 年 5 月 26 日 マルチメディア・分散と モバイルシンポジウム (DICOM2005) 2005 年 7 月 8 日 HCI(Human-Computer Interaction) International 2005 2005 年 7 月 25 日 IEEE Pacific Rim Conference on Communications, PacificRim2005, Canada 2005 年 8 月 25 日 Computer Security Symposium 2005 pp61-66 2005 年 10 月 Computer Security Symposium 2005 pp645-654 2005 年 10 月 12 Development Concept for and Trial Application of a Multiplex Risk Communicator 13 「多重リスクコミュニケータ」の開発 と今後の展開 14 多重リスクコミュニケータのプロト タイプシステムの設計と実装 15 多重リスクコミュニケータの個人情 報漏洩問題への適用性の評価 16 多重リスクコミュニケータにおける 円滑なリスクコミュニケーション支 援方法の提案 17 暗号SLAの提案と暗号危殆化リス クアセスメントツールの開発 18 19 20 21 22 23 An Empirical Analysis of Security Investment in Countermeasures Based on an Enterprise Survey in Japan Proposal of risk communication supporting method in multiplex risk communicator 暗号危殆化リスクに対する暗号 SLA 支 援ツールの開発 公開鍵暗号危殆化のデジタル署名付 き文書への影響分析と対策案の提案 (その① 方式の提案) 公開鍵暗号危殆化のデジタル署名付 き文書への影響分析と対策案の提案 (その② 適用結果) 不正者のモデルを用いた多重リスク コミュニケータの拡張 佐々木 良一 石井 真之 日高 悠 矢島 敬士 吉浦 裕 村山 優子 (MRC−WG) 佐々木 良一 矢島 敬士 (MRC−WG) 大井 朋子 吉武 靜雄 佐々木 良一 (MRC−WG) 日高 悠 藤本 肇 矢島 敬士 佐々木 良一 (MRC−WG) 松本 信一 矢島 敬士 佐々木 良一 (MRC−WG) 猪俣 敦夫 穂積 俊充 岡本 栄司 (CR−WG) Wei Liu Hideyuki Tanaka Kanta Matsuura (CR−WG) Hiroshi Yajima Shinichi Matsumoto Ryoichi Sasaki (MRC−WG) 猪俣 敦夫 大山 義仁 岡本 健 岡本 栄司 (CR−WG) 藤本 肇 上田 祐輔 佐々木 良一 (MRC−WG) 佐々木 良一 藤本 肇 (MRC−WG) 岡田 裕司 吉浦 裕 佐々木 良一 矢島 敬士 村山 優子 (MRC−WG) 185 The Fifth IFIP Conference on e-Commerce, e-Business, e-Government 2005 年 10 月 28 日 マルチメディア通信と 分散処理/電子化知的 財産・社会基盤研究会合 同研究報告 2005-DPS125(9)、 2005-EIP-29(9)pp49-54 2006 年暗号と情報セキ ュリティシンポジウム SCIS2006 2005 年 11 月 2006 年暗号と情報セキ ュリティシンポジウム SCIS2006 2006 年暗号と情報セキ ュリティシンポジウム SCIS2006 2006 年暗号と情報セキ ュリティシンポジウム SCIS2006 The 5th Workshop on the Economics of Information Security (WEIS2006) 11th IEEE International Conference on Emerging Technologies and Factory Automation 電子情報通信学会ソサ イエティ大会 2006 2006 年 1 月 18 日 2006 年 1 月 18 日 2006 年 1 月 18 日 2006 年 1 月 20 日 2006 年 6 月 2006 年 9 月 2006 年 9 月 Computer Security Symposium 2006 (CSS2006) Computer Security Symposium 2006 (CSS2006) Computer Security Symposium 2006 (CSS2006) 2006 年 11 月 2006 年 11 月 2006 年 11 月 24 25 26 リスク対策の最適組み合わせを求め るのに適した FTA 法の提案 多重リスクコミュニケータの開発と 試適用 2000 年問題のリスクコミュニケーシ ョン面からの検証 守谷 隆史 佐々木 良一 (MRC−WG) 佐々木 良一 (MRC−WG) 谷山 充洋 佐々木 良一 (MRC−WG) Computer Security Symposium 2006 (CSS2006) 電子情報通信学会 SITE 研究会 (招待講演) 電子情報通信学会 SITE 研究会 2006 年 11 月 2006 年 11 月 2006 年 11 月 3 専門書・一般向け図書・報告書の発刊実績 図書名 1 2 3 4 社会技術研究システム ミッション・プ ログラムⅡ「高度情報社会の脆弱性の解 明と解決」 平成15年度成果報告書 社会技術研究システム ミッション・プ ログラムⅡ「高度情報社会の脆弱性の解 明と解決」 平成16年度成果報告書 社会技術研究開発センター 「情報と社 会」領域計画型研究 計画型研究開発 「高度情報社会の脆弱性の解明と解決」 平成17年度成果報告書 社会技術研究開発センター 「情報と社 会」領域計画型研究 計画型研究開発 「高度情報社会の脆弱性の解明と解決」 平成18年度成果報告書 著者(所属 WG) 出版社 年月 全員 科学技術振興機構 社会技術研究システム 2004 年 6 月 全員 科学技術振興機構 社会技術研究開発センタ ー 科学技術振興機構 社会技術研究開発センタ ー 2005 年 6 月 科学技術振興機構 社会技術研究開発センタ ー 2006 年 5 月 全員 全員 2006 年 6 月 4 新聞・テレビ等のマスメディアにおける報道実績 1 2 3 4 3 題名 著者(所属 WG) 高度情報社会の脆弱性を俯瞰するた めの災害予測図(ハザードマップ)作 成シミュレーションソフト試作版を 開発 − 社会技術研究システム ミッシ ョン・プログラムⅡ研究成果 − 「日本でもイノベーションの効率化 が必要だ」…第1回社会技術WS、坂 村教授の基調講演にて 科学技術振興機構 社会技術研究システ ム 報道媒体 日刊工業新聞 日経産業新聞 年月 2004 年 6 月2日 (総括G) 坂村 健 デジタルコンテンツの著作権管理、コ ンテンツ立国を目指すにはDRMが 必要不可欠 山口 英 (DRM−WG) 情報システムのハザードマップ作成、 情報システムの影響度把握に利用 村瀬 一郎 (総括G) [信学会]暗号の脆弱性を評価するツ ール,JSTと筑波大が開発 猪俣敦夫 (CR−WG) 186 IsIT (Information Sharing Internet Technology) e-side IsIT (Information Sharing Internet Technology) e-side IsIT (Information Sharing Internet Technology) e-side 日経 BP /http://techon.nikkeibp .co.jp/artcile/NEWS /20060922/121368/ 2006 年 6 月 27 日 2006 年 6 月 27 日 2006 年 6 月 27 日 2006 年 6 月 5 シンポジウムやワークショップ等の講演の開催・発表実績 講演名 1 2 3 4 5 6 7 8 ミッション・プログラムⅡ高度情報社会 の脆弱性の解明と解決に関する研究 「多重リスクコミュニケータの構想と 適用計画」2004年度に向けて 土居 範久 村野 正泰 (総括G) 佐々木 良一 (MRC−WG) 15 16 同上 2004 年 3 月 13 日 2004 年 6 月 8 日 ミッション・プログラムⅡ「高度情報社 会の脆弱性の解明と解決」の全体像 (総括講演) 土居 範久 同上 2004 年 6 月 8 日 同上 2004 年 6 月 8 日 同上 2004 年 6 月 8 日 同上 2004 年 6 月 8 日 同上 2004 年 6 月 8 日 同上 2004 年 6 月 8 日 ハザードモデルとコストモデル 多重リスクコミュニケータの開発構 想・適用構想 暗号リスクの顕在化と解決に向けて DRM(著作権管理)に存在するリスクを 考える コンテンツの経済学分析の視点 Vulnerability analysis of information system (Modeling of interaction between information system and social infrastructures) 14 2004 年 3 月 13 日 市川 惇信 村瀬 一郎 (総括G) 佐々木 良一 (MRC−WG) 岡本 栄司 (CR−WG) 山口 英 (DRM−WG) 野中 ともよ 宮原 秀夫 土居 範久 山口 英 岡本 栄司 佐々木 良一 村瀬 一郎 金野 和弘 (DRM−WG) 11 13 年月 第1回社会技術ワーク ショップ「高度情報社会 の脆弱性の解明と解決」 (六本木フォーラム) 高度情報社会の脆弱性の解明と解決に 向けて (パネル討論) 12 シンポジウム・セミナー名 (会場) 第6回社会技術研究フ ォーラム (ARKフォーラム) ミッション・プログラムⅡに期待するも の (基調講演) 9 10 講演者(所属 WG) Analysis for Impact if the Break of Public Key Cryptosysytems on Signed Documents Plan for Developing and Applying Multi ‒ Risk Communicator (MRC) Support Tool for Risk Communication under Multiple Risk Environment ‒ Ichiro Murase (総括G) 第 1 回高度情報戦略研 究会 U.S.-Japan Experts Workshop on Critical Information Infrastructure Protection (CIIP) (NSF:全米科学財団) 2004 年 7 月 31 日 2004 年 9 月 28 日 Eiji Okamoto (CR−WG) 同上 2004 年 9 月 28 日 R. Sasaki (MRC−WG) 同上 2004 年 9 月 28 日 Vulnerability analysis of information system (Modeling of interaction between information system and social infrastructures) Ichiro Murase (総括G) コンテンツビジネスの取引費用問題 金野 和弘 (DRM−WG) Plan for Developing and Applying Multi ‒ Risk - Communicator (MRC) 佐々木 良一 (MRC−WG) 多重リスクコミュニケータの開発構想 と適用計画 佐々木 良一 (MRC−WG) 17 187 Japan-US Technical Exchange on CIP Interdependency Modeling (サンディア国立研究所) 第4回高度情報戦略研 究会 韓 国 KISA ( Korean Information Security Agency)での招待講演 学際的情報セキュリテ ィ総合科学シンポジウ ム (中央大学) 2004 年 9 月 28 日 2005 年 10 月 23 日 2004 年 10 月 26 日 2004 年 11 月 22 日 18 19 20 21 22 23 24 25 26 27 28 29 30 ユビキタス時代の情報セキュリティ (基調講演) リスクガバナンス構造の明示と実問題 への適用:紹介と討議 (パネル討論) 科学技術と社会技術 (基調講演) 土居 範久 同上 吉川 弘之 第2回社会技術ワーク 2005 年 6 月 22 日 ショップ「高度情報社会 の脆弱性の解明と解決」 (国際連合大学) 同上 2005 年 6 月 22 日 Ryoichi Sasaki (MRC−WG) 土居 範久 31 「情報と社会」研究開発領域 ∼IT 社 会におけるリスク管理の高度化∼ 山口 32 非常時における情報通信システムにつ いての検討 多重リスクコミュニケータの試作と今 後の展開 ハザードマップとコストモデル 大野 浩之 (EIS−WG) 佐々木 良一 (MRC−WG) 村瀬 一郎 (総括G) 土居 範久 33 34 35 「情報と社会」研究開発領域の全体像 (総括講演) 2005 年 3 月 2 日 村瀬 一郎 (総括G) ミッション・プログラムⅡ 土居 範久 「高度情報社会の脆弱性の解明と解決」 の全体像 ハザードマップとコストモデル 村瀬 一郎 (総括G) 多重リスクコミュニケータの開発構想 佐々木 良一 と試適用 (MRC−WG) 暗号リスクの解明と対策について 岡本 栄司 (CR−WG) DRM(デジタル著作権管理)に存在す 山口 英 るリスクを考える (DRM−WG) 非常時における情報通信システムにつ 大野 弘之 いての検討 (EIS−WG) 情報とセキュリティ関連の法律・政策に 江連 三香 係わる課題と提言 (総括G) 高度情報社会の脆弱性の解明と解決に 鳥居 宏次 向けて 宮崎 緑 (パネル討論) 土居 範久 山口 英 大野 浩之 岡本 栄司 佐々木 良一 村瀬 一郎 Privacy in Cryptography Eiji Okamoto (CR−WG) Trial Development of Multiplex Risk Communicator and Its Application to Decision Making Process 研究領域「情報と社会」の概要 第2回社会技術研究シ ンポジウム (日本科学未来館) 英 188 2005 年 3 月 2 日 同上 2005 年 6 月 22 日 同上 2005 年 6 月 22 日 同上 2005 年 6 月 22 日 同上 2005 年 6 月 22 日 同上 2005 年 6 月 22 日 同上 2005 年 6 月 22 日 同上 2005 年 6 月 22 日 2005 年 6 月 26 日 2nd Japan/U.S. Workshop on Critical Information Infrastructure Protection (東京ガーデンパレス) 同上 2005 年 6 月 27 日 第1回社会技術フォー ラム (経団連ホール) 第3回社会技術フォー ラム (新丸の内ビル) 同上 2005 年 7 月 16 日 2006 年 3 月 14 日 同上 2006 年 3 月 14 日 同上 2006 年 3 月 14 日 第1回社会技術ワーク ショップ「複雑化する情 報と社会そしてガバナ ンス」 (慶應義塾大学) 2006 年 6 月 26 日 2006 年 3 月 14 日 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 ユビキタス・コンピューティング時代の ガバナンス (基調講演) 情報システムのハザードマップの試作 坂村 健 村瀬 一郎 (総括G) 多重リスクコミュニケータの試適用と 佐々木 良一 展開 (MRC−WG) 暗号危殆化リスクの解明と支援ツール 岡本 栄司 の開発 (CR−WG) DRM(著作権管理)に存在するリスク 山口 英 を考える (DRM−WG) 非常時における情報通信システムにつ 大野 浩之 いての検討 (EIS−WG) 政策・法律に係る課題と提言 江連 三香 土屋 京子 (総括G) ハリケーン・カトリーナ災害の教訓 多田 浩之 大野 浩之 (EIS−WG) 被害者登録検索システム(IAA)の開発・ 能瀬 与志雄 活用経緯と今後の展開 大野 浩之 (EIS−WG) 情報セキュリティの脅威と対策の動向 村瀬 一郎 大野 浩之 (EIS−WG) 日本災害史からの教訓 北原 糸子 大野 浩之 (EIS−WG) インターネット上の脅威を発見する∼ すずきひろのぶ 早期広域攻撃警戒システム WCLSCAN 大野 浩之 (EIS−WG) 総括:「情報通信・危機管理」の本質 多田 浩之 大野 浩之 (EIS−WG) DRMワーキンググループの研究概要 山口 英 (DRM−WG) 著作権等管理事業法と著作権の現状 (基調講演) 著作権運用の技術的・経済的・制度的変 化とコンテンツ価値化の未来 (パネル討論) 荒川 祐二 (DRM−WG) 近 勝彦 荒川 祐二 山口 英 金野 和弘 (DRM−WG) 189 同上 2006 年 6 月 26 日 同上 2006 年 6 月 26 日 同上 2006 年 6 月 26 日 同上 2006 年 6 月 26 日 同上 2006 年 6 月 26 日 同上 2006 年 6 月 26 日 同上 2006 年 6 月 26 日 第1回情報通信・危機管 理連続講演 (金沢大学) 第2回 同上 2006 年 9 月 1 日 2006 年 9 月 27 日 第3回 同上 2006 年 10 月 30 日 第6回 同上 2007 年 1 月 25 日 第5回 同上 2007 年 2 月 5 日 第7回 同上 2007 年 2 月 28 日 社会技術ワークショッ 2007 年 3 月 23 日 プ「DRMの実際∼著作 権管理の新しい潮流∼」 (毎日放送本社;大阪) 同上 2007 年 3 月 23 日 同上 2007 年 3 月 23 日 6 社会技術研究開発センターの広報メディアによる情報発信実績 1 2 3 4 5 6 7 8 9 題名 著者(所属 WG) 掲載媒体 年月 研究開発領域「情報と社会」計画型研究 開発「高度情報社会の脆弱性の解明と解 決」の概要 社会技術研究システム ミッション・プ ログラムⅡ「高度情報社会の脆弱性の解 明と解決」 平成16年度成果報告書 第2回社会技術研究ワークショップ「高 度情報社会の脆弱性の解明と解決」講演 図面集 「情報と社会」研究開発領域の活動紹介 「情報と社会」領 域計画型研究 RISTEX ホームページ 2005 年8月 同上 RISTEX ホームページ (PDF文書) 2005 年8月 同上 RISTEX ホームページ (PDF文書) 2005 年8月 同上 RISTEX NEWS Vol.3 2006 年 4 月 社会技術研究開発センター 「情報と社 会」領域計画型研究 計画型研究開発 「高度情報社会の脆弱性の解明と解決」 平成17年度成果報告書 第1回社会技術「情報と社会」研究開発 領域ワークショップ「複雑化する情報と 社会そしてガバナンス」 第1回社会技術「情報と社会」研究開発 領域ワークショップ「複雑化する情報と 社会そしてガバナンス」講演図面集 情報通信・危機管理連続講演 第1回「ハリケーン・カトリーナ災害の 教訓」 第2回「被害者登録検索システム(IAA) の開発・活用経緯と今後の展開」 第3回「情報セキュリティの脅威と対策 の動向」 社会技術ワークショップ「DRM の実 際 ∼著作権管理の新しい潮流∼」 同上 RISTEX ホームページ (PDF文書) 2006 年 7 月 同上 RISTEX NEWS Vol.4 トピックス 2006 年 7 月 同上 RISTEX ホームページ (PDF文書) 2006 年 7 月 同上 RISTEX NEWS Vol.5 トピックス 2006 年 11 月 RISTEX NEWS Vol.7 トピックス 2007 年 6 月 (予定) (EIS−WG) 同上 (DRM−WG) 190 7 他機関や他プロジェクトとの意見交換や協力連携等の実績 対象機関・プロジェクト名 1 ミッション・プログラムⅠ 2 3 担当者(所属 WG) 内容 研究者会議メンバ 堀井 秀之(ミッション・プ 関連研究課題に関するミッショ ン・プログラム間連携:ミッシ ョン・プログラムⅠの研究内容 につき紹介・意見交換 関連研究課題に関するミッショ ン・プログラム間連携:ミッシ ョン・プログラムⅡの研究内容 につき紹介・意見交換 ログラムⅠ研究統括補佐) (総括G) 土居 範久 村瀬 一郎 ミッション・プログラムⅠ ミッション・プログラムⅠリーダ (総括G) 土居 範久 第1回日米重要情報基盤保護ワー 山口 英 岡本 栄司 クショップ 日本側:文科省、JST 佐々木 良一 米国側:国土安全保障省(DHS) 村山 優子 米国科学基金(NSF) 村瀬 一郎 (総括G) 4 ミッション・プログラムⅠ 法システム研究グループ 研究者会議メンバ 城山 英明(ミッション・プ ログラムⅠ法システム研究Gリー ダ) (総括G) 5 6 重要社会基盤保護相互依存性解析 に関する日米ワークショップ 米国側:国土安全保障省(DHS) 村瀬 一郎 ロスアラモス国立研究所 (総括G) サンディア国立研究所 アルゴンヌ国立研究所 多重リスクコミュニケータ WG メン バ全員 安全安心研究センター 山崎 瑞紀(安全安心 研究センター) (MRC−WG) 7 ミッション・プログラムⅠ リスクマネジメント研究グループ 全員 村山、山口(ミッション・プ ログラムⅠリスクマネジメント研究 G) (総括G) 8 9 10 11 山口 英 村瀬 一郎 東京大学法学部メンバ (総括G) 土居 範久 第2回日米重要情報基盤保護ワー 山口 英 クショップ 岡本 栄司 日本側:文科省、JST 佐々木 良一 米国側:国土安全保障省(DHS) 村山 優子 米国科学基金(NSF) (総括G) 岩瀬 公一 中央防災会議事務局 村瀬 一郎 江連 三香 事務局:内閣府 政策統括官付 地震・火山対策担当 吉武 靜雄 (総括G) 科学技術振興調整積算システム 村瀬 一郎 文部科学省科学技術・学術政策局 蓮井 久美子 調査調整課 調整企画室 吉武 靜雄 独立行政法人 科学技術振興機構 (総括G) 科学技術振興調整費業務室 東京大学法学部 (ミッション・プログラムⅠ法シス テムグループ関連) 191 ミッション・プログラムⅡメン バ各グループの研究成果をもと に意見交換を実施(③-9∼12) その結果、両国間の共同研究を 合意し実施 ミッション・プログラムⅠ法シ ステム研究グループの研究内容 の紹介、および情報セキュリテ ィ関連の法律の妥当性、充足性 に関する意見交換 日米間で重要社会基盤保護の相 互依存性解析に係る技術につい ての情報交換を実施 ミッション・プログラムⅡのハ ザードマップ/コストモデルに 関する成果に関し意見交換 安全安心研究センターで研究中 の「鳥インフルエンザの不安喚 起モデル」の紹介を受け、情報 セキュリティへのモデル適用性 に関して意見交換 ミッション・プログラムⅠリス クマネジメント研究グループに て研究されている、サイバー犯 罪関連のリスクガバナンスにつ き意見交換 法律の専門家に対し、情報セキ ュリティ関連の法律の現状を紹 介し、あるべき姿について意見 交換 年月 2004 年 7 月 26 日 2004 年 7 月 28 日 2004 年 9 月 28 日 2004 年 10 月 4 日 2004 年 11 月 14 日 2005 年 11 月 22 日 2005 年 1 月 24 日 2005 年 2 月 9 日 ミッション・プログラムⅡメン バ各グループの研究成果をもと に意見交換を実施(③-25、26) 2005 年 6 月 26 日 ∼27 日 ハザードマップのシミュレーシ ョンにおける中央防災会議の被 害想定データの利用に関する協 力連繋 2006 年 6 月 7 日 情報セキュリティ投資関連で米 国 V M M ( Value Measuring Methodology)の科学技術振興調 整費積算システムへの適用実験 に関する協力連繋 2006 年 9 月 20 日 (文部科学省) 2006 年 11 月 20 日 (JST) 社会技術研究開発センター 「情報と社会」研究開発領域 計画型研究開発 「高度情報社会の脆弱性の解明と解決」 平成18年度成果報告書 2007年5月 発行: 独立行政法人 科学技術振興機構 社会技術研究開発センター 「情報と社会」研究開発領域計画型研究開発 〒100-0004 東京都千代田区大手町一丁目1番2号 りそな・マルハビル18階 Tel:03−3210−1251 Fax:03−3210−1301 © Copyright 2007.独立行政法人科学技術振興機構(JST) 本報告書に記載された内容について、独立行政法人 科学技術振興機構(社会技術研究開発センター) の許可なく転載・複写することを禁じます。 192
© Copyright 2024 Paperzz