カテゴリー: I C T

サイバー攻撃のリスク一元管理 NRIセキュアテクノロジーズ

8/20 日本経済新聞の記事、「野村総合研究所(NRI)傘下の情報セキュリティー企業、NRIセキュアテクノロジーズは、情報セキュリティーに関するリスク管理をサプライチェーン全体で一元化できるサービスを始めた。」とのこと。

セキュリティ対策実行支援プラットフォーム Secure SketCH

このセキュリティ対策実行支援プラットフォーム自体は以前から提供されているサービスで、今回、これをさらに進化させたということのようです。企業の国内・海外拠点やグループ会社、さらに外部委託先等のサプライチェーンまでを範囲に含めた情報セキュリティ対策の状況を評価し、継続的に一元管理ができる「GROUPSプラン」の提供を開始したということです。

とても目の付け所が良いですね。大企業はそれなりのセキュリティ対策をとっていたとしても、その子会社や外部委託先ともなると、実際のところはお寒いものです。サイバー攻撃はその企業に繋がってさえいれば、最もセキュリティの甘い入り口(の会社を踏み台にして)から攻めるだけのことですしね。

大企業では経営陣が自社のことでさえ、なかなかセキュリティ対策に危機感を持ってくれないところ、子会社や関連会社のことなどほぼ考えちゃいません。そんな経営には、「この子会社Aや関連会社Bを踏み台にされたら、御社の基幹システムは簡単に乗っ取られますよ・・・」みたいなセキュリティ対策状況評価書を突き付けてあげないとだめでしょう。

子会社、関連会社の救世主に

大企業が実装するセキュリティ対策。その子会社や関連会社がまったく同じレベルの対策を取るのか、、、。かなりの重装備となりそのコストが収益を圧迫します(これってコンプライアンス態勢とよく似てます)。この問題も実は大きくて、、、これから結構話題になるんじゃないかと思います。

NRIセキュアテクノロジーズは、野村総合研究所(NRI)の100%子会社で2000年に設立された会社です。日本のICTを代表する会社であり、コンサルティング会社でもあるNRIの子会社、経営者に気付きを与えるところまででも大仕事。期待できそうですね。

キャッシュレス決済の利用率 20代が最も低い?

8/14 日本経済新聞の連載記事「ゼロ金利世代は今(2)」で、「キャッシュレス決済を利用していると答えた20代の割合は全世代で最も低い49.5%と、全体平均から9%も低かった」という調査結果を伝えていました。インターネット接続事業者大手のビッグローブが3月に実施した調査結果だそうです。

キャッシュレスに関する意識調査

ビッグローブのプレスリリースを見てきました。というのも、この調査結果に違和感を覚えたからです。20代から60代までの各世代の男女200人、合計1000人を調査対象としています。で、予想通り「インターネットを利用する方のうち、スマホを所有する人」を対象に「インターネット調査」で行っています。

結果は60代が一番利用率が高く(70.5%)、若くなるほど利用率が下がっていき、20代が最低という結果です。皆さんはこの結果をどう感じられたでしょうか。

デジタルリテラシー効果

調査対象者が問題です。スマホを使いこなし、ネットで回答できることを前提条件としていることから、調査対象者のデジタルリテラシーが相応に高いことが伺えます。20代の若者はほとんどの人が対象者になりうるわけですが、60代になるとスマホ・ネット操作ができる人の割合は小さくなると思われます。

つまり、20代はフィルターが掛かっていないが、60代はデジタルリテラシーの高い母集団になっている可能性が高いということ。選ばれし60代であるがゆえに、キャッシュレスに関する意識も高めの人たちから回答を得ているということではないでしょうか。

あくまでkuniが立てた仮説です。決してビッグローブは悪くありません。調査の対象者や方法を開示しているので、結果を見る人はkuniのようにいろいろと考えることが可能です。しかし、日経の記事はいかがなもんでしょう。20代は現金派が多いという記事に誘導するため、この調査結果だけを使ってます。今回のこの指摘が的を射ているかどうかは分かりませんが、新聞を読む際にはこういうところも気を付けたいですね。

2025年の崖 DX(デジタルトランスフォーメーション )

8/14 日本経済新聞で「デジタル社会を創る IT利用「負の循環」に終止符を」という社説がありました。グローバル化や少子高齢化が進むなか、社会の生産性を高めて付加価値を上げるにはデジタル技術の活用が不可欠としたうえで、それを妨げている現状を訴えています。

設備投資の中核に

社説にも書かれていたように、日本のIT関連投資は停滞してきました。ピークだった1997年から2割の減少だそうです。加えて、「そのIT投資の8割を古いシステムの運用や保守に使用しているのが実態」lという専門家の指摘もありました。いやぁ、これは耳の痛い話です。大企業の多くがそういう状況なんですね。

投資総額が少ないうえに、そのほとんどを古いシステムに使っているとなれば、米国や中国に置いていかれるのも当然ですわな。2025年にはこの構造が行き詰り、経済損失が膨らむとの指摘があるとしていましたが、社説ではこれ以上の深掘りはありませんでした。

2025年の崖 問題

「2025年の崖」、、、実はこれ、2018年9月に経済産業省が公表した「DXレポート」で指摘され、かなり話題になったお話なんです。DXは、デジタルトランスフォーメーション と読みます。で、このレポートでは、現状の課題を克服できなければ、「2025年以降、1年あたり最大12兆円(現在の約3倍)の経済損失が生じる可能性がある」と指摘しているんです。社説はこれを言いたかったんでしょう。

このレポートでは、DXとは新たなデジタル技術を活用して、新たなビジネスモデルを創出・柔軟に改変すること、と説明されています。一方この社説では、DXという用語はあえて使わず、デジタル社会という言葉で説明していますね。

このレポートが言っている克服しなければならない課題というのが、老朽化、肥大化、複雑化、ブラックボックス化してしまったレガシーシステムを放置していることです。そのためシステムの運行や保守に莫大なコストを費やすことになっているんですね。システム障害も増加します。加えて、このレガシーシステムの存在がDXの妨げにもなっているというわけです。

このような既存システムの刷新需要、かなり大きなものになりそうです。さらにシステムが刷新された後には新しいビジネスが生まれやすくなりますし、企業の経営改革も進むと思われます。米中には大きく引き離され、追い詰められた結果ではあるものの、ここから日本が再生する好機と考えるべきでしょう。

相次ぐスマホ決済の不正被害

スマホで決済するサービスで、第三者による不正利用が相次いでいます。昨年12月にヤフーのペイペイでクレジットカードの不正利用が発生。100億円を還元するキャンペーンが大人気になったこともあり、この不正利用も派手に報道されました。ここ最近では7月にスタートしたばかりのセブンペイでも大規模な不正利用が発生しています。今週はTポイントの不正利用もニュースになっていました。

不正利用による損害に対する補償

上記のペイペイ、セブンペイも顧客の損害に関しては運営会社が全額補償しています。が、しかし、今後も運営会社が全額補償してくれるとは限りません。今は各社が顧客の囲い込みを競い合っている場面ですから、全額補償していると考えておいた方が良さそうです。

7/24付け日本経済新聞に「スマホ決済の不正被害 『補償』8割明記なし」という記事があり、その中でスマホ決済運営会社各社の利用規約を調査し比較しています。

「不正があっても支払いの責任を利用者が負う」としているのが、d払い、メルペイの2社。
「会社に重過失などがない限り、会社は責任を負わない」としているのが、ペイペイ、楽天ペイ、オリガミペイ、セブンペイ、auペイ、ファミペイの6社。
「会社が補償に応じる」と明記しているのが、Jコインペイ、LINEペイの2社。

運営会社が補償すると明記しているのは、Jコインペイ、LINEペイの2社だけであり、残りの8社は補償するとは明記されておらず、救済基準があいまいなわけです。

補償が明記されているクレジットカード

同じキャッシュレス決済であっても、クレジットカード大手は会員規約で定められた手続きを踏めば、不正利用による支払いを免除すると明記されています。この手続きというのは「警察と自社に対して届出がされること」らしいです。

スマホ決済との補償に関する違いの背景にあるのは、クレジットカード運営会社が損害保険に加入していて、不正被害が発生しても運営会社に大きな損害が出ないような体制が構築されているからだそうです。

被害が発生した場合の顧客対応から損害の補償に至るまで、こうした体制構築にも当然コストが掛かっているはずです。これらのコストとクレジットカードの決済手数料の高さの関係性って、どの程度説明可能なんでしょうかね(ただ、決済手数料を負担するのは販売店ですが)。

クロネコヤマト リスト型攻撃で個人情報3,467件漏洩

ヤマト運輸の個人向け会員制サービス「クロネコメンバーズ」のサイトに不正アクセスがあり、3467件の個人情報が漏洩した可能性があることが公表されました。同社は、不正ログインを確認したIDはパスワードを変更しなければ利用できないよう対策をとったとのこと。

リスト型アカウントハッキング攻撃(リスト型攻撃)

以前当ブログでも、リスト型アカウントハッキング攻撃(リスト型攻撃)については取り上げました。ユニクロやコジマが被害を受けていたころのことです。今回のヤマト運輸の件も同様の手口のようです。何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてサイトにログインを試みるという手口ですね。

ヤマト運輸によると、22日夜から24日朝にかけて約3万件の不正アクセスがありました。このうち3467件が不正にログインされ、名前や住所、メールアドレスやクレジットカード番号の下4桁などが閲覧された可能性があるとのこと。25日時点で個人情報の悪用など被害は確認されていないようです。

同サイトでは2014年9月25日にもリスト型攻撃を受けており、1万589件の不正ログインがありました。その時のログイン試行回数は19万件だったと報道されていました。一度こういう被害が出ていて、パスワードの使い回しに対する注意喚起が行われているのに、、、。それでも使い回しはなくならないんですね。ちなみに2014年9月は佐川急便も同じ被害にあってたようです。

ヤマト運輸の対応

公表されている情報が事実であれば、3万件のアクセスを受けた時点ですぐに不正を検知しています。また、速やかに、不正ログインを確認したIDについてパスワードを変更しなければ利用できないよう対策もとっています。翌日には事実の公表も行われていて、おおむね良好な対応がされているという評価でしょうか。

このところ不正・不祥事が相次いだヤマトだけに、またやらかしたか、、、と思いましたが、今回はヤマトを責めるわけにもいかないようです。ただし、会員登録する際の画面においてどんな注意喚起が行われているか、とか、アマゾンやヤフーのIDと連携できるようになっている仕組みに問題はなかったのか、といった点についてはkuniもチェックできていません。

2回も同じ手口で被害にあってしまうわけですから、どこかに問題があるんじゃないかという気がしますが、、、。あともう一つ気になるのが、このサイトで犯人は何を目的にアクセスしたかです。住所変更して宅急便をだまし取るんでしょうか。よく分かりません。