昨年大型の情報漏えい事件があったEquifaxが、新たなCTOを雇用したとのニュースがZdnetに出ていました。

japan.zdnet.com

　米信用情報大手のEquifaxは米国時間6月14日、IBM WatsonおよびIBMクラウドプラットフォーム担当の元最高技術責任者（CTO）Bryson Koehler氏をCTOに指名したことを発表した。

 

　Koehler氏は、「AIは、データがどのように使われるかということにおいて大きな可能性を解き放っている。そしてクラウドベースのAIテクノロジは、安全で信頼性のあるデータ主導の製品を開発するにあたって変革をもたらすものとなる」と述べた。「Equifaxがデータ主導技術のリーディングカンパニーになるチャンスを感じている。素晴らしい才能が集まったチームに参加し、Equifaxが変革を加速してインサイト予測におけるリーダーとなるよう活性化させていくことを喜ばしく思っている」

（Zdnet記事より引用）

◆キタきつねの所感

Equifax事件と言えば、日本では信用情報の巨大なDBを抱える同じような業態が無いためか、あまり話題になりませんでしたが、米国では、セキュリィがしっかりしていると思われていた大手企業から、人口の約半分の個人情報が漏えいしたという事もあり、2017年を代表するデータ侵害事件であると言われていまます。この事件では事件自体の対応の遅さ（Apache Struts2の脆弱性を放置）もさる事ながら、事後対応も後手後手に廻った感があり、上級役員のインサイダー取引疑惑、フィッシングサイトの乱立、Acrobat脆弱性などの責任を取ってCEOやCSOが辞任する事態にまで発展し、今なお多くの集団訴訟を抱えています。

そんな中、建て直しを期待されたのが新CTOBryson Koehler氏です。Linkedinの経歴を見ると、

直接的にセキュリティを統括するCSO/CIOではありませんが、間接的な面も含めて全世界の情報技術戦略と開発を担当する事、及び分析チームを率いて新たな価値を顧客やパートナーに早く提供するミッションを任されている事がわかります。

過去の経歴を見みると・・・

元IBMで人工知能ワトソンやクラウドプラットフォームを担当していたCTO（1年8ヶ月）であり、それ以前の経歴を見ても、Weather CompanyでCTO/CIO（4年5ヶ月）であったりと、非常に有能な新役員である事が伺えます。

Equifaxの事後対応の不備については、一時期（元）CSOの学歴問題がとりざたされました。（元CSOの最終学歴がジョージア大学の作曲専攻であった事が原因ですが、職歴を見ると別な会社でCSOとして働いていたこともあり、収束していきました）

techtarget.itmedia.co.jp

現在のEquifaxのCISOは、元HomeDepot（2年11ヶ月）やTimes Warner(8ヶ月）でCISOを勤めたJami Farshchi氏ですが、実務面はともかく、大きな事件を起こした後の対外的なインパクトを払拭するという意味では、「元IBMでワトソン」の最高技術責任者という肩書きは非常に大きかった気がします。

いわゆるAIを使ったビックデータ分析というEquifaxの将来が期待される分野に対して良い補強が出来たと共に、事件を受けて大きくなった「セキュリティは大丈夫だろうか」という顧客や市場の大きな不安に対しては１つのフィードバックになったと言えそうです。

因みに・・・アメリカのCTOの平均給与はどのくらいかな・・と調べてみたのですが、

Pay Scale社のデータだと、平均で＄154,123（約1,700万円）と出ていました。IBMから引き抜きした新CTOは上の図の上位の方だとは思いますが。。。

同じサイトでCTOの平均給与を見てみると、

CTOと同じで約1,700万円と出ます。

※優秀なCISOになると最近は事故も多発しているので責任が重くなってきており、2,000万円以上が最低ラインであると良く聞きます。

大きなデータ侵害事件が起きると、その対策としてシステムや機器を導入する事が一般的です。勿論、早期にビジネス影響を回復する為には必要な事ではあるのですが、事件を起こさせないため、あるいは事件後の影響を軽減するためには、人への投資（必ずしも役員だけでなくIT部門の待遇も含め）が重要なのではないでしょうか。

　4月に発表した最新の四半期決算報告で、Equifaxはこの事件やデータセキュリティ関連に2億4270万ドル（約268億円）を費やしたとしていた。

（Zdnet記事より引用）

Equifaxは、事件対応で268億円も使っています。この影響が半分であり、100億円浮くのであれば、優秀なセキュリティ人材への投資は、はるかに安い買い物といえます。

ただ残念なのが、事故が発生した後でないと、日本企業の経営陣がこうした費用対効果（結果論ですが）について理解してくれないところ。しかし他社での不幸な事故事例は、自社を見直す良いチャンスでもあります。そう考えて、このニュースも俯瞰すると良いヒントになるかも知れません。

更新履歴

• 2018年6月24日AM（予約投稿）

毎月仕事で新幹線を使う身としても気になる新幹線の凶行がまた発生しました。この件について、既に識者の方々が対策強化について語られていますが、私も少し考えてみます。

　のぞみが新横浜駅を出発したのは９日午後９時４０分過ぎ。小島容疑者はその後、ナタを持って立ち上がり、右隣の窓際席「１８Ｅ」に座っていた女性に襲いかかった。１８Ｅの女性はしゃがむようにして逃げたが、肩を切られた。さらに通路を挟んで容疑者の左隣「１８Ｃ」に座っていた女性も驚いて逃げ出したが背中などを切られた。

　後ろに座っていた梅田さんが騒ぎに気づいて止めに入り、小島容疑者と車両中央付近でもみ合いになった。その間に乗務員が他の乗客を別の車両に誘導。小島容疑者は梅田さんに馬乗りになり、ナタで切りつけ続けた。新幹線は小田原駅に緊急停車し、県警小田原署員が小島容疑者を取り押さえたが、抵抗はしなかった。

　のぞみが新横浜駅を出発したのは９日午後９時４０分過ぎ。小島容疑者はその後、ナタを持って立ち上がり、右隣の窓際席「１８Ｅ」に座っていた女性に襲いかかった。１８Ｅの女性はしゃがむようにして逃げたが、肩を切られた。さらに通路を挟んで容疑者の左隣「１８Ｃ」に座っていた女性も驚いて逃げ出したが背中などを切られた。

　後ろに座っていた梅田さんが騒ぎに気づいて止めに入り、小島容疑者と車両中央付近でもみ合いになった。その間に乗務員が他の乗客を別の車両に誘導。小島容疑者は梅田さんに馬乗りになり、ナタで切りつけ続けた。新幹線は小田原駅に緊急停車し、県警小田原署員が小島容疑者を取り押さえたが、抵抗はしなかった。

　のぞみが新横浜駅を出発したのは９日午後９時４０分過ぎ。小島容疑者はその後、ナタを持って立ち上がり、右隣の窓際席「１８Ｅ」に座っていた女性に襲いかかった。１８Ｅの女性はしゃがむようにして逃げたが、肩を切られた。さらに通路を挟んで容疑者の左隣「１８Ｃ」に座っていた女性も驚いて逃げ出したが背中などを切られた。

　後ろに座っていた梅田さんが騒ぎに気づいて止めに入り、小島容疑者と車両中央付近でもみ合いになった。その間に乗務員が他の乗客を別の車両に誘導。小島容疑者は梅田さんに馬乗りになり、ナタで切りつけ続けた。新幹線は小田原駅に緊急停車し、県警小田原署員が小島容疑者を取り押さえたが、抵抗はしなかった。

www.asahi.com

　また国土交通省は１０日、ＪＲ各社と大手民間鉄道会社に対し、セキュリティー確保の徹底を文書で要請。駅などに警備員を配置し、「警戒中」と記した腕章をつけさせるなど、「見せる警備」での犯罪抑止の一層の徹底を求めた。また、非常通報装置を適切に使い、車内の異常への素早い対応を要請した。

　新幹線車内では２０１５年の「のぞみ放火事件」のほか、刃物を使った殺傷事件も起きている。

　中国など海外では、高速鉄道の駅で空港のような手荷物検査が実施されており、新幹線でも導入を求める意見がある。だがＪＲ各社は「乗客の利便性を著しく損なう」と消極的。国交省の幹部も「乗降客数やダイヤの過密さ、駅の形状からも困難」と話す。

（朝日新聞記事より引用）

◆キタきつねの所感

以前に新幹線内で油を撒いて自殺を図った事件がありました。この事件を受けてJR東海は防犯カメラ搭載車両を拡大しています。何があったか乗務員（司令室）がいち早く察知し迅速な対応が出来るようにするためですが、以前の事件でも出ていた手荷物検査実施？という課題について、今一度考えてみたいと思います。

foxsecurity.hatenablog.com

JR各社あるいは、それを管轄する国交省は利便性（やコスト）を考えると「手荷物検査は無理」という訳ですが、その代わりの対策が、「見せる警備」だけだとすると、犯罪を犯そうとする側は、同じ脆弱性（攻撃パターン）が有効であると考えるかと思います。

今回の事件に対する直接的な防御策としては、JR東海の車掌さんが乗客を誘導した際に用いた、

「座席シートを取り外して盾にする」という手法が逃げる際に有効そう、という点ですが、

それは、犯罪が発生した際に有効な対策ではあるのでしょうが、これだけでは不安すぎます。

こうした犯罪を防止観点では、例えば以下のようなフェイズで防御策を考える事が有効ではないかと思います。（※⑥⑧⑩⑪がJR各社が実践して/しようとしている事、③⑨が私的推奨案です）

　A　乗車券購入

　　　①乗車券購入者を記名式にする（購入者の氏名、住所などを登録しスクリーニング）

　B　改札

　　　②手荷物検査（金属探知機）※空港方式

　　　③手荷物検査（視認確認）※テーマパーク方式

　　　④ウォークスルー型手荷物検査　※要開発

　　　⑤乗車券記名者のID証確認　※飛行機の搭乗券とパスポート確認方式

　　　⑥見せる警備（改札付近に警察官又は警備員を配置し不審者をチェックする）

　　　⑦大型荷物の預け入れ

　C　乗車（攻撃発生前）

　　　⑧車内巡視（車掌・警察官・警備員）

　　　⑨警備員常駐

　D　乗車（攻撃発生後）

　　　⑩車両内監視カメラ

　　　⑪警報装置

①は中国新幹線（CRH）で実現されています。回数券や乗車券が金券扱いの日本では違う意味で実現が難しい可能性もありますが、誰が乗っているのか、⑤のID証確認まで行える場合には、誰がやったのか・・・といった部分がすぐにわかります。また本人以外が乗車券を持っているのは不自然であり、そこをよく確認する事で、航空機のテロの様な犯罪を未然に防げるかも知れません。

②はJRや国交省が「困難」＝無理といっている方式です。最大の理由は時間がかかりすぎる点。飛行機であれば搭乗前15～20分前にチェックインは可能かも知れませんが、日本の大動脈でもある新幹線の乗車人数を考えると乗車前に余計な30分がかかる事は、新幹線のメリットを大幅に下げてしまうので採用したくない。そういった考えのようです。

③は、私はこれからやればいいのでは？と思います。それでも改札前に時間はかかるものの、今回の事件では荷物の中に鉈を入れているのです。大きな刃物であれば、金属探知機を使わない簡易荷物チェックでも気づけた可能性があるかと思います。しかしディズニーランドやUSJ等と違い、新幹線の場合は大きな荷物（スーツケース等）を持っての移動も考えられます。これを簡易手荷物チェックで一律に確認するのは・・・おそらく問題が出てきますので、スーパーのレジの様に手荷物のみの方と、大きなスーツケースを持つ方と分けての検査運用も考える必要がありそうです。

④は事件の諸々の記事を読んでいて、某ベンダーが開発中（下記参照）と書かれていました。とは言え2020年までの実用は無理だと思います。

「ウォークスルー型爆発物探知システム」、羽田空港で初フィールド実験 | SECURITY SHOW

⑤は①とのペア施策です。本人確認をする事で事件があった際に、すぐに身元が判明するといった副次的な効果が期待できますが、一番良いのは確認されているという、けん制効果だと思います。併せて、ブラックリスト（要注意）人物の確認を事前に行う事で、改札入場時に止められますので、手荷物検査をやらないのであれば、（それでも諸々の弊害があるかと思いますが）現実的な解の１つであると思います。中国新幹線でも実施例がある所も説明がつきやすいのではないでしょうか。

⑥は現在もJR主要駅で実施されています。犯罪抑止に一定の効果がある見せる警備です。とは言え、事件前から東京駅の改札内には警官が立っていたと思うのですが、今回の事件に関しては効果があったとは言えないのではないでしょうか。

トランプ大統領の様な要人が来た場合にとられるような厳戒態勢（警備に立っている警官の人数が全然違います）であれば効果があると思いますが、JR各社という民間企業のために警察が協力できる範囲も限界があると思いますし、JR側が警備員を立たせていても・・・正直、警察官の方々ほどにインパクトは無いと思いますし、コストを考えると限界があると思います。

⑦はアメリカの長距離鉄道アムトラック（amtrak)がやっていたかと思います。とは言え、飛行機であれば専用スペースに大型荷物預け入れが出来ますが、日本の新幹線ではその様な積載専用スペースもありませんし、改造が出来たとしても、積み下ろしの時間を考えると、新幹線の運用には合いません。

⑧も現在も取られているかと思います。たまに東海道新幹線でも巡視中の警察官を見かけます。とは言え、警察官の方の協力にも限界があると思いますし、様々な役目がある車掌さんに対して警備巡視の業務を大きく任せるのは無理だと思います。残るのはJR各社が警備員を雇い、巡回強化する事くらいでしょうか。

⑨は、⑧の車内巡視と同じでないか？と思う方も多いかも知れませんが、私の発想は違います。車両に警備員を置くことで、万が一の事件発生時に専用の訓練を受けた警備員に守ってもらうイメージです。常駐警備員のコスト問題で早々にJR各社には却下される案に見えますが、有償サービスでも良いのではないかと思います。例えばグリーン車には常駐、指定席の一部も料金を高くして常駐車両を作れば実現は可能だと推測します。また・・安全強化には料金を多少高くしても良いという（安全意識の高い）客の車両に例えばセコム社の警備員が乗ることは良い企業宣伝になるかと思いますので、通常よりもコストを圧縮させる事も期待できるかも知れません。

⑩と⑪は既に各JRが取り組んでいますね。車両カメラは・・・若干の抑止効果、そして事後対応として一定の効果があると思いますが、刃物や爆発物が車内に持込まれて事件が発生してしまった際には、効果が無いとは言いませんが、防御策としては不十分でないかなと思います。

余談です。私もそれなりの頻度で新幹線を使っていますので、事件を受けて色々と考えさせられました。いつ襲われるか分からない。JR各社がすぐに取り組むべきだと思うのは、乗客の「安全への不安」の解消ではないでしょうか？

有効な対策である手荷物検査をJR各社は採用する気が無い訳ですから、不安を軽減するような対策を是非真剣に討議してもらいたのです。1年以内に2件の車両内での重大事件が発生した訳ですから、それが抜本策でないとしても、せめて軽減策や緩和策について良い対策が打たれる事を切に願います。

最後に、勇敢に戦い、犠牲となった男性乗客の勇気と行動に対し、心からの敬意と、そして残念な結果になった事をお悔やみ申し上げます。

更新履歴

• 2018年6月23日PM（予約投稿）

Twitterのフォロー先を少し変えた事によって、面白い情報もたまにひっかかある様になりました。例えば、指紋認証センサーが付いた物理鍵。

www.youtube.com

日本ではお見かけする事のなさそうな鍵ですが・・・この鍵の攻略法（脆弱性）は思いもしない所からでした。詳しくはYouTube動画を見て貰った方が早いのですが、

確かに・・・ここを特殊ドライバーで攻めれば、、、まぁそうなりますよね。USB充電口があったので、てっきり論理的にそこを攻撃するものと思ったのですが、生体認証をバイパスする手段があるとは設計時に考えなかったのでしょうか？

動画を見ていて、気になったのが・・・自転車のこうした鍵。鎖自体は強度があるので、私もこんな以前チェーン鍵を使っていたのですが・・・。

www.youtube.com

特殊工具を使うと・・・意味の無いセキュリティ手段になってしまう事がよく分かります。攻撃を受ける前提でセキュリティ設計をする。シフトレフトはソフトウェアだけでなく、物理面でも重要なようです。

更新履歴

• 2018年6月17日PM（予約投稿）