第7回 情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは?】 ブックマークが追加されました
いつでも誰でも簡単に情報受信・発信が出来るSNSやソーシャルメディアサービス普及による利便性および娯楽レベル向上の裏側で、世の中を社会的、政治的に不安定にさせるために、悪意を持ったユーザによって偽情報および真偽不明な情報がネット上に流布されるリスクが高まっています。主にソーシャルメディアを用いて、人間の認知形成(意見や考え等)に影響を及ぼすその行為は、サイバー影響工作(英語:Cyber Influence Operations)と呼ばれています。[1] このリスクが顕在化した例として、2016年米大統領選挙において、SNSやソーシャルメディアを用いた大規模かつ組織的な選挙介入・選挙干渉によって、選挙の公正性・信頼性が疑われる事態も生じています。[2] このように真偽不明な情報が満ち溢れる昨今のデジタル社会において、政府・公共機関および民間企業、さらには一個人として、日々目にする「情報」に関する問題を理解し、それらの脅威やリスクに対していかに準備・対応していくべきか?を提言します。
サイバー影響工作は、主にソーシャルメディアの投稿に代表されるオープンソースインフォメーション(誰でも閲覧可能な公開情報)を通じて実行されます。まずは悪意のあるユーザがターゲットの調査と識別から選択を行い、それに見合ったSNS等のデジタルコンテンツを作成し、投稿およびBot等を利用した情報拡散を行います。さらに注目を集めるためにMEME(ミーム:印象的な言葉や画像、動画などのコンテンツ)を利用し、よりインパクトのある投稿コンテンツを作成、また多くのクリック数を稼ぐためにデジタルマーケティングツールを利用します。そのコンテンツを見たターゲット(ソーシャルメディア利用者)は、自身の認知(脳)によってコンテンツ内容を認識・理解し、最終的に悪意のあるユーザの意図した行動を行います。また、ターゲットは意図せずリツイートやいいね!等を行うことにより情報拡散も助長します。[3]
SNSやソーシャルメディアサービスを用いたサイバー影響工作の問題点を、政府機関および民間企業の視点から述べていきます。
<政府機関>
影響工作が行われる領域は認知領域(英語:Cognitive Domain)として位置付けられており、防衛や国家安全保障の世界では、このフィールドでの戦いを認知戦(英語:Cognitive Warfare)と呼んでいます。この領域や戦いは元々1990年代後半から存在しましたが、近年のデジタルテクノロジーの進化により、益々脅威が顕在化してきました。[4] さらに現代の戦争では、民間企業(特にソーシャルメディアやインターネットサービス等のテクノロジープラットフォーム企業)、また自国民だけではなくSNSでより広範囲にハッキング依頼する実例も見られるように、世界中を巻き込む形で情報発信が行われます。[5] そこで日本においても、これら認知領域、ひいては情報安全保障に関する国家としての適応能力向上を図ることが必要となっています。
<民間企業>
民間企業もこの問題は無視できません。悪意のあるユーザにより主にソーシャルメディアを通じて、企業および関係者の不祥事や意図的に評判を下げる等、評判(レピュテーション)に関するリスクが高まっています。そこで、まず自組織に対するリスクを明確にし、不適切業務是正や情報漏洩対策、不正対策等を、早期かつ機動的に実施する能力が求められています。
また、サイバー影響工作はソーシャルメディア利用者全員、ひいては国民全員が攻撃対象となります。意図せず悪意のあるユーザの影響を受けたり、知らないうちに偽情報や誤情報を拡散したり、結果的にサイバー影響工作の一翼を担ってしまっているかもしれません。よって、情報安全保障の観点から、政府機関および民間企業、ひいては全国民レベルであらゆる準備・対策を行う必要があります。
次に、情報安全保障リスクに対する備えに必要となる要素について、新領域対応時の課題検討に用いられるThe F8 Framework(エフエイトフレームワーク)に従って以下8項目に分類し、それぞれ解説します。
戦略・ポリシー:真偽不明な情報が溢れるデジタル社会に、どの様な情報戦略・ポリシーで対応していくか?情報安全保障リスクに対する様々な準備と対策を行う上での大きな方針や指針となる重要な要素です。検討のポイントは、いかに網羅的に自組織の「情報」に関するリスクシナリオを洗い出し、戦略やポリシーに反映出来るか?です。このリスクシナリオが不十分なまま、リスク対策に必要となる能力、システム、教育、トレーニング、組織等の基本方針を定めても、抜け漏れのある準備と対策になってしまうため注意が必要です。
法律・倫理:法律や倫理面も重要な検討要素の1つです。特にソーシャルメディアからデータを自動的に収集・分析する手法はソーシャルメディアの利用規約違反になる可能性もあり十分な確認が必要となります。よって、実施前に何が実行可能で何が問題なのかを明らかにすることが必要です。また、法律や規約違反ではなくとも、倫理やプライバシーへの配慮も必要となります。プライバシーとセキュリティはよく天秤に例えられ、原理としてはどちらかが上がると反対側は下がるため、この2つのバランス取りが重要になります。
予算:情報安全保障リスクはもはや国家レベルの脅威です。これを重要事項に位置付け、いかに網羅的に必要となる能力やシステム、人材、教育等を洗い出し予算化を行うか?がポイントとなります。当初予算が十分確保出来ない場合は、数か年計画のロードマップ形式で段階的な計画・準備が必要となります。
組織:予算と同じく、いかに網羅的に必要となる能力やシステム、人材、教育等を洗い出し組織編制を行うか?がポイントとなります。情報安全保障領域は、デジタルマーケティングやAI等の先端技術、また脳科学や心理学が活用されるため、それらに精通した組織、人材が必要となります。加えて、これらの専門性を全体的に理解し取りまとめるリーダー役も必要です。また、官公庁では民間人材(部外力)の活用がポイントとなります。
協力:全体戦略・ポリシーで検討したリスクシナリオに応じて、他国や他省庁、民間企業、学校、研究機関等との連携も考える必要があります。そもそもサイバー影響工作は、ソーシャルメディア等のプラットフォーム上で行われるため、それら企業との連携や協力関係の構築が必要となります。
能力:サイバー影響工作への対応としては、まず「検知する能力」、次に「分析する能力」、最後に「対処する能力」の3つが必要となります。「検知する能力」とは、ソーシャルメディア等の公開情報を収集、情報工作を検知し、アラートを発報することです。次の「分析する能力」とは、前工程で検知した悪意のあるマーケティングやキャンペーンの全容を解明するために、ファクトチェックの実施、影響工作の主体者や影響度の調査、分析を行うことです。最後の「対処する能力」とは、影響工作に反応またはダメージリカバリするために、最新のデジタルマーケティングおよびキャンペーン手法、またソフトウェアやツールを用いた情報発信をおこなうことです。また、情報発信後の反応やダメージリカバリの効果測定も重要なアクションの1つとなります。
システム:デジタル領域で行われるサイバー影響工作は、当然ながらデジタルテクノロジーを用いて検知、分析、対応する必要があります。最新のデジタルテクノロジーを用いた悪意のあるマーケティング・キャンペーンを見破り、いかにサイバー影響工作を防ぐか?という目的で、比較的類似分野であるオープンソースインテリジェンス(通称OSINT:オシント)で利用されている技術およびシステムやAI等の先端技術の活用が考えられます。例えば、データの自動収集システムおよびデータベースシステム、多言語対応、自動分類、自動応答、確信度スコアリング、ソーシャルネットワーク分析、デジタルマーケティング、キャンペーン分析等の高度分析機能、さらにシステム自体のセキュア化を行うことも必要です。
トレーニング:情報分析能力やシステム等の準備を行うだけではなく、それらを利用する組織や人材に対する教育およびトレーニングも必要となります。これらに必要となるスキルとしては、公開情報収集および分析、ファクトチェック、デジタルマーケティング、キャンペーンに関する手法およびツールの取り扱い等が挙げられます。また、前述の通りサイバー影響工作は全国民の認知領域がターゲットになることから、いかに国民全員の情報・メディアに関するリテラシーを上げるか?という観点で、海外での取り組みを参考にした検討も必要となります。[6]
情報安全保障の備えには、サイバーやデジタルマーケティング、AI等の先端IT技術、政策、メディア、戦略策定およびリスク分析のノウハウ、脳科学や心理学等、幅広い知見と専門性が必要となります。これらに必要となる要素を、全体最適の観点から俯瞰的かつ網羅的に検討し、準備・対応する必要があるでしょう。
参照
[1] Tayouri, David. "The Secret War of Cyber Influence Operations and How to Identify Them." Institute for National Security Studies Cyber, Intelligence, and Security Publication 4 (2020).
[2] 川口貴久, and 土屋大洋. "デジタル時代の選挙介入と政治不信―ロシアによる 2016 年米大統領選挙介入を例に―." 公共政策研究 19 (2019): 40-48.
[3] A Bergh, 2020, Understanding Influence Operations in Social Media: A Cyber Kill Chain Approach, Journal of Information Warfare (2020) 19.4: 110-131
[4] The Implementation of Network-Centric Warfare, 2005, Force Transformation, Office of the Secretary of Defense. P.21 Fig.6
[5] Ukrainian IT Army https://www.cfr.org/cyber-operations/ukrainian-it-army
[6] 耳塚佳代. "「フェイクニュース」 時代におけるメディアリテラシー教育のあり方." 社会情報学 8.3 (2020): 29-45.
・第1回 Cyber Everywhereの時代に求められる対応(GREAT RESET IN Cyber Security)
・第2回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察(投資家等外部ステークホルダーからの要請)】
・第3回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会(米国SEC)のサイバーセキュリティ開示の規則案への対応準備について】
・第5回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】
・第6回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】
・第8回 クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】
・第9回 転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】
・第10回 サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】
・第11回 デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】
・第12回 断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜
・第13回 地方公共団体DXに伴うサイバーリスクの高まり~地方公共団体におけるセキュリティ対策~
・第14回 地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】
・第15回 スマートシティ推進における個人データの保護・活用
政府・公共向けサイバーセキュリティサービスのリーダー、およびアセットを活用したビジネスなど新規ビジネスの創出を手がけている。日本および米国にて、25年以上のサイバーセキュリティおよびテクノロジーリスクのコンサルティング経験を有する。