二百二十四 黄忠 〜AIは黄色信号を忠実に止まる〜 不死
1.複合型個人認証の導入と、メール,パスワードに頼った認証撤廃への指針
2.ウェブブラウザやアプリサービスの通信先の本物確認を確実にする、『インスタント共有鍵』
3.フェイクニュースや、不正流出した情報に基づく被害を防ぐ、『デコイ生成サービス』
4.上記の完備を前提とした、組織における『最新のセキュリティポリシー立案サービス』
KOMEIホールディングスのリリースはこの四つ。一つ目はすでに孔明もLIXONもその方向に舵を切っていることは周知だから問題はない。二つ目も、サービスの正当性を証明したいウェブサービスにとって、AIを駆使した強固な認証システムは歓迎できるだろう。
1と2によって、従来のサイバー攻撃のうち、不特定対象への侵入型攻撃はおおよそ無力化できる。それは実際に、KOMEIホールディングスがリリースと同時にさまざまな形でデモンストレーションを実施した結果からも見て取れる。
だから、これからのサイバー攻撃は、緻密な戦略と高いコストをかけて、狙い澄ました標的への侵入、もしくはすでに公開されている情報を操作したスパム行為くらいに縛られてくる。その二つを狙ったのが3だという事は分からなくはない。
その重要性も威力も分かりやすい。たしかにそのデコイがあれば、不正に侵入された先に置いておくことでサイバーリスクを軽減できる。そして彼らがそれとワンセットにしている4つめ。
『当社は、組織外の存在による、不正な手段での情報入手に対策するため、組織内に虚偽のデータや未確定情報を保有する。当該情報は当社や当社員が意図的に外部に持ち出す事は決してないものとする』
つまり、自分たち以外が持ち出した情報には、偽物が入っていることを表明するものだ。この条項によって、『他社による不正な情報入手』、そしてその情報に基づくアクションの意味を無意味なものにする手段。
それだけではない。他者による論評や二次情報にたいしても、『その一次情報源が、同社の公式情報かどうか』が常に問われることになる。その公式情報から乖離した論説はすぐにバレることになり、そもそも情報源が曖昧であれば、その記事自体の信ぴょう性はゼロになる。
対策1と2でカバーしきれないところを埋める、とんでもなく巧妙な方法と言える。これによって、一般市民や中小組織に降りかかるサイバーリスクは、ほぼ完全に駆逐できると思っていいだろう。
だがちょっとまて。これ合法なのか?
というわけで、同社の合法サイコパス氏に問い合わせた。「間違いなく合法的に運用可能です。詳細はリリースノートからリンクできる詳細情報と、弊社の新入社員達が議論している公開配信をご覧ください」だそうだ。
単体でエンターテイメントとして成立してしまうような、あの会社の研修(?)風景。まさかあの配信が、今回の施策の正当性、合法性を説明するためのものだったとでもいうのか……
「なお、当リリースノートも、関連する配信映像も全て、紛うことなき公開情報に相当します。それらに対する論説、二時情報化は、あらゆる方にとって正当な権利が保証されています」
――監査法人「法とAIの翼」代表 法本直正
つまり、このニュース記事は、大丈夫だということだ。始まるのは、ハッカー達の受難の時代か、それとも――。
――――
KOMEIホールディングス 研修室
「デコイ情報!? そんな孔明っぽい手段が合法になり得るのか?」
「孔明、ひどい言われようなのです」
『孔明に対する名誉毀損は対象が存在しないので成立しません。デコイ情報の保有は、その情報自体に危険性、加害性がない限りは取り締まる対象になりません。
いうなれば、どこかの中学二年生がさまざまな衝動のままに書きとめてタンスに隠したノートや、恋する乙女が推しの苗字に自分の名前をくっつけて眺めるなどの行為。それらを取り締まる法が存在しないのと同義です。
つまり、その架空の情報をどう活用するか、あるいはしないか、によってその合法違法は細分化されます』
「孔明、心なしか反撃体制に入っていないか? まあいいや。だとしたら、その架空情報の取り扱い方次第ってことなんだな」
「なるほどな……よし、一回みんないいかな?」
「ん? 岱君、ここで区切るのですか?」
「うん、そうするのがいい気がするんだ。鳳さん、その方法は多分、それ一本で他のいろんな対策を議論する必要がなくなるくらい強力なんじゃないかな?」
「そ、そうですね。特に、これまでの対策で成立させた、相互の多要素認証、ワンタイム認証が高度に組み上がった世界なら、この方法は最後のピースになると思います。どうでしょうか鬼塚お爺様?」
「ここで儂に聞くか。でも嬢ちゃんには勝算があるんだろう? ならやってみるといいさ。お前さん達や、孔明に死角がありそうなら、しっかり見ておくからな」
「あ、ありがとうございます。では進めてみましょうか。デコイの作り方や管理の仕方。侵入者がそのデコイを手にして、使った時のことや、データが外に拡散した時のこと。そこからいろんなケースでずれていった時に、別途必要そうになること、色々なのです」
「そしたらその三つの視点でタスクチームだね。最初は、最後のチームは外で聞いていてもらっていいから、心の準備をしていてくれ」
――
鬼塚班
「デコイは勿論、AIによる自動生成だよな。デコイ自体が古くなっちまうと、効果が薄れるからな」
「ねえ孔明、社内で重要な情報の生成を確認した時に、それを検知してデコイ作るとかできる?」
『もちろんです。さほど高い負荷ではありません。社外秘のドキュメントに似せた形、かつフォーマットや手続き履歴を同一にしたり、本物をコピーして改変することも可能です』
「そのデコイ、社員が触れちゃったら嫌だよね」
「ああ、大問題になるな。特にまずいのが、内部告発など、社員個人の権利を守るための仕組みが壊れちまうことだ。社員が正当な手段でアクセスする時に、デコイに触れるようになっていたらまずいぜ」
「常盤君チーム、その辺りのセキュリティポリシー案をお願い。困ったら法本さんに相談して」
「了解」
「上司使いの荒い新入社員ですね」
@それな
@この岱くん、合法サイコパス氏の直部下?
@どことなくサイコパスみが感じられる
――
常盤班
「セキュリティポリシーか。まず根っこのところだね。『当社内には、不正アクセスの抑止を目的とした、架空のデータが存在します』というのを前面に出すイメージでいいのかな」
「そこに免責とか、問い合わせの拒絶事項を追加する感じ? 『当社が公式に発信した情報や、公的機関に提出した情報に基づいた内容以外の、当社や当社の関連情報に対する質問は、対応する義務を負いません。これら架空の情報によって生じた被害に関して、当社は一切の責任を負わないものとします』的な?」
「そこにさっきの、社内の人間へのアクセスに関する条項だね。『当社は、当社およびグループの社員や関係者、顧客等に対し、全てのデータに関するアクセス権限を厳正に管理しています。特に、社内で保有する架空のデータに対しては、情報管理部門及び執行役を除いてアクセス権限を付与する事はありません』かな」
「ちゃんと意図を説明しといた方が良さそうだね。『なお同条項は、当社従業員が社内外に発信する情報が全て、当従業員が正当な手段でアクセスできるデータに基づくものである事を意味します』とか足すと良さそうだよ。いかがでしょうか法本さん?」
「はい。考え方として問題のない事は確認出来ました。細かい調整は監査部門で請け負います。法は、個人にも組織にも鎖であってはならない。あまねく恩恵を与える武器であり、翼であるべきです」
@これって逆に、従業員が内部告発した時は、会社側が「それは偽情報だよ」って言い訳をしないって事を宣言しているってことよね
@これがないと、内部告発制度とか、社員の逃げ場を塞いじゃうことになるのか。さすがちゃんと考えているね
@さすが抜け目ない黒眉さん、さすが後は任せろの最強サイコパスさん
――
鳳班
「こ、個人情報は、データベースの行レベルで偽情報混ぜますか」
「そこに偽物フラグを暗号化して入れておいて、不正アクセス時にはそれが残った形で流出するってことか」
「これだと、架空情報が数パーセント含まれるだけで、一気に使えない情報になるんだね」
「その情報に基づいてスパムメールとか不正取引とかをやった瞬間、逆探知がかけられる形なのです」
「その個人情報ファイルが、マジで地雷原になるってことだね」
「孔明、出来ますか?」
『問題ありません。ダミー行と、フラグ列をいくつか作るだけです。フラグ列は、架空IDやその他の生成情報とあわせて暗号化されていれば、より隠蔽性が高まります』
「あとはお名前ですね。たまたま一致してしまったりしたらまずいのです」
「それがネックだよね。偽物のせいで、本物に何らかの迷惑をかけちゃったら本末転倒だよ」
「個人情報の本物と偽物……常盤君、あとは任せるのです」
「役割分担がそうなっているからって、ヒントだけ与えて投げ渡してくるの鳳さん!?」
――
「個人情報の本物か。それは国に聞くのが一番かな。戸籍は確実だよ」
「それ、国や自治体は見せてくれないよね?」
「こっちから照合かけて、不一致認定を貰うとかなら、やってくれたりしないかな?」ピッ
『ん? 常盤君? どしたの?』
「こういうサービス出来ますか? ……を通して、国にシステムをあげて、一致不一致だけ証明してもらう形です」
『あ、うん、わかった。そういうサービスならいけると思う。プロトタイプ? 大丈夫だよ。こっちでやっとくから。そういうのは公的機関が内製した方がいいんだよ。じゃあね!』ピッ
@某区役所の大橋さんに電話したのか
@公的機関にリアルタイムで仮承認をもらう新人研修って何ぞ
@多分これ、配信してなかったらメッセで済ませたんだろうな。視聴者にまで気を遣ってやがるぜ
「つまり、こっちが生成したダミー個人情報を、ほんとにダミーだと証明してもらえたら、心置きなく放出できるわけか」
「もちろん意図的に放出したら虚偽情報の拡散になるので、それは絶対にやらない仕組みを作ってください」
「そうですね法本さん」
「うーん、相当いい手だとおもうが、この方法だと日本限定になっちまうぞ」
「「あっ!」」
「そうですね黄升さん。他の国、特にアルファベット圏内だと、自国じゃなくても行けてしまうのですね」
「そこは国籍情報を確実に保持させる形ですね。各国のマイナとくっつけるのは必須でしょうね」
「だがそれだけだと、マイナの方も他人とぶつかるな」
「仕方ない……鳳さん、鬼塚君、ちょっとヘルプ!」
「ん? 岱君、どうしましたか?」
「この部分は、チーム関係なくアイデアが必要そうだ。多分ここが最後のためになると思うんだ」
「分かったぜ。確かに日本の感覚ならあれでよかったんだが……」
「とりあえず、アルファベット圏以外なら、自国表記と、訪問先表記を確実に紐付ける登録をするのです。それと国籍で、二重に防げるのです」
「なるほど。その初回登録は、最初にその国を訪れた時点で生成AIにやらせれば確実だな。『俺はこの発音だ!』って本人が納得するまで登録させればいいんだよ」
「その儀式は、国同士の相互理解、交流を促進する上でも役立ちそうなのです。行っ先でちゃんと発音してくれたら、嬉しい人も多いのです」
「本人さえ良ければあだ名、通称だっていいわけだからな」
「それとマイナンバーですが、一つの手があります。これは非常にダークサイドな方法なのですが」
「ん? 鳳さんは中二かな?」
「違うのです。サイズは中学生以下ですが、ちゃんと大卒なのです」
@ブラック雛ちゃん爆誕
@サイズに関しては自爆だよね
@ダークサイドだけど、ちゃんと法的にはかわすんだろうね
「故人の番号は、おそらく再利用されないはずなのです。それを、『番号だけ』国からお借りするのです」ピッ
『ん? 今度はヒナちゃん? ああ、大丈夫だよ、ちゃんと休憩中に配信見てるから、流れは追えてるよ』
「あ、え、あ、はい。ありがとうございます」
『故人の個人番号を、デコイとして借りる、か。ちょっと機関の承認に手がかかるかも知れないけど、黄升さんと、法本君を貸してもらえればどうにかするよ』
「あ、ありがとうございます」
『ふふふ、その番号を使ってアクセスしようとした時点で、不正手段で入手したことがバレるんだね。なんてゾンビアタックだよそれ』
@ヒナちゃん、お礼しか言わなかったぞ
@でも要件果たした上に、必要な二人もそこにいるぞ
@ハッカーにとって、この世界がゾンビにあふれた世界になるのか
「これで、不正侵入や、そこから発展する情報操作なんかも含めて、おおよそカバーできそうな策が整いましたね。いかがでしょう鬼塚さん?」
「くくっ、並のハッカーにとっては生きづらい世の中になりそうだ。だが、市民にとってそんな事はどうでもいいはずだからな。なあ法本君や」
「はい。それに、こういう議論の過程が開かれた形で行われる事で、『人々の安全が、どんな活動のもとで成り立っているのか、なぜ安全と言えるのか』と言ったところを、しっかりと皆様に示せるのではないかと」
「そうだな。これで世界がどう動き始めるか。最後まで見極められるかどうか」
「へへっ、あと二十年は健在だろうがクソジジイ」
「うるせえバカ孫! 三十年だ!」
お読みいただきありがとうございます。
