「私はデジタルの専門家でもエンジニアでもない」――石倉洋子デジタル監の発言が話題に …… 「専門家」の自覚。
ITmediaの記事である。
この記事を読んで、素晴らしい登用と思う人が日本に多いなら、日本の情報通信産業の未来に影を落とすことだろう。
一方で、良い悪いの判断はともかくとして、情報通信産業の未来にとって相応しいかと言われると今の段階では疑問だという人は、まともだと思う。
そして、相応しくないとはっきり言う人はキミは出来るのかい?と問うことになる。まあ、今の政権は圧力体質が見えてきており、やりたがる人や代わりがいないからこの人が選ばれ、結果的にこの人しかOKしてくれる人がいなかっただけというだけだろうと私は思っている。
大臣が大臣だからね。
<デジタル庁の問題は、昭和のカード体質>
個人的に、デジタル庁のトップもそうだが、今の政府の姿勢で一番問題なのは、中身が昭和だということだ。私も昭和に生まれた世代なので人のことは言えないが、この人が選ばれたのは言われたら、それだけをやるからかもしれない。
要は、デジタルを知らない、専門家ではないから、ビジョンが特にないわけだ。上が決めたビジョンがそのままビジョンになる。すると、問題があることにも目を瞑ると言うわけだ。
今の仕組みのマイナンバーカードをこれ以上普及させると、下手をすれば不正が10年以内に出てくる恐れがある。価値があると思われればもっと早いかも知れないし、もう日本でここまでやる価値がないと思われれば後になるかも知れないが、今でも下手をすると出来る技術があるかもしれない。
何故そう思うのかというと、情報が表に印刷され、中にも丸ごと暗号化して入っているからだ。
本人確認のために顔写真もカード本体に印刷して、全てを統合しようとしているが、それなら印刷されている顔写真などの情報は今後のカードでは廃止し、専用のオンライン対応端末でのデジタル確認証だけとして使った方が良い。要は、カードと数桁(4桁はダメ)の暗証番号か、本人が許諾するなら生体認証(指紋等)をすると、本人の顔写真や生年月日などが画面に表示される仕組みを取るのが良いということだ。
そして、名前と住所なり、生年月日などを本人に確認して顔写真もチェックして、認証するという方法だ。
印刷済みの顔がカードに入っているというのは、カード内やサーバーにある本人の情報が、表にもあるということになるため、カード内に内包される暗号鍵をクラックする技術がこの先出てくれば、簡単に情報の一部を改変したカードの模造品が作れる恐れがある。そうならないために、カードの表面や中に収める情報を、なるべく最小にして、そのカードが誰のものか端からは分からないようにした方がよい。
そうすれば、もし紛失しても、不正利用はされにくい。何故なら、カードの持ち主に関する情報は表にはないし、裏(内側)にも殆ど含まれないからだ。
もちろん、本人はカードが自分のものと分かる様に、マイナンバーだけは刻印しておけばよい。
また、サーバー上の顔写真の更新は、自治体の役場(これの撮影は公共施設内以外では許可してはいけない。これを民間まで許諾すると不正利用やなりすましに使われる恐れが高い)などに装置を置いて、暗証番号(または生体認証)と本人確認情報を入力して、カードをかざして写真だけ撮ればよいだろう。いわゆるプリクラとか、無人証明写真の方法である。
本人確認証として顔写真入りのカードをどうしても使いたいなら、マイナンバーカードとは別に、今の免許証のような本人情報が入った紙かプラベース+Felica内蔵のカードを作って、これを社会保障や本人確認カードとして供給した方がよい。その代わり、これには、有効期間を明記し数年に1度、顔写真の変更が必要なことネット上からの処理認証には使えないことを明記するべきだろう。正直、免許証とか持っている人なら、これ要らないし……。逆に免許証の情報をこれに入れるのは場合によっては危険だし……
こういう仕組みを取れば、マイナンバーが明記されたマイナンバーカードを先に送付することも出来る。写真や暗証番号、生体認証の情報を登録するかどうかの設定は、自治体の専用装置なり受付なりで申請すれば、使えるようになるよと書いて、送るだけ送っておけば、後は必要性に応じて国民が使うか使わないかを決めることだろう。
そもそも、全部入りを目指した戦略を未だにこの政府が取っていることが、どちらかというと世界の常識から見て逆行しているというのが、今の国は分かっていない。安全のためには、役割分担をある程度させるか、可能な限りセキュリティ投資を一元化したサーバーシステムに情報毎に分散保存し、それを必要な目的別に取り出すようにするべきであり、カードの中に暗号化して全部入っているから便利ですとかあり得ないのだ。
それをやって、復号されたB-CASカードとか、クレジットカード、スマートカードなど今まで腐る程ある。それが分からない事が、既に昭和であり、平成初期のカードに全部集めるのがスゴイという発想だ。
先進性を国として目指すなら、もっと効率とセキュリティを両立する仕組みを取り入れていくべきである。
そして、そういう発想力がある人が、上に立たねばならない。本当にデジタルだ情報通信だ、セキュリティだ、量子技術だと口で言うならば……。
<セキュリティ技術はいつか破られる>
ハッシュを使った暗号鍵をカードの中に入れて、それと一緒に暗号化した個人情報を可能なかぎり詰め込み、ネットでも使えるのは絶対に不味い。ポストペイタイプのFeliCaはお金に相当する情報しかないので別だが、クレジットカードでも、お金(資産)の情報はカードの中には入れていない。何故かというと、カードをスキミングされると、資産情報が暗号化されていても取り出せるというのは、腰を据えて暗号を破ろうとしている人からすれば、例えカード有効期限が5年後でも、5年の間にもし破ることが出来れば、使えるからだ。
だから、カードの中に必要な情報は、あくまでカードを一意の鍵として示せるある程度の情報に限って封入、封止(暗号化)するのだ。しかし、高齢の政治家やそういうのを理解していない阿呆な官僚が多いから、何でも入れれば良いという雰囲気になる。本来政府ほど、これにもっと厳しいめを向けるべきなのに、民間でもまずやらない危険な事をやっている。一部の金さえ入れば、それで十分という業者と共に・・・。
だから、根強い不信感を抱かれ続ける訳だ。
中国が何故、情報通信で米国と肩を並べたかというと、共産圏だからではない。少なくとも、政権内が社会思想を維持するために、データを守ることを資本主義の原理として良いかどうかはともかくとして、本気でやり技術を生み出したからだ。日本政府とその関連業者が今やっているのは、中国でもやらないような古い頭の中での便利さを、今更実現するための投資だ。
そんな投資をしたセキュリティは本当に脆いぞ。量子通信とか量子コンピューティングとか研究費出しているなら分かっているはずだ。あれが、本当にAPIレベルで制御出来る時代に入れば、鍵の最も可能性の高いパターンが短時間で抽出され、破られる時代になるのだから。そのとき、量子技術を取り入れることも出来ないマイナンバーカードに未来などない。情報取り放題だ。
逆に言えば、それがサーバー上ならコアスイッチや認証のプロセスを変更すれば、そういう攻撃にも耐えうる可能性があるのだ。コストも結果的に安く収まるし、何年かおきにカードを作り替える必要もない。何故なら、カードに写真が印刷されていないからだ。
立憲民主党などがそういう時代を目指すというなら、私はそれを応援するだろう。次のデジタル変革であるデジタルトランスフォーメーションというのは、マイナンバーカードという古いものが普及することではなく、カードに何でも入っていて更新カードが送付されてくるという時代を終わらせることが出来るような技術のことだ。
<省庁のシステムの査定も必要>
それから、省庁のシステムに出来合いのAzureとかAWSなどのシステムを使ってないよねというのも気になる点だ。
これは、LINEもそうだが、公共の基幹システムに商業用と全く同じ仕様のものを使うと、それの脆弱性が見つかって、攻撃を受けたとき真っ先に漏洩するのが、官庁のネットワークになる恐れがあるからだ。
元々、00年台初期までは官庁系で導入するシステムは、要件が民間と少し異なっていたはずだ。理由は、上記したとおりである。
しかし、今それをやっているのかというと、LINEなどを使っている事を考えると、やっていないと思われる。これ、欧米ではちゃんと要件を持っており、今でも官庁系と民間系ではシステムの構造が異なるところが多いはずだ。途上国などでなければ。
これの危険性が本当に分からなくなっているほど、政治と行政が老いているか、平和ボケしているなら将来官庁から情報が漏れまくるだろうし、今も漏れまくっている恐れがある。気付かれずに……。
本来なら、そういうところも含めて監査していくとこの省庁は言わなければいけないのだ。縦断して縦横斜めに省庁が繋がって、デジタルと彼らが呼んでいるトランスフォーメーション(変形)を起こすということは、情報セキュリティにも精通し、これから10年や20年先、いやもっともっと未来を見据えた基盤を作るのだと明言している組織と言うことでもある。
お金と権限を自ら集約し管理するぐらいの組織なのだから、本当に情報セキュリティが担保されるシステムが導入され、それが稼働しているのかを監査・査定する必要があるということだ。
だから、不安のあるシステムは金を投じてでもさらに改修して、置き換える必要があるということも明言しないといけないのだ。
新しい箱を入れれば良いというのは昭和の話だが、今の日本の高度情報化は箱も立派だと自画自賛するが、実際には世界から見ると三下奴だったり、まあ確かに金のかけ方は凄いけど、使えるのとか言うモノを、入れて喜んでいることも多い。
箱は入れてからの保守や運用こそ一番大事であり、入れてからその後の発展をどう考えるか、足りない部分や危険な部分をどのように置き換えれば、次の10年なり20年なりの安全を担保出来るかが重要だ。
プログラミングの仕方が分かっていた方が、確かに部下なり上司が今どういう状況にあるかが分かって良いが、デジタルというか官庁のシステム管理者の官僚代表という立場にこの人はなるわけだ。だったら、そういう未来のビジョンを含めて、下の人間をどのように目標を持たせ意識付けるかが重要になると同時に、自分が専門家の仲間入りをしたということを理解すべきだろう。
まあ、これからそういう方向に向かってくれるなら良いが、エンジニアでもないし、専門家でもないけど専門外から……頑張るよ。言われたことをやるよ……では、いけない。既にこの人は就任した時点で肩書きを持つ「専門家」の一員になったのだから、その組織の人間と方向性をすりあわせて、自分がその組織の専門家の1人なのだと思って決断や行動、ビジョンを示していかないとならない。
これは、この人に限ったことではないが、肩書きとしてデジタル監となれば、もう専門家である。例え初めてプログラミングの仕事をする素人でも、職種がプログラマーなら、もうその時点で世間からはプログラムの専門家として見られる訳だ。例え、本人がまだペーペーですよと言っても、客先でそれを納得してくれるとは限らない。私は、そういう職場に最初に入った(今で言うとブラックである。休みも殆どなく、夜寝てても呼ばれた程だ)ので、本当に辛くて実際に客前でも、裏でも自分にとっては理不尽なことを言われて、泣いたこともある。悔しかったし、辛かったよ。
でも、客側から見れば専門のエンジニアなのだ。
まあ、最初の話なので、まだこれで良いと思うし、これから自発的に上として在り方を考えて行くことが監(技監)は増えていくはずだ。その時にも、これで逃げて貰ってはいけない。それで逃げる人は、結局、任期の間言われたことしかしない。言われたことも、専門家ではないからとせず下に丸投げし、責任逃れをする恐れがあるからだ。
初代で、精通していない人を選ぶという人選もある種無謀である。本来は、精通したプロジェクトリーダーのような人を仮であっても上にまず立てて、数ヶ月でも固めた上で、その後に個性が出る人を登用するのが好ましいだろう。まあ、最初に書いたように、いなかったというか、打診しても乗ってくれる人材が来なかったのだろう。そもそも、大臣の評判が悪いからね。
若い人で反骨心や向上心、正義感などが強いと大臣に潰される可能性もある。もっとも、仕事内容も、マイナンバーという古い柵で、DXでぼんやりとした未来に向かっているし、民間から来た人が果たして長く持つのかも分からない。これも、大臣はあてにならないので技監の腕次第だろう。
まあ、大臣が大臣なのでマイナススタートに近いが、デジタル庁を作って良かった素晴らしいと言われる状況になることを願っている。そうならないと税金の無駄遣いが過ぎることになる。
