Tweet

我が国のＩＣＴの現状に関する調査研究報告書
2018年3月 株式会社情報通信総合研究所

情報通信白書で引用を見つけたのだけれども平成２３年のしか検索にひっかからなくて探しちゃった。

平成３０年のはここにあった。

www.soumu.go.jp/johotsusintokei/link/link03_h30.html

日米のＩＣＴ投資の推移

双方、70%に近づいている。

日本の投資額そのものに伸びが見られないのは95年以降の失われた20年で完全に経済が停滞してしまったためだとおもわれるので、ムーアの法則にしたがったハードウエアの価格低下性能向上のおかげで、ソフトの比率は米国と比較しても比率では遜色ないものとなった。
ただし、ソフトウエアが投資に対して効果を得ているかは別問題。

これが言うまでもない失われた２０年の日本の停滞。
当然ICT投資額も伸びない。

昔、Moocで失われた２０年を否定する人の講座を受けたことがある。
実質では伸びているからと言ってた。

実質でみればICT投資額も多少増えてる。

たしかに伸びてるよね・・・。
でも、ま、アジアだけみても他の国が２桁成長しているなかで２％成長も守れないんだから沈んでいるでいいんじゃないの？

（参考）日米のICT資本の償却率

日本はまあこんなもんだよね。

今度リースについての税制優遇がなくなるから（リース会計基準の改正と新リース税制）、実行ベースの評価もすこしかわってくるかもしれないですね。

アメリカのパソコン11%はないわーと思った。均等割だよね？最近のものが9年ももつわけないじゃない。

せいぜい3～5年ぐらいだ。常用機だと２年ぐらいのサイクル。昔は日本も10万超えると減価償却まで10年とか言ってたので、こうやってみると、滞ってばかりの日本のイメージだったけれどもちゃんとやってるところはやってるんだね。偉いっす。

1.5%から3%にタッチしたぐらい。

存外米国日本以外の国の投資割合は低いんですな。

ICT資本の国際比較④：ICT資本ストック（指数）（ソフトウェア）

その他の振る舞いをみても他国と遜色ないのだけれども、特徴的なのはこれかな。

日本だけソフトウエア資産の蓄積がしたぶれしている。

ここから言えるのは、ソフトウエアに投資したはいいけれどもゴミになってしまったってこと
もしくは、ごみばかりを作ってきたってことだとおもう。

前者の理由については政策の変更のようなルールの変更で役に立たなくなってしまったとか、競争に影響をあたえる外部環境があるとおもう。
後者については、５０００人が寄ってたかって文集を仕上げたところでシェイクスピアは出来上がらないってことだとおもう。結果として、思い出づくりがんばりました。だね。

日米のソフトウェア比率

日本のソフトウエアのパッケージ比率が少ないことは有名だけれどもそれを査証する資料。

パッケージがつくれないということは、このあらゆるものがモジュール化する世の中で、機能などの切り分けができていないということ。同じことの繰り返し。重複の無駄のなかに沈んでいる。

日本は既存の運用にあわせコンピューターシステムをつくるが、汎用的な情報の体系にあわせて運用を変える勇気がない。運用を変えるぐらいならシステムを変えようとする。
各市町村が似たり寄ったりなのにそれぞれが独自のシステムを導入しているような事例に代表される。既存の条例とかを変える勇気がないので、情報の整理も運用の整理もできないままゴミをつくることになる。それがソフトウエアが資産として蓄積できない理由でもあるのではないかと推測する。

（参考）日本の産業別成長会計分析：産業大分類

数年前、産業分類別の付加価値生産額を分散とって偏差を出してみたことがあるのだけれども、金融のひどい一人勝ちなんだよね。一人勝ちというべきか、癌というべきか。失われた２０年これがか感。

これについては言い出すと書ききれないほどに書かなきゃいけないことがあるので、ここでは、このざまだよとの紹介。大分類で付加価値額が明確に上向いているのは金融と、建設ぐらいかな。

ここでの図は%になっちゃってるので、あくまでご参考までに。

ICT導入・利活用の状況

ソフトウエアの開発を一切おこなっていない25%の情報通信業はここに入れるべきではないような気もするけれども、電線土管屋さんとかも通信業だからしょうがないのかな。それとも派遣人材業かな？？

全産業で自社で利用するソフトウェアに加え、他社等に販売するソフトウェアも開発している会社の数が増えるといいですね。

こちらは米国のソフトウェアの自社内で開発の割合。

みて！どの産業でもこの自社開発の割合の高さ！

情報通信産業71%+27%+11%で109%もある！

・・・。

71%+27%+1%+1%で100%か。

でもソフトウエア開発をまったくおこなわない企業は1%で収まってるんだよ。

やっぱ日本の情報通信産業なのにソフトウエア開発をまったくおこなわない25%の企業はどうかしているよ。多すぎる。

ネットワーク、端末市場の動向

なんかいろいろ書いてあるけれども注目はこれかな。省略しつつ引用。

LPWAモジュール市場

IoT時代においては、多様なアプリケーションの通信ニーズに対応することが求められるが、現在開発・提供等が進んでいるのがLPWA（Low Power Wide Area）と呼ばれるコンセプトである。LPWAの通信速度は数kbpsから数百kbps程度と携帯電話システムと比較して低速なものの、一般的な電池で数年から数十年にわたって運用可能な省電力性や、数kmから数十kmもの通信が可能な広域性を有している。

あとは、ドローン市場、AIスピーカー市場、AR/VR市場ここらへん。
こっちは書くまでもないね。

AI導入の業種別動向

全上場3,635社、AIを導入済みの企業は120社（有効回答1,341社の9％）、今後導入したい企業 410社（同31％）

パルプ・紙、医薬品

君たちはR&Dや工場のパイプの流体とかの計算で機械学習による最適化が効いてくるのだからもっと本気でやらないとだめだ。

海運、空運業

こういうロジスティクスこそ、ダイクストラ法（最短経路問題）みたいな古典的なアルゴリズムでも再帰の計算量が効いてくるのだから、もっと真面目に検討しような。

証券業

このBOT取引全盛の時代にAI導入の検討もしないって死んだほうがいいのでは？

保険業

これも今までわからなかった相関の発見とかディープラーニングの得意とするところなんだから、積極的にやるべきだよね。なんでやろうともしないの？

もしかしてこの質問って、マーケティングAIで質問しているから、サービス業が多く反応しているのかな？いくら担当者レベルでの回答だとしても暗すぎる。
あ、縦軸が企業数だからその産業分類での上場数そのものが少ないのかな？みんな興味があると回答しててもこの数なのかもしれない。導入の予定がないというのも表示してもらう必要があったな。このグラフからだけじゃわかんないや。

サービス事例の収集

URLまで含めて、結構しっかり収集されている。P187～211

量が多いので紹介できないが、嬉しいひとには嬉しいネタ。
ページあたり５件ぐらいのってるので１２０件ぐらいのひかくてき小粒なIoT・AIサービスが掲載されている。

非個人データを含むデータローカライゼーション規制の状況と対応

【2017年11月ASEAN関連首脳会議におけるRCEP首脳共同声明

電子商取引のエコシステムの発展に係る、参加国間の協力を強化する。Ｅ-commerce章は、特に中小企業にとって、電子商取引を円滑化する機会を利益あるものとし、また、創出する現代的な協定としてＲＣＥＰを位置付けるのに役立つ。

RCEPってなんだろうね。海の物とも山の物とも。

EUのGDPRみたいにまで広がるのかな？中国が入っていたら個人情報の公正な管理とかは難しい気がするけれども。sslは監視ができないからセキュアじゃないとかいう共同声明になったりしてな。

では、ごきげんよう。

Tweet

Tweet

副題「深刻化する事業への影響：つながる社会で立ち向かえ」
独立行政法人情報処理推進機構（IPA）が発行しています。

241ページもののPDF

www.ipa.go.jp/security/publications/hakusyo/2018.html
販売もされていますが、アンケートに答えると貰えます。

ざっくり読んだので意訳しつつ、気になった点などを。
相互認証というか、クロス評価はピアピアな社会において作用点かもしれんですな。

2017年度の主な情報セキュリティインシデント・事件

• 2017/5 Wanna Cryptor(別名WannaCry) 身代金型ウイルス
• 2017/9 JALビジネスメール詐欺 約3億8,400万円の被害(送金先口座変更を伝える偽の電子メール)
• 2017/10 仮想通貨のマイニングツールが確認される（coinhiveがらみ）
• 2017/10 無線LAN の暗号化規格であるWPA2 の脆弱性（KRACK/KRACKs）
• 2018/1 仮想通貨交換取引所Coincheck/から約580億円相当の仮想通貨NEMが不正流出
• 2018/3 最大8,700万人のSNS個人情報が米国選挙工作のため不正利用発覚

気になったのを要約するとこんなかんじ

世界における情報セキュリティインシデント状況

身代金の平均要求額は522 米ドルで、2016年の1,070米ドルの半額以下となった。またランサムウェア提供グループは淘汰され、新たなファミリーの出現は2016年の98から2017年の28に急減した

かなりの推測を含むのだけれども、再利用されているコードなどから北朝鮮などの国家規模での身代金型ウイルスがかなり出回ったのではないかという強い示唆がある。

これが急減した理由などは、おそらく費用対効果の面で仮想通貨などへのアタックのほうが実りが大きいことに気がついたからだと思われる。
それを強く示唆する情報はこの記事の最後にとりあげる国内のコンピューターウイルスの認知数にも現れているように思う。

不正コインマイナー

■図1-1-14　 日本における「コインマイナー」の検出台数推移

一般のインターネット利用者に意図しないマイニングをさせるツール「コインマイナー」を拡散させる脆弱性攻撃サイトが2017 年5 月から急増した。また、9月に「Coinhive」が登場し、攻撃者がこれを悪用するようになると、コインマイナー検出台数は過去最多となった。

 

Coinhive は、Web サイト閲覧者のパソコンでマイニングを行うことで、広告の代替となる収益をWeb サイトの運営者に提供するサービスであるが、この仕組みを悪用して容易に不正マイニングの実行が可能になる※ 20。これが不正マイニングに拍車をかけ、10 ～ 12 月の3ヵ月間だけで13 万5,370 台が検出されることとなった

※ 20 トレンドマイクロ社：不正広告により、仮想通貨発掘ツールが拡散
される　http://blog.trendmicro.co.jp/archives/16904〔参照2018-06-05〕

Webサイトの広告には、Coinhive だけでなく、私有のマイニングプールに接続する別の仮想通貨発掘ツールも確認
//
Googleのオンライン広告配信プラットフォーム「DoubleClick」を悪用
//
正規の広告が Webページで表示される裏で、二種類の仮想通貨発掘ツールが自身のタスクを実行

昨年は国内ではCoinhiveを自身の管理するサイトに設置しただけで逮捕される案件が十数件発生した。

Coinhiveがお行儀のよいスクリプトかはおいておいて、ブラウザの構造を考えれば、プログラムを取得して実行する主体は閲覧者側であるので、既存のウイルス等作成罪は当てはまらないように思う。既存の広告などとの技術的な区分は難しく正直逮捕の根拠が薄弱であるように思う。

これは以前、こちらの記事に書いた。

kuippa.com/blog/%E9%81%95%E6%B3%95%E3%83%9E%E3%82%A4%E3%83%8B%E3%83%B3%E3%82%B0%E3%81%A8%E3%81%95%E3%82%8C%E3%81%9Fcoinhive%E3%81%AE%E6%B3%95%E3%81%A8%E6%8A%80%E8%A1%93%E3%81%AE%E3%81%AF%E3%81%AA%E3%81%97/

他方、ここで話題になっているのは、これらの技術要素をベースに改変し、既存の広告配信プラットフォームに載せ広告掲載主体者と閲覧者の両方を謀る悪意のあるものである。潜伏、発症、増殖というコンピューターウイルスの定義に立てば、こちらは明確に悪意のあるものである。

隠蔽しようとする意図があり利益教授者も匿名化しているものと、自身の利益のために設置したものの区別が怪しいままこれらを十把一絡げに扱い不正としてしまうことに先暗さを覚える。罪刑法定主義は守ってほしいものだ。

ランサムウェアによる被害

ランサムウェアとは「ransom」（身代金）と「software」（ソフトウェア）を組み合わせた造語

 

個人的印象としては2015-6年ごろのイメージ。
WannaCryかな。

標的型メールによる金銭被害

本来の取引先とは別のメールアドレスから、送金先口座変更を伝える偽の電子メールがJALに届き、それを信じた担当者が、香港の銀行に開設された偽の口座へ送金

巨額だからあれだけれども、ウイルスですらないただのおマヌケ担当だよね。だけれども多分その前の段階でソーシャルハックが試みられてて、取引先の企業情報とかが抜かれてるんだと思う。

サーバー攻撃を受け情報が流出したところと、被害の標的にされるところが必ずしも一致しない事象がこれから増えるかもね。

DDoS攻撃

図1-3-3　 DNSリフレクター攻撃のイメージ

図1-3-4 「memcached」を悪用して攻撃を増幅する手口

ザル設定のmemcachedを踏み台にあんぷりふぁいしてDoSの重みを増す。いたずら電話での蕎麦屋ピザ屋寿司屋に相当。
ただいたずら電話よりも物理で重い。memcachedの悪用頻度高いよね。

第2章 情報セキュリティを支える基盤の動向

えっ、私も個人情報取扱事業者！？

2017 年5 月30 日から、すべての事業者に「個人情報保護法」が適用されています。
個人情報保護法が2005 年に施行された後も、取り扱う個人情報の数が5,000 人分以下の事業者には適用されていなかったため、多くの中小企業では適用が除外されていました。

理解が古いままだった。全部の事業者とは知らなかったよ。

2.3.3 欧州のセキュリティ政策

欧州では2018 年5 月9 日に、「ネットワークと情報システムのセキュリティに関する指令（The Directive on
security of network and information systems）」（以下、NIS 指令）

2018 年5 月25 日にGDPR が発効GDPR 実施の準備状況2016 年に成立したGDPR ※ 171 は、EU 市民の個人
データの保護に関する包括的な規則である。

P107

GDPRの対応はかなり重たいと思う。零細は対応しきれないかもしれないけれども大手で対応してないのだとかなりまずいことになる昨年のビッグキーワード。これだけで章立てしてもよかったんじゃないかと思う。

GDPRについて要約する

• データ主体（Data Subject）：サービス間の個人データ移転を容易にするデータポータビリティ、委託した個人データを消去する忘れられる権利等、データ主体の権利が強化。権利保護範囲は個人データが移転され得る第三国にも同等の保護が求められる。
•  データ管理者（Data Controller）：大規模な個人データ処理を行う企業（データ管理者）は、データ保護責任者を選任して遵守状況を監督機関に報告しなければならない。
•  データ処理者（Data Processor）：データ管理者を代行してデータ処理を行う。クラウド事業者等も含まれる。データ処理者はデータ管理者によって選任。

GDPR規則の違反行為に対して、制裁金は最大で事業者の全世界年間売上高の4%、または2,000万ユーロのどちらか高額な方。遵守状況報告義務に違反した場合等の制裁金は最大で全世界年間売上高の2%、または1,000万ユーロのどちらか高額な方。

つまり、ちょっと扱いを間違えるだけで軽く死ねる重要なルールの変更だ。巨大な死亡フラグでもある。大して効果もないマーケティングぐらいのために個人情報を保有するぐらいなら、集めない方が事業リスクが確実に低くなった。

2.4 情報セキュリティ人材の現状と育成

項目に期待したのだけれども取り上げるような内容がなかった。
セキュリティ・キャンプだとかハッカソンやりましたぐらいのものだ。残念。

こういうのをやらなきゃいけないとして、日本で基礎的な経営マネジメントの知識を持ってる人どれくらいいるのだろうか。まわりの社長さんたちを見ても実務で理解しているだけで体系的なものは知らない人のほうが多い。

これは無茶が通れば道理がひっこむのごとく、教科書上のことが実務ではまったく環境になってしまっていることも強い要因である。そのような経営環境に引きずられるので、論理的な戦略マネジメント人材の育成をしても活かす場がないように思う。制約条件が強すぎる。

全国には421万社会社があるが、コストセンターにしかなりえないセキュリティ人材が需要により育つのを期待するには、それだけの数の事故がおきなければならない。それは望むべくもないことだ。

それよりは、社長さんに中小企業診断士とかMBAコースの情報システムの基礎を教えるほうが、効果的ではないか。

「産業横断サイバーセキュリティ人材」
会計士とか社労士的な位置づけにして企業間で共有するのは現実味があるかもしれない。たぶん無理だけれども。

3.2 仮想通貨の情報セキュリティ

2017 年4 月、改正資金決済法が施行
金融庁・財務局の登録を受けた事業者のみが、国内において仮想通貨の交換等を行うことができる。
財産保護・マネーロンダリング対策の観点から、利用者財産の分別管理義務や本人確認義務等が課せられる。

足の遅い規制当局にしては早かったような気もする。

2）仮想通貨不正移転問題
2018 年1 月26 日、コインチェック社が運営する取引所「Coincheck」から、5 億2,300 万の仮想通貨「NEM」が何者かによって不正移転された。被害者数は26 万人、被害総額は当時の換算で約580 億円相当に上る

事故がおこったからだけれども。

当初NEM のモザイク機能等を利用することで、ホワイトハッカーらに監視されたものの、その後匿名通貨との交換やダークウェブ取引所を介する等により、ほぼすべてが他の仮想通貨へ交換され、事後追跡が困難となった

つまるところまるまる取り逃がした。

580億の純金融資産となると結構大きめの会社とかに相当する。これを隠蔽できるのは、国家単位での取り組みとか国際的なアンダーグランドな組織だろう。両方かな。

3.2.3 その他の動向

ICOとは、企業等が電子的にトークン（証票）を発行し、公衆から資金を調達する行為の総称である。電子的なトークンを仮想通貨とすることで、国際的かつ自由な資金調達が可能となる。

新規仮想通貨公開（Initial Coin Offering：ICO）のことかな？？
自社の仮想通貨発行という感じなのだろうか。
企業が発行するコマーシャルペーパー（無担保約束手形）が電子トークンになった？

日本だと出資法の束縛を逃れられないので流行ることはないだろうが、本位を持たない仮想通貨に企業の信用力をぶつけるのは面白いなと思った。

3.3.3 中高生を対象としたセクストーション被害

セクストーションってなんぞ？

セクストーション（性的脅迫）被害に関する注意喚起
kotobank.jp/word/%E3%82%BB%E3%82%AF%E3%82%B9%E3%83%88%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3-1711147

sex（性的な）＋extortion（脅迫）だそうだ。へー。

二度と見かけることもなさそうな単語だ。

3.3.6 公式マーケット上に配布された不正アプリ

10 月には、仮想通貨のマイニングを勝手に行う不正アプリが確認された。複数種の不正アプリが確認されたが、そのうちのいくつかは仮想通貨マイニングサービスである「Coinhive ※ 156」を利用している。これらのアプリを起動させると、端末のリソースを使って勝手に仮想通貨のマイニングを行う。CPU 使用率は高い数値を示し、パフォーマンスに影響を及ぼす。

これが原因で、トレンドマイクロとかがウイルスのパターンファイルにcoinhiveを認定、そのため管理者がcoinhiveを置いただけで逮捕されるというよくわからん展開になった。ちなみに海外だとオーストラリアのユニセフとかが寄付のかわりとなるものとして設置しているところもある。

※ 156 ITmedia NEWS：話題の「Coinhive」とは？　仮想通貨の新たな可能性か、迷惑なマルウェアか

www.itmedia.co.jp/news/
articles/1710/11/news084.htm〔l 参照 2018-05-01〕

まあ、新たな可能性でもあると同時に迷惑なお行儀の悪いスクリプトだとは思う。でも、CPUの使用を20%、10秒とかにしてくれるならアクセスと同時にトラフィックとCPUを食ったり、動画みてる途中とかにわりこんでくる動画広告よりはいいかな。

資料A 2017年のコンピュータウイルス届出状況

■図A-1　ウイルス届出件数推移（2007 ～ 2017 年）

これと文中にあったサイバー犯罪検挙推移をみると、

コンピューターウイルスの時代は終わったな。

なにせみんなサーバーにデータをあげてくれるんだから、サーバーのほうが狙われる。傀儡を増やすためとか、スケープゴート用だとかの踏み台用ぐらいにしか、個人を狙う理由はなくなったように思う。

他感想

漫画村のサイトブロッキングは乗ってないのかなとおもったらまだ今年5月のことかなんだね。

ま、そんなこんなで、情報セキュリティ界隈の話題でした。

Tweet