背景:2017年11月に,顕在化した暗号ライブラリの脆弱性(ROCA:素数生成時の脆弱性)に伴い,エストニアIDカード(e-residencyカードを含む)に重大な影響があると専門家により提示されました.それを受け,エストニア政府は,2017年11月3日夕刻から約80万枚の該当IDカードを利用を停止したそうです.このIDカードは,日本のマイナンバーと同じようなもので,電子行政サービスの認証の基盤として利用されています.日本と違う点は,その普及度合いです.エストニアの行政サービスのすべてが電子化されており,我が国ではお決まりの「紙」の申請書なしで,インターネットから全ての行政サービスを利用できるそうです.
このパネルには,ベンダサイド,行政サイドの担当者も参加しており,生々しいエピソードが紹介されました.たとえば,インシデントを受け約80万枚のカードの交換することになったそうですが,その際,窓口には連日大行列ができて,行政側・市民共に大変だったという話も紹介されました.また,こちらは個人的に聞いたことなのですが,自力でカードの中を更新しようとされた方は,(手元のマシンが未対応のため)Linuxのフルビルドをすることになり,数時間掛かったそうです.
エストニアのIDカードの話をすると「小国だから●●ができたんだよ」と言われることがありますが,小国だからこそ余剰人員が多くはないので,この手のトラブルは大変だったと推察されます.小規模なりの問題もあるので,規模だけで,できるできないという議論はすこし乱暴かもしれません.このケースも,情報公開を積極時に行うというリーダーシップが効果を発揮し,「エストニア政府はダメージを最小限にできた(パネリスト談)」ように思えます.
行政サイドの報告としては,今回のインシデントは想定外で,契約も全く役に立たなかったとのことでした.契約書での記載漏れというより,ベンダサイドも対応が不可能である一方でそこを責めている時間はなかったというところでしょうか.次回以降,今回のインシデントを教訓により良い契約書を作りたいと,契約担当者は述べておりました.また,契約自体も今後,サイバーを含めた専門家にしっかりと時間をかけてレビューしてもらうとのことでした.
このようなインシデントが発生した場合,ベンダサイドの自発的なディスクロージャーが重要で,それを契約にも入れるべきと何度か述べておりました.特に,これはサプライチェーンの問題の一種とも言え,エンドユーザ(国民)へのサービス・プロダクトの提供に到るまでの「信頼の移転(transfering trust)」が大事であるとのことでした.この言葉は何度か登場していましたが,これをどのように確立するのかが鍵と言えそうです.「信頼の移転」の実現方法の一つが,システムを構築する際に,標準化・認証されたコンポーネントを利用・組み合わせることであり,それらが重要であるともパネリストの一人は述べていました.
しかし,「しっかり確認していればよかった?」「もっとマンパワーがあればよかった?」というモデレーターからの質問に対しては,行政サイドからは反論があり,たくさんの契約が同時に走っている中で,限られた人的リソースでの対応には限界があるとの意見がありました.ごもっともです.後からであれば,なんとでも言えます.
個人的に面白い指摘だなぁと思ったのは,たとえば,ヘリコプターの調達において,内部モジュールの検証を含めてちゃんと動くのかなどは確かめないよね,という意見が出ました.パネリストのStoddart博士が,航空機はたくさんの国際標準や認証制度により検証されていると,一種の「信頼の移転」が確立しているという意見でした.ソフトウエアの世界は標準や認証制度が未だそこまでの信頼には至っていないという印象ですが,「信頼の移転」の確立が,この種のインシデントへの対応の鍵と言えそうです.
最後にまとめとして,今回のようなインシデントにおいての教訓は?との問いかけに,パネリストから一つずつ,以下のような意見がでました.
ー問題の根幹を理解すること
ーリスクを理解し,リスクを緩和するプロセスマネージメントが重要
ー情報共有(自発的なディスクロージャー),危機管理が重要
ーインシデントから学ぶこと
ー契約は専門家に詳細まで踏み込んで見てもらうこと
2018/06/08 st
