« January 2004 | Main | March 2004 »

February 07, 2004

ネット犯罪レポート24「住基ネットは本当に安全なのか?」(PC Explorer 2004年2月)

 住基ネットは本当に安全なのか?
 2003年8月にスタートして以来、何度も何度も繰り返されてきたその疑問にこたえるべく、同年秋から冬にかけて長野県と総務省が相次いで「侵入実験」に踏み切った。外部の専門家に依頼して実際に攻撃をしてもらうという、ネット業界で言う「セキュリティ監査」を行ったのだ。
 この結果で、安全性への疑問には終止符が打たれたのだろうか? 実験の内容を振り返ってみよう。
 長野県の実験は、二段階に分けて行われた。2003年9月からスタートした第一次実験では、①インターネットから庁内LANへの侵入、②庁内LANから既存の住基サーバへの侵入、③庁内LANから市町村設置ファイアーウォールの突破――という3種類の攻撃が試された。
 このうち完全に成功したのは、②の既存の住基サーバへの侵入だけだった。「既存の住基サーバ」というのは耳慣れない言葉だが、要するに住基ネットが稼働する以前から住民票や戸籍の管理に使われていたサーバのことだ。各自治体が独自に構築しているシステムだから、専門家のいない町村レベルだとかなりセキュリティが低い場合もある。そもそも、このサーバを乗っ取ることができたからといって、「住基ネットに侵入できた」とは言えないだろう。
 一方、①のインターネットからの侵入は失敗。また③の市町村ファイアーウォールの突破は行われなかったものの、実験を担当した長野県本人確認情報保護審議会は「実験によって、通過の方法は判明した」と説明している。もっとも、なぜ突破を実際に行わなかったのかはきちんと説明されていない。
 いずれにせよ、この3実験の結果だけでは、長野県がかねてから主張していた「住基ネットは個人情報が漏洩する可能性があり、危険である」という指摘を裏付けるにはほど遠い。
 住基ネットのシステムの中核を構成しているのは、地方自治情報センター(LASDEC)の中央サーバと、各市町村に設置されているLASDEC管理のファイアーウォール、そして中央サーバと自治体が情報をやりとりするために各市町村に置かれているコミュニケーションサーバの3つである。
 このうち、中央サーバとLASDECファイアーウォールについては、長野県は侵入実験は見送った。中央サーバはLASDECの所有で、長野県の所有物ではない。そんなところに侵入を行えば、不正アクセス禁止法に問われる可能性がある。またLASDECファイアーウォールは県の所有物だが、運用はLASDECに委託されているため、やはり侵入は見送られた。
 かわりにターゲットに定められたのが、CSだった。長野県はひそかに第二次実験の準備を進め、11月下旬にCS侵入を実施した。この実験は極秘に準備され、事前に情報を知っていたのは田中知事と本人確認情報保護審議会のメンバーなどわずか数人だったという。実験の直前には、総務省から長野県に出向していた幹部を、県内の市町村に再出向させるという異例の人事異動も行われた。田中知事の真意は明らかではないが、県庁では「この幹部から総務省に情報が漏れるのではないかと恐れた知事が、第二次実験の直前に田舎に追いやったのではないか」(長野県職員)とささやかれているという。
 総務省と長野県の暗闘――。一連の住基ネット実験をめぐっては、両者の間でスパイ映画もどきの情報戦が行われていたという。現地で取材に当たった全国紙記者は「左遷された出向幹部が総務省に情報を流していたという事実はないようです。しかし総務省は、さまざまな圧力を町村レベルの担当者にかけ、県の情報を相当の確度で手に入れていた。長野県が行ったふたつの実験の結果も、かなり早い段階で入手していた」と打ち明ける。
 少し話を戻そう。長野県が第一次実験をスタートさせた直後、総務省も独自の実験に乗り出している。同省が行ったのは、①自治体の庁内LANからCSに侵入、②庁内LANから自治体ファイアーウォールの突破、③LASDACファイアーウォールの突破。10月、品川区役所を舞台に実施された。だが実験の結果は、いずれも「突破不可能」。この結果をもって総務省は「やはり住基ネットは安全だった」と高らかに訴えた。
 第一次実験の不調と、総務省実験の成功――長野県は崖っぷちに追いつめられた。何としても、CS攻撃に成功するしかない。
 そんな緊迫した状況の中で、長野県の第二次実験は11月末に開始された。ターゲットはCSサーバとCS端末の2台のマシンである。
 そして同月25日、長野県に委託されたセキュリティコンサルタントはサーバの乗っ取りに見事成功したのだ。管理者権限を奪い、CSで扱っている個人情報を自由に改ざんできる状態になったという。どのような手法を使ったのかは公表されていないが、関係者によると、Windows 2000 Serverで運用されているCSサーバに対し、すでに明らかになっているバッファオーバーフローの脆弱性を突いて侵入したという。
 ところがこの侵入に対して、LASDECはまったく気づかなかったようだ。長野県側は権限奪取から3日間待ったが、LASDECから何の反応もなかったため、試しにCSの先、中央サーバにつながるLASDECファイアーウォールのイーサネットケーブルを抜いてみた。するとようやくアラームが鳴り響き、LASDECから「いったい何があったのか」と問い合わせがあったという。
 侵入実験に携わった長野県本人確認情報保護審議会の吉田柳太郎委員は、記者会見で「個人情報の消去や、新たにねつ造したものを住基ネットに流すこともできる。またCS端末を操作することで、全国民の個人情報を検索することもできる」と危険性を訴えた。
 一方、総務省は「住基ネットのアプリケーションは、操作者用のICカードによる認証がなければ操作できない。仮にCSやCS端末を自由に操作できたとしても、アプリケーションを使って住基ネットの個人情報を盗み見するのは不可能だ」と真っ向から反論している。さらに麻生太郎・総務大臣も会見で、「肝心のLASDECファイアーウオールが突破されていないじゃないか。住基ネットは安全だ」と断じた。
 長野県は「不正アクセス禁止法に抵触する可能性がある」と、LASDEC管理の中央サーバやファイアーウォールには侵入実験は行っていない。一方で、同法違反に問われる心配のない総務省とLASDEC側はファイアーウォールへの侵入実験を行い、「突破できなかった」と発表している。しかしだからといって、総務省の言葉が信用できるかどうかは何とも微妙だ。とはいえ、もし仮に突破できたとして、総務省が真実を発表するだろうか。
 結局のところ、住基ネットの安全性はまだよくわからないとしか言いようがない。総務省と反住基ネット陣営の間で、戦いはまだこれからも続いていくのである。

| | Comments (0) | TrackBack (0)

事件簿「日韓サイバー戦争の行方」(iNTERNET magazine 2004年2月)

 きっかけは、竹島切手の発行問題だった。
 日韓両国の間で領有権が長く争われている「竹島」。韓国では「独島」と呼ばれている。その竹島をデザインした切手約56万枚を、韓国の郵政事業本部が1月中旬に発行したことが騒動の発端となった。
 竹島は日韓両国の間で領有権が争われており、韓国が竹島の切手を発行することは、日本政府を刺激することになるのは火を見るより明らかだった。実際、日本の総務省はこの計画に対して以前から「万国郵便連合憲章の国際協力精神に違反する」と発行しないよう求めていたのである。しかし結果的に要請は無視されたかたちになり、この刺激的な行為に日本政府も反発し、川口外相が再度発行中止を韓国政府に求めたほか、10日には麻生総務相が閣僚懇談会で「日本も同種の切手を発行するなど、対抗措置を検討すべきだ」と発言。また福田官房長官も定例の記者会見で「韓国が自国の一部ということで切手を印刷するのであれば問題がある。説明を求めないといけない」とコメントした。
 この日本政府高官の相次ぐ発言に、最も強く反応したのが、韓国のインターネットユーザーだった。韓国のインターネットユーザーは「ネチズン(Netizen)」と呼ばれている。
 新年早々、小泉首相が靖国神社を参拝したことも彼らの怒りを倍加させていた。彼らは日本政府の対応に反発し、各掲示板などでは「日本政府に抗議しよう」などと言った書き込みが相次いだ。しかしこの段階では、まだ大きな騒ぎにはなっていない。
 日本に対する怒りが飽和状態になっていたこの状況に、一気に火をつけたのはdkbnewsというインターネットのニュースサイトに掲載された一本の記事だった。その記事は「韓国を嘲笑する日本のサイトにネチズンが怒る」と題し、インフォシークジャパンの無料ホームページサービス「isweb」上に昨年末に開設された「Kの国の方式」というウエブサイトを取り上げた。「Kの国の方式」は、韓国で撮影されたと見られる数多くの写真に、短いキャプションをつけて構成されたホームページである。説明は日本語で書かれており、開設者は日本人とみられている。そしてこのサイトの内容は、韓国のネチズンたちを強く刺激した。
 反発が大きかったのは、たとえば「Kの国の学校には、校庭もプールもないそうです」とキャプションが書かれ、校舎の屋上で体操をしている子どもたちの写真や、あるいは韓国の犬食文化の実態を撮影した写真の数々だった。dkbnewsは「韓国の掲示板などで集めた写真のうち、猟奇的なものや嫌悪をもたらすようなものばかりを集め、それを韓国の一般的な姿であるかのように表現している」「意図的に韓国を汚く不潔で礼儀のない人々の国であるかのように説明し、韓国に対する敵対的な感情をあらわにしている」と批判した。
 この報道に、韓国ネチズンたちの反日感情は一気に広がった。「dcinside」「enjoyjapan.naver.com」「jjang0u.net」などの掲示板で日本のウエブサイトへの攻撃が呼びかけられたのである。
 「攻撃」といっても、その手法は簡単だった。F5アタック――つまりターゲットとなるウエブサイトをブラウザに表示させ、F5キーをひたすら連打するのである。F5はリロードボタンであり、ウエブサーバに対して画面再読み込みの送信要求を送る。ごく当たり前の機能だが、多数のクライアントから一斉にページの再送信請求が送られ、サーバが想定している最大接続数を超えれば、過負荷状態となってダウンしてしまう。ウエブサーバを落とすことだけを目的にするのであれば、単純だが強力なDoS(サービス拒否)攻撃の典型的手法といえるだろう。
 韓国ではこのF5アタックを、日本のウエブサイトに対して波状的に行った。ターゲットとなったのは、日本の巨大匿名掲示板「2ちゃんねる」である。2ちゃんねるの「ハングル板」で韓国に対して敵対的な書き込みが行われていることが伝わり、10日朝からはハングル板へのF5アタックが集中的に行われる。実際にはキーボードのF5ボタンを連打するだけではなく、2ちゃんねるのウエブサーバに再送信要求を連続して送ってくれるツールが「方法2003」という名称で配布され、このツール経由でかなりの数のアタックが行われたとみられている。またスパムまがいのメールも、大量に2ちゃんねるのウエブマスター宛に送りつけられた。
 F5アタックは10日、ほぼ終日にわたって何度も続けられた。そのたびに2ちゃんねるは重くなり、一時はサーバダウン寸前までになったとみられる。2ちゃんねる管理人のひろゆき氏は、当日の状況を次のように証言している。
 「『韓国から攻撃が来るらしい』という書き込みがあったが、そうした予告はひんぱんに行われているので、あまり気にしなかった。だが実際に攻撃が加えられ、びっくりした」
 膨大な数の掲示板が24時間運営されている2ちゃんねるのサーバ群は、米国に置かれている。攻撃が加えられたのはこのうち、「ハングル板」「ニュース速報」の両掲示板、それにトップページが置かれていた計3台のサーバだった。
 10日夜から11日にかけて、韓国の各掲示板では「12日に最大規模の攻撃を行おう」といった呼びかけが行われた。だがこの間、2ちゃんねるサーバ管理者はダウンの危険性を回避させる作業を進めており、最終的に韓国発のIPをすべてシャットアウトさせる措置をとった。これによって危機的な状態は脱し、ダウンの危険性はなくなった。
 ひろゆき氏は「この措置によって、韓国側からは2ちゃんねるが見えなくなった。この状況を見て、韓国側では『2ちゃんねるを落とした』と言っていたのかもしれない」と話す。そして「2ちゃんねるのサーバは最大接続数が500程度に設定してあるが、攻撃が集中していた時期でもコネクションがすべて埋まっていないことがあった。それから判断すると、攻撃を加えていたのは多くて1000人程度、少ないときには100人ほどしかいなかったのではないか」と推測している。
 この間、韓国側では朝鮮日報をはじめとする有力紙が「韓日サイバー大戦が勃発」「サイバー壬辰倭乱』に発展」といったセンセーショナルな記事をリアルタイムで配信した。「壬辰倭乱」というのは、豊臣秀吉の朝鮮出兵のことである。一連の攻撃を戦争状態に比し、このような表現を使ったのだろう。
 だが日本側の反応を見ると、何らかの組織だったアクションが行われた形跡はほとんどない。ひろゆき氏は掲示板上で、次のように呼びかけた。
 「相手がどんなバカなことをしていても、同じレベルに落ちるほうがかっこわるいと思うです」
 「彼らは彼らなりの義憤でやっているのだと思いますが、程度の低い方法を取る人たちにレベルを合わせるのではなく、バカな行為でやり返したりしないことで、民度の高さを見せつける方法を取りませんか」
 「(日本人側が)F5を押して反撃だと考えていたら、それは頭の悪い行為だと思うです。少なくとも、彼らがサイトを攻撃をすることで意志を伝えようとした事実は、新聞に残っていますし、こういった細かい事実の積み重ねが、外交のカードの一助になれば、被害を受けた甲斐があったというものです」
 とはいえ、反撃がまったく行われなかったというわけではない。韓国を挑発するかのように「Kの国の方式」のミラーサイトが次から次へと作られ、また人気ドラマ「冬のソナタ」の俳優ペ・ヨンジュンのウエブサイトを攻撃するようなことも行われた。
 一方、韓国側も必ずしも組織だった戦争を展開していたというわけではない。リアルタイムで韓国の掲示板を観察していた日本人ネットユーザーは証言する。
 「特定の人物がリーダー的存在となって世論を喚起し、導いていったという状況ではない。誰かが『ここを攻撃しよう!』と叫ぶと、それに向かってみんなが走り出すという暴走に近い状態だったようだ」
 そして韓国側は12日の攻撃がピークで、後は徐々に終息に向かっていく。13日には組織だった攻撃が行われた形跡はほとんどない。
 一方で、攻撃を続けている韓国の掲示板サイトに対して何とか連絡を取ろうとする努力も行われた。そして2ちゃんねるの関係者のひとりが、攻撃サイトのひとつの「jjang0u.net」の管理者「Jim」と連絡を取り合うことに成功。このサイトが独自ドメインを所有しており、管理者の所在を突き止めやすかったからだ。Jimは20歳の男子大学生だったという。
 そしてこの関係者の仲介で13日夜、インスタントメッセンジャーを使ってひろゆき氏とJimの話し合いが行われた。やりとりは英語で行われたが、米国留学経験があり英語が流暢なひろゆき氏に対し、Jimは英語があまり得意ではなく、あまり突っ込んだ話し合いにはならなかったようだ。
 とはいえ「会談」は終始友好的だった。ひろゆき氏が続ける。
 「彼は自分たちのやっていることにあまり意味がないことはわかっていたようで、早く終息させるべきだと言っていた。最終的に揉めないようなかたちで終わらせられるように配慮したいというのが、お互いが納得した結論だった」
 ひろゆき氏の目には、Jimは若干怯えているようにも映ったという。「独自ドメインで開設していることで個人情報を特定される可能性もある。米シアトルにある2ちゃんねるのサーバ運営会社が韓国のサーバ会社に直接クレームをつけたこともあって、『自分だけが責任を取らされる』という不安を感じていたように見えた。『警察には告訴しませんよね?』といった意味のことを何度も言っていた」
 この会談の後、Jimはみずからの掲示板上で「2ちゃんねる攻撃はやめよう」と宣言。これに反発する一部ネチズンたちとの間で対立が生まれ、jjang0u.netのサイトがクラックされる騒ぎも起きた。だが別のサイトの管理人も2ちゃんねる攻撃の中止宣言を出し、急速に攻撃は終息に向かうことになる。
 韓国ネチズンたちの言う「サイバー大戦」は、うやむやのうちに終了したのである。

両国のメディアはどう報じたか

 韓国側の報道は、かなり扇情的だった。
 ウエブ版で日本語翻訳記事を読むことができる朝鮮日報。最初の記事は11日午後の配信で、「韓日ネチズンの『サイバー壬辰倭乱』が進行中」という見出しを掲げた。
 <独島問題をめぐり韓日両国の葛藤が深刻化しているなか、両国ネチズンの葛藤が相互誹謗など『サイバー壬辰倭乱(日本の豊臣秀吉が引き起こした戦争)』に発展している>
 サイバー壬辰倭乱という過激な表現は置いておくとしても、この段階では表現はまだ抑え気味だ。だがその日の夜に配信された「韓日ネチズンの『独島発』誹謗戦が激化」ではかなりセンセーショナルに変わっている。
 <両国のネチズンは各種の掲示板でお互いに対する誹謗の書き込みをし、激しく対立している。この対立は主なサイトを集中攻撃し、アクセス不可能な状態にするという攻防にも発展している>
 <サイバー壬辰倭乱を主導する韓国ネチズンは、主にデーシーインサイド、ネイバー日本情報同好会のエンジョイジャパン(enjoyjapan.naver.com)を本拠地にして行動を展開している>
 <日本のネチズンは現在まで積極的な反撃はしてはいない>
 <一時、韓国ネチズンの間は「日本のネチズンが11日午前4時から3カ所のサイトに0.1秒に1回ずつ攻撃するプログラムを準備した」という書き込みがあり、緊張感が漂った>
 まるで戦争報道である。砲弾が飛び交う最前線の一進一退を描いているかのようだ。
 “戦況”の報道はまだ続く。同紙はさらに翌12日昼、「韓国ネチズン『12日夜に日本サイトを大攻撃』」という見出しの記事を掲載。
 <サイバー壬辰倭乱が12日夜、クライマックスを迎える見通しだ>
 <今回のサイバーデモを主導している韓国ネチズンは、同日夜、2回にわたって日本のサイト「2CH」と「K国の方式」に対する大規模なサイバー攻撃を行う予定だ>
 <今回の韓日ネチズンの衝突の日本側本拠地とされる2CHは、今月10日と11日、韓国ネチズンから集中的な攻撃を受けた>
 そして一連の騒ぎが収束した後の14日、「韓中日、歴史めぐり『サイバー三国志』展開」という総括記事を掲載。歴史物が好きなお国柄なのだろうか。それにしても「サイバー三国志」という表現は日本人には馴染みにくい。この記事では、次のような表現もあった。
 <両国のネチズンはお互い舌戦を展開し、主要サイトを集中攻撃、サーバーを麻痺させ、その様相は「サイバー壬辰倭乱(日本の豊臣秀吉が引き起こした戦争)」に例えられている>
 このトーンは、朝鮮日報だけではなかった。別の有力紙、中央日報は11日の段階で「韓日『独島サイバー大戦』……相手サイトを攻撃」という記事を載せ、次のように記述している。
 <韓日ネット上で戦争が始まった。 日本の小泉純一郎首相の独島発言で始まった韓日間の感情の対立が、インターネットで両国ネチズンの「サイバー大戦」と化している>
 <両国間のサイバー戦争が24時間を超えさらに激しさを増すと、ネット上では各種の「檄文」も飛び交いはじめた。国内の各サイトとコミュニティなどでは、時間帯別に作戦状況報告と今後の対策などを論じる「ネット戦時司令部」が設けられた>
 <両国ネチズンは現在、インターネット掲示板で手の内を相手国に読まれないよう暗号化した文を書いたり、特殊文字やアルファベット、数字などを混ぜたいわゆる「外界語」を使って「戦闘指針」を伝えている>
 一方、日本のメディアは比較的穏やかなトーンだった。朝日新聞は「『竹島』めぐりネットで日韓中傷合戦、パンクのサイトも」という記事を12日に掲載し、
 <竹島をめぐる日韓の領有権問題がインターネット上の激しい攻防に発展、日韓の市民が差別的な言葉を投げつけあったり、日本の電子掲示板が韓国側からとみられる集中的なアクセスで一時的につながらなくなったりしている>
 また東京新聞は「竹島領有権問題 埋まらない溝」という記事を配信。
 <日韓の間に浮かぶ小さな島が、またしても外交の具になっている。領有権争いが続く竹島問題だ。今度は韓国側が記念切手を発行するという。日本側は抗議したものの、ほとんど無視といっていい姿勢だ。一方、韓国内は「わが領土」と熱く燃える。『竹独論争』をめぐる日韓の落差とは>
 と、「過熱する韓国――醒めた日本人」という落差に焦点を当てた。サンケイスポーツは、その中でもかなりセンセーショナルな記事を掲載している。これはサンスポの媒体としての性格と、朝鮮日報などの韓国メディア報道を孫引きした結果かもしれない。「日本のネチズン」など、国内では通常見られない用語を記事に使っているからだ。
 <韓国が領有権を主張する日本の領土「竹島」をめぐり、日韓のインターネット上でサイバー戦争が勃発した。きっかけは韓国で発行予定の竹島切手論争。韓国のネット利用者(ネチズン)が、韓国を侮辱したとして日本最大の掲示板サイト「2ちゃんねる」などをサイバー攻撃、一時ダウンさせた。日本のネチズンも報復しており、12日もバトルが続いている>
 報道の差異から見えてくるのは、両国の文化の差異だけではない。新聞やテレビなどのメディアにおける「インターネット」の存在感の違いも背景にあるように見える。日本におけるインターネットとそこで形成される世論が、あくまで「メーンストリートから遠く離れた一風変わった世界でのできごと」として扱われているのに対し、韓国ではネット社会がほぼストレートに現実社会とつながっている。
 韓国での一連の報道は日本人の目にはあまりに大げさで、浮世離れしているように見える。だが別の見方をすれば、インターネットのパワーが他の国には見られないかたちで突出している韓国――これらの記事からはその姿が、きわめて明瞭に浮き彫りになっているともいえるだろう。

| | Comments (269) | TrackBack (0)

「e-Japan2で激変する業界構造とビジネスチャンス 連載第5回 医療はどう変わるか(iNTERNET magazine 2004年2月)

 e-Japan戦略Ⅱの目的とは、つまるところIT化が進んでいない場所を、政府の支援で何とかIT化させようというプロジェクトに他ならない。たとえばそれは食品流通の現場だったり、映画やテレビなどのコンテンツ配信だったりするわけだ。
 そうした「非IT」的分野の中でも、今後の成長市場のひとつとして注目を集めているのが医療業界だ。
 日本の医療体制は、実は欧米各国と比べてもかなりきちんと整備されている。国民全員が加入できる国民健康保険制度と、どこのどんな病院でも自由に診察を受けられるという利便性を実現している国は、意外と少ないのだ。たとえばアメリカは健康保険に入っていない国民が非常に多く、高い薬と高い医療費に苦しめられている。健康保険に加入していても、健保組合の指定した病院でしか診察を受けられないことが多く、日本のように病気に応じて病院を変えるといったことはできない。アメリカ人が日本の健康保険の仕組みを聞くと、たいていはうらやましがるのだ。
 とはいえ、問題点はたくさんある。医師のアカウンタビリティ(説明責任)欠如や医療過誤の多発、適正な治療を受けるための情報不足など、数え上げればきりがない。
 しかしこうした問題点のいくつかは、IT化と構造改革によってある程度は解消できるのではないかと期待されている。
 ところがこの業界は、実は信じられないほどに古く硬直化した構造を持っているのだ。医療のさまざまな局面を、政府の規制政策ががんじがらめに縛り付けているからだ。医師の世界の封建的体質が、そうした構造に拍車をかけている。
 都内の大学病院に勤務する医師は、自嘲気味に語る。「病院の仕組みを抜本的に改革しようと思っても、幹部の発言権が非常に強いため、なかなか進まない。若手の医師の中には意欲を持っている人も少なくないが、東大医学部を頂点としたヒエラルキーの中で自由な発言はしにくいのが現状だ」
 本来ならこうした状況に突破口を開くのが、公立病院の役目だった。だが各自治体の経営する公立病院はどこも慢性的な赤字経営に陥っており、設備の老朽化と情報過疎の中でIT化もままならない。
 さらに、厚生労働省が導入を進めている包括医療が、病院の経営悪化に拍車をかけているという指摘もある。包括医療というのは、病名に応じて一括して医療費を支払うという仕組み。従来の健康保険制度がその場その場の投薬や治療に応じて保険点数が設定されていたのと異なり、病名別に医療費が決まっており、在院日数も制限されている。従来、さほど重くもない病状の患者を薬漬けにし、入院をできるだけ長引かせて保険点数を稼ぐような病院が少なくなかったことから、厚労省が導入を決定した。国にとっても重い負担となっている医療費を抑制する効果も期待されている。
 だが一方で、ぎりぎりの運営を強いられてきた病院がこの包括医療導入で、さらに経営が悪化する可能性も指摘されている。厚労省は2003年7月、高度先進医療施設の入院患者を対象に包括医療導入を決定したが、今後は中小規模の病院レベルにまで対象が拡大されていくことは間違いない。
 そんな中で、火急とはいえないIT化は後回しになってしまうのは当然だ。おまけに、医師のコンピュータリテラシーにも問題があると前出の都内の医師は言う。「たとえば病院にパソコンを導入するというごく簡単なことをとっても、中高年のコンピュータの知識レベルはとんでもなく低い。パソコンに抵抗がある人がいまだに少なくない」。
 もちろん、さまざまな試みは行われつつある。たとえばKDDIは、総務省の認可法人である通信・放送機構(TAO)と共同で病院同士が患者のカルテやレントゲン、MRIなどの画像をインターネットでやりとりする実証実験を来春から計画している。実証実験の舞台は北海道で、北海道大工学部や旭川医科大、病院などを結んで専用端末を置き、P2Pを使って端末同士でデータをやりとりするネットワークを構築するという。広帯域を使い、高画質の立体画像なども素早く送受信できる。
 また病院独自にカルテを電子化するところも現れてきている。カルテについては、今さら説明するまでもないだろう。医師が書き込む患者の診療記録だ。どのような病状があり、その所見に対してどのような治療を行ったのかを細かく記載する。継続的な治療には欠かせない資料だ。
 だがこのカルテは、通常は患者側には開示されない。また転院したり、退院した場合は死蔵されてしまい、転院先の病院が閲覧することもできない。完全にクローズドなデータなのである。
 電子カルテというのは、こうしたカルテの問題点を解消する切り札として考えられている。カルテを電子データ化してネットワークに乗せることで、他の病院や患者本人からもアクセスできるようにしようというわけだ。そうなれば、カルテの定義自体も変わってくる。医師の所見や検査結果、投与した薬だけでなく、薬剤師の記録や看護師のつけた記録、診察予約、診療費の請求明細書などをひとまとめにしておくことも可能だ。個人情報保護のセキュリティは保ちつつ、医師や看護師、薬剤師などその患者の治療に関わるすべての専門家が閲覧でき、そしてもちろん患者も見ることができる――そうなることが理想的と考えられている。
 電子カルテを導入することで、医療事故もある程度は防げるのではないかと考えられている。サーバで管理し、リード/ライトのログをきちんと残すことで、カルテが改ざんしにくくなるからだ。心理的障壁としては大きいだろう。
 さて、e-Japan戦略Ⅱの2003重点計画では、先導的取り組みの7分野のひとつとして医療を指定し、その具体的施策のひとつとして電子カルテを取り上げている。
 <患者本人の意志とセキュリティに十分配慮しつつ、必要に応じて患者医療情報を医療・保健機関間で連携できるようにするため、2005年までに、保健医療分野における認証基盤を開発・整備するとともに、速やかに電子カルテのネットワーク転送、外部保存を容認する>
 「電子カルテのネットワーク転送、外部保存を容認する」と書かれているのは、現状ではカルテなど患者の医療情報は病院の中にしか保存できないからだ。せっかくデジタルデータ化しても、カルテをデータセンターなどに保存することはできないのである。耐震性が高いとかセキュリティが保たれているとかインフラが整っているとか、データセンターのそういうメリットを言い募っても現状では通用しない。外に出るのは細い帯域しかなく、置く場所も診察室の片隅のパソコンというかなり悲惨な状況でカルテを保存するしかないのだ。
 この問題に関しては、重点計画にもあるように、厚労省が05年からの容認の方針を固めている。だが電子カルテの普及のハードルはそれだけではない。
 欧米では電子カルテは90年代半ばから普及を始めており、日本でも1995年に厚生省が研究をスタートさせた。決して出遅れていたわけではない。だが先にも挙げたように、医療費が抑制されているのにもかかわらず、ITシステムの導入には大きなコストがかかることや、コンピュータリテラシーの問題などが大きな障壁になってしまっているのだ。
 医療業界にシステムを販売しているITメーカーの社員が語る。「アメリカでは電子カルテに記入する専門の担当者がどこの病院にも置かれており、医師のリテラシーはさほどの問題にはならないと聞きます。ところが日本ではカルテは医師本人が記入しなければならないと決められていて、パソコンの操作に四苦八苦してしまう先生が少なくない」
 しかしこうした問題は、いずれも技術や手法によって対応可能なハードルとも言える。見方を変えれば、まだこれからいくらでも成長可能な市場といえるのではないだろうか。

 医療分野には、IT化することで解決する問題は少なくない。先に挙げた電子カルテによるアカウンタビリティの向上は、そのひとつ。ほかにもたとえば、病院をネットワーク化し、CT(コンピュータ断層撮影装置)や MRI(核磁気共鳴画像診断装置)などの高額医療機器を多くの病院で共有するモデルも好例となる。1台数千万円もするMRIを導入するのは、一般の病院では本当は現実的ではない。しかし日本の病院では、なぜかMRIやCTの普及率がきわめて高い。MRIとCTを合わせ、米国での導入台数が8000台代なのに対して、人口が4分の1の日本では約1万4000台も導入されているのである。これは病院が相互にMRIやCTを共有するシステムが存在しないためである。
 PET(陽電子放出断層撮影装置)など、数十億円もする巨大な撮影装置も普及しつつある。病院が独自に高価な装置を所有するモデルは、成り立たなくなりつつある。
 そんな中で、画像装置をインターネットで共有するというモデルを提案する医療ベンチャーも登場してきている。宇都宮市にある株式会社ドクターネットがそうだ。
 同社の代表取締役は、宇都宮セントラルクリニックの院長でもある放射線科専門医の佐藤俊彦医師。佐藤医師がこのビジネスに注目したのは1995年、アメリカのCDI(Center of Diagnostic Imaging:画像診断センター)を視察したのがきっかけだった。アメリカでは医療の分業化が進んでいる。一般の患者がまず診察に訪れる「ゲートキーパー」と呼ばれる医療機関があり、そこで緊急性を要するのか、あるいは慢性疾病の治療が必要なのかを診断され、それに応じた医療機関を紹介される仕組みだ。また各医療機関を横断するかたちで画像診断センターや日帰り手術センターなどが存在する。医療用の画像撮影はこうしたセンターが所有しており、各医療機関が共同で利用するという仕組みになっているのである。
 画像を読みとって診断する放射線科専門医は、たとえばRCG(Radiology Consulting Group)などのファームに所属し、画像診断センターに各病院からネット経由で送られてきたデータを処理する仕組みになっている。また医師不足を解消するため、たとえばインドの医師に時差を利用して画像診断を依頼するといった国際的遠隔診断サービスの企業も現れている。VirtualRadなどがそうだ。さらにこれらのサービスに対してインフラを提供する遠隔診断サービスプロバイダのemed technologiesなども登場してきている。画像の遠隔診断というシステムを中心に、さまざまなビジネスが立ち上がっているのだ。
 ドクターネットが実現しようとしているのは、アメリカと同じように画像の遠隔診断を中心とした包括的なサービスの提供という。現在は45人の放射線科専門医と提携しており、各地の病院から依頼されたCTやMRIの画像の読影を行っている。
 仕組みはわかりやすい。病院にパソコンとブロードバンド回線を導入してもらい、同社が開発したPACS(Picture Archiving and Communication System)と呼ばれる医療用画像管理システムを使ってMRIやCTの画像をファイリングする。パソコンの画面から画像を指定してドクターネットに送信すると、画像はドクターネットのサーバを経由して同社が提携している専門医に送信される。専門医は画像を読み、所見を書き加えて返信すると、同じ経路を通って画像と所見は病院に戻される。
 ドクターネットの今後の展開などについて、佐藤医師に聞いた。

――なぜこのようなビジネスが成り立つのでしょうか。
佐藤医師 どこの病院でもMRIやCTなどの装置は導入されているのですが、それを読影できる専門医は非常に少ないのです。国内には医師は約24万人もいますが、放射線科医は約4500人。認定読影専門医はたった2500人しかいません。専門医は大学病院などに所属し、あちこちの病院に自分の足で出向いてせっせと読影を行っているというのが現状なのです。
――効率はあまり良くなさそうですね。
佐藤医師 そうですね。だからこそ、インターネットで各病院を結んで画像データをやりとりし、専門医がいながらにして読影を行えるというメリットがあるわけです。
――インフラはどのようなものを使うのでしょうか。
佐藤医師 2004年からは、ソフトバンクと共同でYahoo!BBのADSLを使った読影サービスを開始する予定です。ドクターネットがインフラまでも担うということではなく、回線は通信キャリアにお任せし、マーケティングやコンサルタント、実際の診断の部分を弊社で展開していこうとしています。
――今後の目標は。
佐藤医師 専門医の数をもっと増やすことです。2年後には200人体制に持って行きたいと考えています。またインドの医師とも提携し、遠隔診断を依頼する話も進めています。最終的には、専門医のネットワークを駆使した24時間の医療体制を確立することが目標です。

| | Comments (1848) | TrackBack (0)

February 06, 2004

隘路にはまる日本の知的財産戦略(Computer World 2004年1月)

 日本経済の生命線ともいえる知的財産権を守っていこうという動きが、昨年から急激に活発になりつつある。
 「知財」とも呼ばれる知的財産権には、大きく分けて5つの分野がある。独自のテクノロジを保護する特許権と、その簡易版である実用新案権。アプリケーションソフトやゲーム、映画などを保護する著作権。それにデザインを保護する意匠権、商品名などを保護する商標権の5つだ。IT業界にとっては、特に特許権と著作権の持つ意味合いがきわめて大きい。これらをきちんと保護し、海外のガリバー企業と戦うための武器としていくことが、IT業界の生命線となるからだ。
 しかしこれまで、日本の産業界の知財の扱いには、数多くの問題があった。まず第一に、すぐれた知財に対してきちんと資金が流れ込む仕組みができていなかったこと。そして第2に、特許の申請に時間がかかりすぎ、ITベンチャーや小規模コンテンツ企業の成長の大きなハードルとなっていたこと。そして第3に、知財を管理して再利用するための枠組みが存在していなかったことである。
 だがここに来て、そうした状況は大きく変わろうとしている。昨年7月、政府がテクノロジやコンテンツの有効活用を通じて日本企業の国際競争力回復を目指そうという「知的財産推進計画」を決定。この中で、コンテンツなどの想像の推進や特許権などの保護の強化など今後政府が3年間かけて取り組む約250もの施策を盛り込んだのである。
 これをきっかけに、知財をめぐる状況はどう変わっていくのだろうか。これまでの問題点を洗い出しながら、一連の動きを追ってみた。

問題点①知的所有権にマネーが流れ込まない

 せっかくの特許を持っていても、資金が集まらないために事業化できず、宝の持ち腐れになっていたケースはベンチャー企業の場合では少なくなかった。従来、日本の銀行は融資の際、土地の担保や経営者の個人保証を求めるケースが圧倒的。本来は事業の収益性をきちんと審査し、その結果に基づいて融資を行うべきだが、銀行のこうした「担保偏重主義」が日本企業の技術力の足かせになってしまっていたという指摘は少なくない。技術者が身ひとつで開業し、すぐれたテクノロジやビジネスモデルで勝負しようとしても、これまでの日本では“門前払い”になってしまう可能性が大だったのだ。
 だがこの状況は、少しずつ変わりつつある。ITベンチャーの経営者の間に、直接金融に活路を求める動きが広がってきたからだ。
 直接金融というのは、事業の資金を株式や社債を通じて投資家に出資してもらうしくみのことを言う。銀行の融資を受ける間接金融と異なり、担保を求められることもなく、純粋に企業の成長性や収益力が問われる。土地や預金ではなく、どのような知的財産を持っているかが判断基準となるわけだ。
 その最先端を走っているのが、株式会社ジャパン・デジタル・コンテンツの進めているビジネスモデルである。同社は映画やゲームなどのデジタルコンテンツに投資するファンドを立ち上げ、コンテンツ産業に資金を誘導していく「東京マルチメディアファンド」という枠組みづくりを実現。さらには企業の持つ特許権を証券化し、この証券を投資家に販売して資金を得るという一風変わったシステムも立ち上げている。これは日本では初めての試みだ。
 同社は1996年に通産省(現・経済産業省)の肝いりで作られたマルチメディアコンテンツ流通研究会が主体となり、長銀(日本長期信用銀行)出身の土井宏文社長が、トヨタやNTTデータなどから出資を受けて98年に設立した。
 同社のコンテンツ制作支援ファンドの投資先は、これまで大手都市銀行などが見向きもしなかったような従業員20~30人程度の中小ベンチャーが中心になっている。中には有限会社も含まれている。2002年末、中小企業等投資事業有限責任組合契約に関する法律が改正され、ファンドが有限会社にも投資できるようになったからだ。
 投資はプロジェクトごとに行われ、資金や工程の管理に同社が積極的に関与する。著作権を買いとるのではなく、あくまで配当でリターンを得るというモデルになっている。同社のスタッフは映像や出版、ゲーム、ITなどデジタルコンテンツに関わる広範囲な業界から横断的に人材を集めており、こうしたスタッフたちが各プロジェクトのリスク評価やリターン評価を行う。この評価のスキルが、同社のビジネスの中核となっていると言ってもいいだろう。土井社長は、次のように語る。
 「われわれのリスク評価システムは、100以上に分類されたチェックリストがあり、トータルでリスクの総額を計算する仕組みになっている。その一方で、期待収益がどのぐらいあるのかというリターンの評価も行い、このリスクとリターンのふたつの評価をあわせて最終的な判断を行う」
 東京マルチメディアファンドは1998年に立ち上がったが、当初はリスクを高く評価しすぎ、配当も低くなってしまったという。だが5年の実績を重ねるうちに、評価システムもかなり練り上げられてきた。
 「工程管理も苦労している部分のひとつ。たとえばゲーム開発ではエンジン部分が遅れるケースが多く、チェックをきちんと最初に行い、マイルストンを事前に決めておく。そのマイルストンに遅れているかどうかを毎月報告してもらい、どうしてもダメなら予算をストップする措置をとる。リスクをそれ以上とれない場合は、そうするしかない」(土井社長)
 何かと遅れがちなソフトウエア開発だが、同社が出資先に求めるスケジュール管理はかなり厳しいと言えるだろう。土井社長は「できあがった作品のリスクや興業のリスクなども、すべて切り分けて計算する。複合的なリスクをどう判断するかが勝負の分かれ目となるが、データさえきちんとそろっていれば、リスクとリターンはある程度は推定できるのではないかと考えている。要は知的所有権という数値化しにくいものを数値にし、コンテンツ産業のような仕事をきちんとしたビジネスに衣替えさせようということだ」と強調する。ジャパン・デジタル・コンテンツの若手スタッフの中には、リスク・リターン評価を究極まで突き詰め、映画の興行成績予想システムを作り上げようという計画さえあるというから驚かされる。
 日本では知的所有権という概念がまだ確立して日が浅く、知財の貨幣価値についても確固とした基準が存在しないことが多い。特にその傾向が顕著なのが、コンテンツビジネスだ。アニメーションやゲームの制作において「いいものを作る」というお題目は語られるものの、実際には何らリスク評価も行われず、どれだけのリターンがあるのかを推測するすべさえなかった。ショービジネスが巨大産業となっている米国に対し、産業としての成熟度は比べようもない。しかも制作会社の規模が比較的小さいとなると、これまで資金が流れ込んでいかなかったのも当然といえば当然である。しかし日本のコンテンツ産業は13兆円市場ともいわれており、その潜在能力はきわめて高い。国内に確固とした消費基盤もあり、飛躍的な成長の可能性を十分に秘めているともいえる。
 ジャパン・デジタル・コンテンツのねらいは、そのコンテンツ業界に投資ファンドのドライな手法を持ち込み、リスクとリターンをはっきりさせることで投資家を納得させることで、資金を調達していこうというものだ。
 ジャパンデジタルコンテンツがとりあえず狙っているのは、ハリウッド型の巨大予算映画ではなく、数百万円規模のショートフィルム市場だ。制作費が比較的安価ですむ中短編
映画を数多くのクリエーターたちに作らせ、その中から商業的に成功が見込まれるものを売り出していこうと考えている。アマチュアフィルムからスタートし、口コミで評判が広がって、最終的に全米公開にまで達した米国映画「ブレアウイッチ・プロジェクト」などはその好例といえるだろう。
 土井社長は話す。「ブロードバンド化でインターネットが普及し、メディアが多チャンネルかしていく傾向にある。そうなれば従来のコンテンツ業界にあったテレビ局の支配構造が変わり、制作者の地位が相対的に上がっていく可能性は高い。儲かればいいというハリウッド型のコンテンツではなく、パワーを持った小さな制作会社が群雄割拠し、自分たちの可能性に賭けた新しい作品を作り出すような世界が生まれてくるのではないか。そうなれば、ずっと質の高いコンテンツが登場してくるはずだ」
 同社は、この枠組みをベンチャー企業の持つ特許権にも拡大し、さらに証券化することで投資を受けやすくするビジネスも立ち上げている。たとえば2003年4月には光学レンズ開発会社「スカラ」の持つデジタル顕微鏡の特許権4件を、特別目的会社(SPC)を通じて松下電器産業の子会社に移すスキームを実行している。この売却資金によってスカラは経営体質の改善を行い、一方、松下の側はデジタル家電にからむ貴重な技術を得ることになった。またジャパン・デジタル・コンテンツなど投資側はSPCの特許権収入を期待することができる。ベンチャー企業への投資ではなく、知財に直接投資することで、投資家の側はリスクとリターンが客観的に分析できるというメリットがあるわけだ。
 知財に投資するというこうした枠組みは、ジャパン・デジタル・コンテンツ以外にもさまざまなかたちで広がろうとしている。たとえば政府系銀行である日本政策投資銀行の取り組みも、そのひとつである。
 同行は金融自由化の波の中でこれまでの融資スタイルを見直し、特許権や著作権を担保に融資する新たなスタイルを打ち出しつつある。実はこの仕組みは新しいものではなく、1995年から新規事業育成融資という名称でベンチャーへの知的所有権融資が行われている。これまでの平均融資額は6000万円前後になるという。また同行はこの新規事業育成融資に加え、民間のベンチャー支援会社と共同で投資ファンドを設立し、直接金融によるITベンチャーへの資金供給もスタートさせている。

問題点②特許の認可に時間がかかりすぎる

 技術開発を支援するためには、申請された特許を素早く処理し、コンペティターなどに真似られるのを防ぐ必要がある。しかし日本の特許申請の手続きは、欧米諸国と比べるとかなり立ち遅れていると指摘されてきた。特許申請を経験したことのある技術系ITベンチャー企業の社長は憤る。
 「特許権申請の仕組みは一度聞いただけではまったくわからず、部外者には理解不可能な世界。特許をめぐって競合他社と紛争が起きた場合の調停処理ともなると、裁判所と特許庁のそれぞれの手続きがからんでわけがわからない。ごく一部の関係者以外、誰にも理解できないのではないか」
 申請と紛争処理の複雑さだけでなく、特許審査にかかる時間も尋常ではない。審査待ち時間は平均2年5カ月もかかっており、米国の1年4カ月を大きく上回る。ここ数年は特許申請が増え続けており、処理がさらに遅れつつある。審査待ち案件は50万件前後に上っている。10年後には、審査待ち時間は5年に達するという試算もあるほどだ。
 前出のベンチャー企業社長は「特許が認めれればビジネスを大展開できるとわかっていても、そこまで体力が続かない。2年半も待たされるぐらいなら、技術を大企業に売却した方がいいという判断も成り立ってしまう」と話す。
 実際、審査を待っている間にコンペティターに類似の特許を先に取られてしまったり、あるいは待ち時間の間に追加投資を行ったのにもかかわらず、最終的に特許が認められず、投資のかなりの部分がムダに終わってしまったというケースは少なくないとされる。申請しても、特許が認められるのは半数強しかないのである。
 こうした特許申請の遅れが、ITベンチャーの成長の壁になってしまっているということなのだろう。そして特許庁の試算によれば、こうしたムダは年間5兆6000億円にも上っているというのだ。
 こうした問題に対して、政府も手をこまねいていたわけではない。2003年7月に知的財産推進計画が策定されたのに合わせ、特許審査の迅速化も重要な項目のひとつとして盛り込まれたのである。もっとも、当初は「審査期間を半年にする」という具体的な期間を明示した画期的な内容にされるはずだったのが、「現在の審査官の数では不可能」「労働強化になる」と主張する特許庁の頑強な抵抗に遭い、期間の明示は削除されてしまっている。
 審査請求量を引き上げ、出願件数を減らすことで相対的に審査期間を短くしようという動きも、特許庁サイドから出ている。しかし産業界からは「審査請求の負担が増えるだけで、本末転倒の施策だ」という批判も出ている。

問題点③知的所有権を管理する枠組みの不在

 企業や個人が持っている知的所有権をどう管理し、それを再利用させるか。知財が有効活用されるためには、そうした枠組みがきちんと整備されなければならない。ところがそうした枠組みは各国ごとには整備されつつあるものの、グローバルなレベルでいえばかなり寒い状況にある。
 たとえば日本で提出した特許を海外でも認めてもらおうとすると、現状ではたいへんな手間がかかる。手続きには2種類ある。ひとつは、日本で出願した特許を1年以内に他国に出願すれば、優先権を認められて日本で出願した日と同じ日に出願したと認められる。もうひとつは、各国が結んでいる特許協力条約に基づき、複数の国にまとめて出願する方法だ。しかしいずれにせよ、各国別に出願の文章を翻訳し、国によってばらばらなフォーマットの申請書に記入しなければならない。たいへんな手間がかかる。
 こうした事情が障壁となって、知的所有権をグローバルに共有する仕組みはいまだにできあがっていない。世界共通の特許権の確立にはほど遠く、申請書のフォーマットの共通化が議論されているのが現状だ。
 知的所有権の管理システムに関して言えば、しかしもっと悲惨な状況にあるのは、日本のコンテンツビジネスにおける著作権管理だ。
 その代表的な存在として語られるのは、テレビの番組である。ブロードバンドの紺テンスビジネスでは日本をはるかに凌駕している韓国が、テレビ番組をインターネットでもサイマル放送(同一番組内容を異なる媒体で同時に放映すること)しているのに比べ、日本のテレビ局のウェブサイトを見ても、人気番組のストリーミング放送はほとんど行われていない。
 この理由は簡単だ。テレビ番組は出演者や監督、音楽家、演奏者などの著作権が複雑にからんでいて、そうした関係者の著作権の利用許諾を一元的に管理する組織やシステムが、現状ではいっさい存在していないからである。いったんテレビで放映した番組を別の媒体で再放送するためには、これらの著作権者たちから二時使用の許諾をもらわなければならない。だが著作権一元管理システムが存在しない現状では、ひとつの番組をネットで放映しようとするたびに、膨大な数の著作権者から個別にひとりひとり許諾を得なければならない。不可能ではないが、現実的ではない。
 こうした状況を放置していては、ブロードバンドによる多チャンネル時代の中で、コンテンツビジネスの衰退を招きかねないのは明らかだ。
 政府は2003年7月、国のIT戦略をまとめた「e-Japan戦略Ⅱ」を決定している。ブロードバンドの普及などインフラ整備に重点が置かれていた「戦略Ⅰ」に対し、インターネットの利用・活用にポイントを置いた戦略Ⅱでは、コンテンツの著作権問題も大きく扱われ、次のように明記されている。
 「コンテンツについて総合的な取り組みを推進し、我が国の知的財産を利用した新たな価値を創造することで、コンテンツ産業等の国際競争力の向上を図るとともに、海外における日本文化への理解を向上させる。この一環として、2003年中に民間放送用コンテンツにつき、2008 年までに全ての放送用コンテンツにつき、放送事業者や番組制作会社等の放送用コンテンツの権利主体が希望すれば、ネット配信を可能にする環境整備を行う」
 だが現状では、テレビや映画などの古いコンテンツ業界は相変わらずITとの親和性が低く、ITを使った著作権管理システム普及に向けての足かせとなっている。
 あるテレビ番組制作会社社員は、こう打ち明けるのだ。
 「番組制作に携わっている企業は多くが中小・零細で、中には個人事業者もいる。経理・総務担当の女性がひとりいるだけ、というケースもあり、使用許諾も『電話一本による口約束』というのが商慣行だ。インターネットでの二次使用どころか、最初の契約書さえ交わしていないのが大半」
 そんな中で、この古い業界で何とか著作権管理の枠組みを作っていこうという動きも出始めている。たとえば経済産業省系の財団法人「デジタルコンテンツ協会」は、現在電話やファクスで行われている著作権の許諾の手続きについて、フローを変えずに通信手段だけをIT化するという手法を提案している。
 同協会の木村勇・コンテンツコマース推進室長は、「テレビ番組などのコンテンツをインターネットで放送しようとすると、許諾の手続きがたいへんな数になる。伝票をやりとりする担当者たちの事務作業もものすごい量になってしまい、現実的ではない。さらに電話で口頭で許諾するなどの方法を採っていると、どうしても連絡ミスなどが生じる可能性がある。数が増えれば、人間の処理能力の限界を超えてしまうことになる」と説明する。
 そこで同協会は、著作権利用許諾の伝票をオンライン化することだけを考えた。まず最初のステップとして、日本音楽著作権協会(JASRAC)や日本レコード協会、日本シナリオ作家協会など著作権を持っている関係団体にヒヤリングし、どのような方法が最適かを検討。そのたたき台をもとにして、情報処理振興事業協会(IPA)とともに実用的なシステムの開発を進めた。
 ヒヤリングによって判明したのは、IT業界の人間には思いもつかないテレビ特有の業界事情だった。タレントや歌手、作曲家などの著作権二次使用料は、多くが二重価格になっており、どのような媒体に売るのかによって価格が異なっている。そしてその実際の価格を部外者に知られるのを、著作権ホルダーたちは極度に恐れているというのである。「あの番組に○円で売っているのがばれたら、他の番組に高値で売れなくなる」「昔からの縁なので、特別にダンピングしているケースもある」など、人間関係が重視される古い業界らしい商慣行がまかり通っているのだ。
 デジタルコンテンツ協会では当初、使用料金などの明細も含む著作権の許諾伝票データを中央サーバで一括管理するシステムを考えていた。データのセキュリティやコスト、使い勝手などを考えれば当然のプランだろう。だがこの仕組みに対し、著作権ホルダーたちからはたいへんな反発が巻き起こったのである。「著作権の利用料金の数字をサーバに残したりして、もし公になったらたいへんなことになる」「サーバには数字は保存しないでほしい」というのが多くの関係者の意向だった。
 同協会はIPAと相談し、最終的に考えついたのが、データはすべてピアでやりとりし、中央サーバは中継だけに使うというハイブリッドP2Pの仕組みだった。
 またこのシステムは、簡易版と高機能版の2本立てで構築されている。簡易版は帳票のCSVデータをメールに添付し、担当者同士でやりとりするというごく簡単な方式になっている。これに対し、IPAが開発した高機能版はXMLで組まれ、著作権許諾取引のメタデータがきちんと体系化されている。この高機能版は将来、著作権管理システムが中央管理される時代をにらんで作られたもので、メタデータはXMLコンソーシアムに提出され、標準化の勧告を受けている。協会ではこの高機能版をベースにした著作権管理システムを、放送局や映画配給会社などの大手コンテンツホルダーがASPとして構築し、中小・個人事業主ベースの著作権者たちに利用してもらう仕組みを想定している。
 デジタルコンテンツ協会としてのプロジェクトはすでに完了しており、システムは現在、委託元の経済産業省が所有している。同省は今後、システムをオープンソース化して公開し、さまざまな著作権ホルダーや配信会社に利用してもらうための基盤作りを進めていく予定だ。
 ソフトウエア業界では、アプリケーションを中心に日本は対米輸出入で圧倒的な輸入超過を続けてきている。Microsoft Officeをはじめとする米国製ソフトの寡占状態を見れば、それは明らかだろう。しかしその中で、アニメーションや映画などのコンテンツについては今後、巨大な輸出産業となる可能性を十分に秘めているといえる。政府の知的財産戦略においても、コンテンツ支援の占める割合は少なくない。その中でどのようにして著作権を管理していくかは、非常に重要な問題となりつつある。

| | Comments (24) | TrackBack (0)

変わりゆく企業のセキュリティ(Computer World 2004年2月)

 かつて「セキュリティが脆弱な国」とさんざん非難されてきた日本企業は、ネットワークの整備が進んだ2000年ごろから、急速にセキュリティポリシーの策定やファイアーウォールの導入などを進めるようになった。セキュリティポリシーの策定率だけを見れば、世界のトップレベルへと入るようになったのである。2003年に1月にウイルス「SQL Slammer」が韓国で大流行し、基幹網がダウンして「インターネット大乱」と呼ばれたほどの騒ぎになったのに対し、総務省あたりでは日本でほとんど感染がなかったことをとらえて「日本はセキュリティの意識が高い」「日本企業のセキュリティレベルはきわめて高度だ」と自画自賛する向きもあった。
 ところがこうした“幻想”は、瞬く間に崩壊してしまった。特にSQL Slammer騒動から半年後の昨年夏、世界各地に蔓延したウイルス「MSBlast」のインパクトは大きかった。日本国内でも被害を大きく拡大し、日本の組織のセキュリティの脆弱さを露呈してしまったのである。公になっているだけでも、たとえば日本郵政公社や大阪府庁、山口県庁、松本市役所などでは一時業務がストップし、各地のケーブルテレビやインターネットプロバイダにも広範囲に被害が広がった。世田谷区役所では住基ネットへの感染を恐れ、庁内LANが一時閉鎖される事態にまで陥った。
 MSBlastが感染を広げた理由はいくつかある。MSBlastは「MS03-026」というWindowsの脆弱性を突いて侵入するのだが、この脆弱性がマイクロソフトから公表されたのは、ウイルスが出現したわずか1カ月前。修正パッチをまだあてていない企業が多く存在していたとみられる。これに加え、MSBlastの感染経路の多くは「内部感染」だった。ファイアーウォールを突破してインターネットから侵入するのではなく、家庭などで感染してしまったノートパソコンが社内に持ち込まれ、マシンを社内LANに接続することで感染を広げてしまったケースが数多く報告されたのである。
 侵入・感染といった外部からの攻撃は、必ずしもインターネットから正面切って行われるわけではない。だが日本企業のセキュリティポリシーは、こうした“搦め手”の攻撃に対応し切れていない。その実態が、MSBlastによってはからずしも明るみに出てしまったのである。
 セキュリティ対策で知られるラックの取締役本部長、西本逸郎氏は「セキュリティに対するマネジメントが欠如しているのが、最大の問題だ。形骸化してしまったセキュリティポリシーは、無駄なだけではなく逆に企業のセキュリティ対策の足を引っ張り、害になってしまう」と指摘する。
 またセキュリティアナリストの古川泰弘氏によると、こうした攻撃の多様化は実は1998年ごろから始まっていたのだという。だが具体的な社会問題となって表面化してきたのは、つい最近になってからだ。このタイムラグが徒となり、企業の抜本的対策が遅れてしまう結果にもつながった。古川氏は話す。
 「90年代末になり、個人がインターネットを利用するようになり、海外のセキュリティ情報を容易に入手できるようになった。その一方で、政府や企業はインターネットには接続してはいるものの、ウイルス対策やファイアーウォールの導入方針もばらばらで、法整備も遅れていた。不正アクセスを試すには絶好の状況で、この隙を狙うかたちで攻撃する側は手法を高度化、多様化させていったという背景がある」
 表に攻撃手法が、どのように多様化していったのかを示そう。
 いずれにせよ、現状では日本のセキュリティはあちこちに綻びが起きていると言っても間違いではない。しかしメディアではこうした被害はほとんど報告はされていない。そこを取って「企業のリスクを大声で言いつのるのは、セキュリティ業界の売り込み文句ではないか」といった指摘も起きている。だが日本企業の場合、歴史的に社内の事件や不祥事については、過剰なほどに明るみに出したがらないという風土がある。ラックの西本氏は、「MSBlastは全企業の20%が被害を受けたとされているが、実はもっと多いのではないかと見ている。被害を隠す企業が多いため、このような低い数字になっているのではないか。MSBlastのようなウイルス被害でさえも秘匿されているのだから、不正アクセスなどがきちんと公表されるはずがない」と指摘する。
 「ハインリッヒの法則」という言葉がある。労働災害の発生確率を説明する際に使われる言葉で、1件の重大な災害の裏には29件のケガを伴う災害があり、そしてその背後には、事故には至らないが「ヒヤリ」とするレベルの経験が300件は起きている、というものだ。この法則は、企業セキュリティにも当てはまるのではないだろうか。1件のセキュリティインシデントの背景には、たぶん300件もの「ヒヤリ」が存在しているのである。
 では、こうしたリスクの多様化・高度化にはどのように対応すればいいのだろうか。アナリストの古川氏は、日本のセキュリティ対策の不備についてこう説明する。
 「日本の企業や役所には、インシデントマネジメントと業務継続管理の視点が欠落している。ネットワーク社会では組織内だけでなく、組織外との連携が求められるが、その点がまだ不十分。米国では裁判に備え、証拠保全を意識したサーバーフォレンジックの分野にまで踏み込んできている。また業務継続管理は、企業活動を維持するために経営者の視点で作られる管理手法だが、業務を分析し、優先すべき業務を考慮した計画の作成や教育・訓練まで行っている会社は少数派にとどまっている」
 そしてセキュリティ対策としては少なくとも、情報セキュリティマネジメントシステム(ISMS)の適合性評価を利用し、ISMS認証を取得することを勧めている。ISMSとは、ウイルスや不正アクセスなど個別の技術対策だけでなく、組織のマネジメントの一環としてリスク評価を行い、必要なセキュリティレベルを決定してシステムを運用することを指す。数年前に策定した旧来のセキュリティポリシーを放置しているだけでは、RFID(電子ICタグ)や無線LANなどの新技術にかかわる脆弱性や、個人情報漏洩や風評被害といったあらたなリスクのパラダイムには対応できない。
 ラックの西村氏は、セキュリティのフェーズを5段階に分けて考えることを勧めている。その内容を図に示そう。
 いま重要となりつつあるのは、後段の「検知」と「回復」という2フェーズ。これらがインシデントレスポンスである。インシデントの防御だけではなく、インシデントが発生してしまった場合にどう対応し、被害を最小限に防ぐことができるか。また発生した被害からの教訓を、今後の対策にどう生かすことができるか。リスクが決してゼロにはならない以上、リスクをきちんとマネジメントすることが求められている。そしてそれは単なるシステムのセキュリティではなく、企業の「危機管理」の枠組みに入ってくることになる。
 西村氏は話す。
 「何か脆弱性が発見されるたび、修正パッチの配布システムを作ったり、ワーム防御プログラムを導入すればすむという問題ではない。根幹にきちんと企業防衛を考えるべきだ。たとえば他社で個人情報漏洩事件が起きた場合、それが自社で発生したらどういう影響が起きるのかといったシミュレーションを日々重ねていく必要がある」
 雪印乳業事件を思い出せばわかる通り、リスクに対するマネジメントが欠如していたため、企業生命が危機にさらされたケースは、過去の歴史を見れば枚挙にいとまがない。今やセキュリティマネジメントは、企業の経営の根幹のひとつとなりつつあるのである。
 以下、新たな企業のリスクの数々を、紹介しよう。これらを一望すれば、新たなセキュリティポリシーとインシデントマネジメントを確立することが、いかに危急であるかがわかっていただけるはずだ。

■スパイウエア

 スパイウエアというのは、ユーザーが気づかないうちに特定のプログラムがクライアントマシンにインストールされ、ハードディスク内のデータやキーボードのタイプ履歴などをこっそりと外部に送出するプログラムのことを言う。
 スパイウエアがからんだ事件としては、米国連邦捜査局(FBI)によるマフィアの幹部の逮捕劇が知られている。ニコデモ・スカルフォという名前のこの幹部は、マフィア組織内でのメールのやりとりに公開鍵方式の暗号であるPGP(Pretty Good Privacy)を使い、捜査当局の監視の目を逃れようとしていた。実際、FBIはスカルフォ容疑者のアジトのインターネットトラフィックをすべて細くしていたのにも関わらず、その送受信内容を解読できないでいたのだ。
 このため、当時「マジックランタン」というコードネームで呼ばれていたプログラム開発プロジェクトの実戦投入が計画された。マジックランタンはキーロガー(Key Logger)の一種である。インストールされたマシンのキータイプをすべて保存し、ネット経由でFBIのサーバに送信してしまうのだ。この当時のマジックランタンはまだ開発途上だったため、ネット経由での侵入・感染という方法は採られず、かわりにFBIの捜査官がスカルフォ容疑者のアジトにこっそり侵入し、フロッピーディスク経由でマシンにインストールしたという。そして何も知らずにアジトに戻ってきたスカルフォ容疑者はメールを送信するために、PGPのパスフレーズをタイプ。このタイプ履歴がFBIに送信され、FBI側はメールの全文を解読することに成功。スカルフォ容疑者の逮捕へとこぎ着けることができたのである。
 完成版のマジックランタンはWindowsなどの一般的な脆弱性を利用し、友人や家族からのメールに偽装し、ターゲットのマシンに感染させることができるのだという。
 この事件では、スパイウエアを駆使したのは捜査当局の側だった。しかしこうしたプログラムの開発自体はそう難しいことではない。実際、フリーウエアで利用できるキーロガープログラムなどはインターネットで検索すれば、いくらでも見つけることができる。同種のプログラムが悪意のある第三者によって使われ、産業スパイなどに利用される可能性は否定できない。
 実際、キーロガーは日本でも犯罪に利用されている。2002年9月、外資系銀行を舞台に起きた「スパイウエア預金引き出し事件」がそうだ。この事件の被害者である転職支援サイト運営者の男性は、事件を振り返ってこう話す。
 「ある人突然、銀行から『振り込み完了』の自動応答メールが送られてきた。まったく身に覚えのない話なのでネットバンキングにログインしてみると、1640万円あったはずの預金がすべて消えていたんです」
 預金は、他行の口座あてにすべて振り込まれていたのである。警察のは仮名口座などを手がかりに捜査し、約半年後に大手金融機関系列のシンクタンク社員ら2人を不正アクセス禁止法違反、電子計算機使用詐欺、窃盗の各容疑で逮捕する。そして判明したのは、容疑者らは渋谷のインターネットカフェにキーロガーを仕掛け、利用者のタイプを片っ端から保存していたのである。そして被害者の男性も一度だけ、このネットカフェでネットバンキングを利用したことがあった。このときにIDとパスワードが盗まれていたのだ。ネットカフェなどでは悪用防止のためにCD-ROMドライブやフロッピーディスクドライブなどを使えないようにしているところも多いが、容疑者はウエブ経由で利用できるインターネットストレージからキーロガープログラムをダウンロードしてこっそりインストール。数週間後にネットカフェに再度出向き、保存されていたキーロガーのログを自分のウエブメールアドレス宛に送信し、今度は別のネットカフェで受信してログを解析。その場でネットバンキングにアクセスし、預金を送金する手続きをとっていたという。
 この容疑者はプログラマーでもシステム管理者でもなく、技術的レベルはきわめて低かったという。手口については「書店でパソコン雑誌を立ち読みしていて、手口を思いついた」と供述しているというのだ。このレベルで実行可能な犯罪なのである。
 社内の機密文書の扱いをどれだけ厳重にしようとも、その文書の作成者がタイプした文字をキーロガーでこっそり盗まれてしまえば、どうなるだろうか。役員など社内のキーマンのクライアントマシンにこっそりこの種のプログラムを潜ませておけば、この人物のメールでのやりとりや非公開掲示板などでの発言、作成した文書などの内容がすべて暴かれてしまうことになる。
 キーロガーは、ファイアーウォールでは防ぐことはできない。セキュリティ問題に詳しいアナリストの古川泰弘氏は、「一般的なウイルス対策ソフトでも一部のキーロガーを検知できるが、完全ではなく、きちんとした対策を採るにはホスト型の侵入検知ソフト(IDS)が必要。またタイピングの信号を暗号化させてパソコンに送ることができる専用キーボードを使えば、キーロガーで記録されても内容はわからない」と対策を話す。だが日本国内では、キーロガー対策を採っている企業はまだ少ないだろう。

■スパム

 ただの迷惑メールだと思ってはいけない。スパムの氾濫は、企業活動にとって今やたいへんな驚異となりつつあるのである。英語圏でその暴走ぶりは特に顕著だ。アンチスパム対策企業である米ブライトメールの統計によれば、2004年1月に同社のProbe Networkというサービスでフィルタリングされたメール約850億通のうち、スパムは510億通にも上った。全メールの約60%に達しているという計算になる。同社は、この数字が年内に80%近くにまで達するとみている。また昨年、全米で費やされたスパム対策費用は100億ドル(約1兆2000億円)に達しているという試算もある。地下経済とでもいうべきスパムに、インターネットが呑み込まれようとしているといっても過言ではない。
 おまけにこのスパムという存在は、発信する側にとってはまことに都合の良いビジネスなのだ。「スパム送信」というビジネスを立ち上げる際に必要な初期導入コスト、運用コストを考えてみよう。
 必要なのは、送信先のメールアドレスとスパムを送出するためのメールクライアント、メールサーバ、それに通信回線の3つである。メールアドレスについては、名簿業者などからCD-Rに入った名簿を購入する場合もあるが、最近ではウエブや掲示板からメールアドレスを自動収集してくれるソフトを使う場合が多い。また“スパム先進国”の米国では、DHA(Directory Harvest Attack)という新たな手口も使われている。これは特定のドメインに対して、適当なアドレスのメールを大量に送りつけるというものだ。たとえばxxxx.co.jpというドメインに対して、jim@xxxx.co.jpやtaro@xxxx.co.jpといったアドレスを予想し、スパムを送るのだ。このうちエラーが帰ってきた場合はデータベースから取り除き、反応がなかった場合に限ってインデックスに加えていく。メールサーバがエラーを返さないようにすれば対応できるものの、対策をとっていない企業も多い。おまけにこの手口は、大量のエラーメールが期せずして送信元のメールサーバへのDoS攻撃になってしまうという厄介な副産物も生み出す。
 いずれにせよ、こうしたアプリケーションはあちこちで開発されており、シェアウエアとして流通している。安価なものでは数千円程度から手に入る。
 そして第2に、メールクライアント。スパム専用のそれも、アングラ界では無数に流通している。たとえば2003年6月に茨城県警が摘発した「架空請求メール事件」のケースでは、大量に送付されたメールのどれにも、ヘッダに以下のような記述があった。

Received: from BAGGIO X-Library: Indy 8.0.22

 送信側は、BAGGIOという文字列を送り出すメールクライアントを使っていた。Indyというのはオープンソースのインターネットコンポーネントなので、Indyを使って開発されたスパムソフトなのだろうか。逮捕された27歳の無職男がどこからこのソフトを手に入れたのかはわからないが、警察の聴取には「逮捕されるまでの4カ月間に、計110万通のメールを送った」と供述しているという。
 メールサーバについては、自前でメールサーバを立てている例もあるが、多くは無料の海外サーバを経由する方法を採っているようだ。後はADSL回線でもあれば、簡単にスパムを送出してしまえる。アンチスパムを生業にしている専門家に聞いてみると、「上り速度1MbpsのADSL回線が1本あれば、1日数十万通のメールを送り出すことができる」という。
 いずれにせよ、初期導入コストはすべて合わせても数万円程度。ランニングコストに至っては、ADSLの料金だけという安易さである。給料の安い若い会社員が副業として自宅のワンルームマンションで始められる、というレベルの話だ。
 もちろん、スパムに対して反応してくる受信者はめったにいない。専門家は「100万通送っても、反応があるのは数十通程度。回収率は0.001%ぐらいだろうか。だが原価がきわめて安いため、この程度でもビジネスとして成り立ってしまう」。数日かけて数百万人にメールを送り、その結果、数人が出会い系サイトを利用したり、怪しげな商品を購入してくれれば、それだけで数万円程度の収入が期待できる。一方で人件費はほとんどかからず、運用コストも低い――つまり損益分岐点のきわめて低いビジネスといえるのである。
 一方で、この安易にまき散らされているスパムが企業活動に与える影響は、きわめて大きい。まず第1に、膨大な数のスパムを日々、削除し続けるために消費されるリソース。このために新たな人員を投入したり、あるいは高価なスパム対策ソフトやシステムを導入しなければならない。またスパムの中に重要なメッセージが紛れ込んでしまい、日々の活動に支障が出る場合も少なくないだろう。
 第2に、ウイルスはスパムと結びつき、たいへんな被害になってしまうケースが増えている。第3に、氾濫するメールサーバのリソースを食い荒らしている。このために企業は以前よりもていねいにメール関連のシステム管理を行わなければならなくなり、コスト押し上げのひとつの要因にもなっている。
 日本国内においては、まだスパムの氾濫は目立ったほどではない。だが海外からのスパム流入が目立ち始めているのと同時に、国内のスパム業者も大規模化し、大量の迷惑メールをまき散らすケースもちらほらと見受けられるようになっている。今後、国内でもスパム被害が深刻化していく可能性は高い。

■サイバーデモ

 2003年はじめ、インターネットの巨大匿名掲示板「2ちゃんねる」でたいへんな騒動が起きた。韓国のインターネットユーザーが大挙し、「F5アタック」と呼ばれる手法で2ちゃんねるに攻撃を加えたのである。
 「攻撃」といっても、その内容はごく簡単なものだ。Internet ExplorerではF5はリロード(画面再読込)に割り当てられている。このF5ボタンを連打することで、クライアントマシンはウエブサーバに対してひたすら画面の送信要求を送り続ける。多数のクライアントから送信要求がやってこればサーバが想定している最大接続数を超えてしまい、過負荷状態となってアクセス不能に落ちいっってしまうのである。何とも原始的な手法だが、単純かつ強力なDoS(サービス拒否)攻撃といえるだろう。
 この事件のきっかけは、「竹島切手」だった。竹島は韓国名を独島といい、日韓で長く領有権が争われている。竹島をデザインした切手約56万枚を、韓国の郵政事業本部が1月中旬に発行し、これが日本政府をいたく刺激した。麻生総務相や川口外相、安部官房長官らが相次いで不快の念を表し、韓国政府を批判したのである。
 これに強く反発したのが、韓国のインターネットユーザーだった。おまけに同時期、竹島とは無関係と見られる日本人が「Kの国の方式」と名付けたウエブサイトをインフォシーク・ジャパンの無料ホームページ上に開き、韓国の写真を面白おかしく紹介。これが火をつけるかたちとなり、怒りの炎はあっという間に広がった。攻撃の火の手は、2ちゃんねるの韓国・朝鮮関連掲示板「ハングル板」にも飛び火し、この掲示板に対する攻撃が韓国の多くの掲示板で呼びかけられたのだ。
 攻撃は1月10~12日にかけて断続的に行われ、2ちゃんねるは一時ダウン寸前までいったとみられている。だが2ちゃんねるの管理者らは、.krドメインからのアクセスを遮断する方法で対応し、最終的には大きな影響は受けなかった。
 日本では大きくは報じられなかったが、この攻撃の間、韓国ではメディアも巻き込んだ大きな騒ぎとなった。朝鮮日報をはじめとする有力紙は「韓日サイバー大戦が勃発」「サイバー壬辰倭乱』に発展」といったセンセーショナルな記事をリアルタイムで配信したのである。「壬辰倭乱」というのは豊臣秀吉の朝鮮出兵のことで、この中世の戦争に匹敵する戦いだったというのだ。もっとも、日本側からは大きな反撃が行われた形跡はない。
 ここ数年、世界各国で政治的行動をこうしたインターネット上の攻撃へと結びつける動きが加速化している。たとえばインドやパキスタン、中東などの紛争地域でその動きは顕著だ。これらの国ではこうした行動に走る人を「ハクティビスト」と呼んでいる。ハクティビストというのは、ハッカーとアクティビスト(活動家)の合成語。ウエブを改ざんし、政治的なメッセージをに書き換えるなどの攻撃によって政治的主張を行っているグループを指す。
 この動きは東アジア一帯でも過激になりつつある。古くは2000年初頭、南京大虐殺に抗議して中国人と見られるハクティビストたちが、運輸省(現国土交通省)や文部省(現文部科学省)などのウエブサイトを改ざんした事件もあった。そして今回のような、F5アタックに多くの人が参加し、ターゲットとなるウエブをアクセス不能に陥れる行動はサイバーデモなどと呼ばれている。高度に技術化された専門家が行うサイバーテロと異なり、ごく簡単な手法を使われることが多いからだ。また実行者が、インターネット掲示板などで呼びかけられた不特定多数の群衆であるのも大きな特徴だ。
 今回は韓国のサイバーデモの標的となってしまった2ちゃんねるだが、過去には2ちゃんねるのユーザーたちが集結してサイバーデモを行ったこともある。WinMXやWinnyなどを使った違法なファイル交換の排除を進めている財団法人・コンピュータソフトウエア著作権協会(ACCS)に対して2002年4月、2ちゃんねるのユーザーたちが「聖戦」と称してF5アタックを仕掛けたのだ。この攻撃に耐えきれず、ACCSのウエブサーバは10時間にわたってアクセス不能となった。
 こうした事件は、今後も頻発してくる可能性があるだろう。日本企業がサイバーデモの標的になる可能性は、決してゼロではない。

■風評被害

 インターネット上では、さまざまな情報が24時間、休むことなしに流れ続けている。そしてネットの情報によって引き起こされるもっとも大きなリスクは、自社の良くない風評が書き込まれることによって名誉が毀損され、ひいては株価の下落や信用の低下などにつながってしまうことである。
 その最も端的な例は、2003年12月に起きた佐賀銀行のケースだろう。この事件は、次のような1通のメールが起爆剤となって始まった。

>緊急事態発生
緊急ニュースです!某友人からの情報によると26日に佐賀銀行がつぶれるそうです!
預けている人は明日中に全額おろすことをお勧めします。
信じるか信じないかは自由ですが、不安なので明日全額おろすつもりです!
以上緊急ニュースでした。

 このメールが携帯電話経由で何通かばらまかれ、それがやがてチェーンメールとなって佐賀県内に爆発的に拡大していったのである。メールを見た人はあわてて親せきや友人、知人らにメールを再送信したり、電話で連絡を取ったりした。「知ってる? 佐賀銀行がつぶれるんだって」「明日には預金がおろせなくなるらしいよ」といったたぐいの会話が佐賀県内で無数に交わされ、メールが最初に発信されたその日の夕方には、佐賀銀行の本支店前に預金者が列を作る騒ぎへと発展したのだ。本店のATMには約300人もの列ができ、列の長さは100メートルにもなったという。佐賀銀行は県内外210カ所にあるATMの取り扱い終了時間を通常の午後9時から午後10時半にまで延長し、必死で対応を続けたが、この日1日で佐賀銀行から引き出された預金は180億円にも上ったという。各支店からは「預金が足りない」という連絡が本店に殺到し、一部のATMは現金不足で休止してしまった。これがさらにパニックを倍加する結果となった。
 佐賀銀行はメールの発信者を被疑者不詳のまま警察に告訴したが、佐賀県警は約2カ月後、佐賀県内の20歳代の女性を突き止め、信用毀損容疑で書類送検した。女性は友人から電話で「佐賀銀行が12月26日につぶれるらしい」と聞いて信じ、他の友人ら26人にメールを送ったという。ここからチェーンメールがスタートし、最終的にたいへんな取りつけ騒ぎを引き起こしてしまったのだ。
 こうした風評被害は、ここ数年、恐ろしい勢いで増えている。2001年秋には、日本生命に対する中傷が2ちゃんねるに書き込まれる事件が起き、同社は書き込み削除を求める仮処分申請を東京地裁に行っている。また2002年には、東京都内の動物病院が2ちゃんねるで「過剰診療、誤診、詐欺、知ったかぶり」「ヤブ医者」などと中傷され、2ちゃんねる側に400万円の損害賠償を求める判決が下される事件もあった。
 しかし中には風評ではなく、企業がひた隠しにしていた不祥事が表沙汰になってしまったケースなどもあり、対応は非常に難しい。おまけに裁判で勝訴し、事実無根であることが認められても、いったん損なわれた名誉はなかなか回復しない。
 こうした被害に対する防御策は、事前に掲示板などでの情報を収集し、いち早く対応する方法しかない。米国では、情報のモニタリングサービスともいえるサービスも現れている。ネットの掲示板やニュースグループ、メーリングリストなどから顧客の企業に関する情報を集め、即座に顧客の担当者に通知するというものだ。担当者は対応の必要があれば弁護士などと連携し、書き込みの削除などを求めることができる。
 しかしこうしたサービスが有効かどうかといえば、微妙なところもある。顧客企業の側が即時対応できないケースも現実には多く、また、流された風評が真実だった場合にどう対応するのかといったポリシーを検討している企業はほとんどないからだ。インシデントが起きた場合のマネジメントが求められているのである。

■攻撃型ウイルス

 2004年1月26日、「史上最悪」と呼ばれた凶悪なコンピュータウイルスが驚異的なスピードでインターネット上に広がっていった。別名「Novarg」「Mimail.R」とも呼ばれる「MyDoom」である。このウイルスは電子メールの添付ファイルの形で送りつけられ、被害者のパソコンに感染すると、ひそかにバックドアを開く。そしてこのバックドアを通じ、2月1日から12日にかけ、米SCOのウエブサーバに大量のデータを送りつけるように仕組まれていた。DDoS(分散型サービス拒否)攻撃がコンピュータウイルスと合体した、新たなタイプのワームのである。
 このウイルスの感染の速度はすさまじく、出現からわずか1日後にはインターネットで送信されるメールの12通に1通が感染していたという(電子メールサービスの米メッセージラボの統計による)。
 メールの添付ファイルを騙ったウイルスというのは今では珍しい存在ではないが、MyDoomが米国を中心に感染を拡大した原因は、その巧みな偽装ぶりにある。MyDoomは感染すると、Outlook Expressのアドレス帳にあるメールアドレスに無差別にウイルスメールをばらまくだけでなく、その際にfromアドレスを偽装する。受信した側は送信者とは別の人物からウイルスメールを受け取ったと誤解してしまうのだ。おまけにウイルスメールのsubjectは「Undelivered Mail Returned to Sender」などメールサーバからのエラー通知に偽装されている。受信者が添付ファイルをクリックしてしまうよう、巧みに心理的な誘導を試みているのだ。ソーシャルエンジニアリング的な手法に長けた人物が作成したのだろう。
 そしてこのメールは、SCOグループに攻撃を加える時限爆弾が組み込まれていた。2月1日、SCOのウエブサーバは洪水のようなリクエストを受けて完全にダウン。同社はこの事態を予測し、さまざまな対策を講じていたが、役に立たなかったようだ。SCOはダウンした www.sco.com にかわり、www.thescogroup.com という代替ドメインを立ち上げなければならない羽目に陥ったのである。SCOのダール・マクブライドCEOは、「MyDoomによる攻撃で、世界中の企業が受けた被害は10億ドルを超えている」というコメントを発表。そしてMyDoom作者の逮捕につながる情報の提供者に対し、25万ドルの報奨金を出すことを決めた。
 MyDoom出現の数日後には、亜種「MyDoom.B」も登場した。このMyDoom.Bは、米マイクロソフトのウエブサーバにDDos攻撃を仕掛けるのと同時に、ウイルス対策メーカーから最新のウイルスパターンファイルを感染マシンがダウンロードするのを妨害する能力も備わっていた。マイクロソフトは大きな被害は受けなかったが、SCO同様、犯人逮捕に25万ドルの報奨金を出すことを発表している。
 MyDoomの作者がなぜSCOを狙ったのかは明確ではないが、同社は最近、保有しているUNIX関連の知的所有権がLinuxのカーネル関連の技術にも及ぶと主張し、Linuxのオープンソースコミュニティから猛反発を受けていた。この主張が、ウイルス作成の引き金になってしまった可能性は高い。
 いずれにせよ、特定の企業がウイルス攻撃の対象になるという新たな手法が出現してしまったのである。そしてこうした傾向は、近年強まりつつある。2003年夏に大流行したMSBlastの亜種「MSBlast.D」は、感染するとMSBlastの原種を探して強制終了させ、さらにdownload.microsoft.comからMSBlastが悪用する脆弱性「MS03-026」の修正パッチをダウンロードして実行するという不思議な機能を持っていた。そしてさらに不思議なことに、
思議なことにNachiは感染する際に攻撃対象のOSの言語の判定を行っており、英語と簡体字中国語、繁体字中国語、韓国語の場合はMS03-026の各言語用修正パッチをあてる。しかし日本語の場合は、コード内に判定のルーチンがあるのにも関わらず、パッチを当てないで処理を終えてしまうのだ。この性質をとらえ、「日本をターゲットにしたウイルスである可能性が高い」とする専門家は多い。
 それにしても、コンピュータウイルスが特定の企業や組織、国家をターゲットにするという手法は、ひょっとしたらパンドラの箱になるのだろうか? インターネット世界で反発を受けた企業は、今後はウイルスによってDDoS攻撃を食らう可能性がでてきたということなのだ。そしてDDosのような原始的かつ単純な攻撃に対しては、抜本的な対策は難しい。

■プライバシー漏洩

 顧客の個人情報が漏洩する事故が、後を絶たない。しかも多くの場合、流出がどのように行われたのかさえ特定できていないのが現状だ。
 たとえば最近では、2004年1月にADSLサービス「Yahoo!BB」の顧客情報242人分の住所と名前、メールアドレスなどが社外流出する事件が起きている。ソフトバンクによると、外部の人間から「顧客情報が流出している」という電話があり、数日後に242人のデータが郵送されてきたという。クレジットカード番号や利用履歴などの重要なデータが漏洩しなかったのは不幸中の幸いだが、漏洩経路は判明していない。同社は顧客情報にアクセスできる役職レベルの引き上げや、セキュリティマネジメントの見直しなどを勧めている。また業務委託先などへの管理も進めるという。
 また2003年11月には、コンビニエンスストア「ファミリーマート」のネット通販向け会員制度「ファミマ・クラブ」の会員情報18万人分が漏洩する事件が起きた。流出したのはメルマガ購読者の住所、名前、生年月日、電話番号、性別、メールアドレスで、「登録したアドレスに架空請求メールが届いた」と顧客から苦情の電話がかかってきたことから発覚した。経路は判明していないが、ファミリーマート側は「メルマガの企画委託先の企業が関与した可能性が高い」と発表している。この企業の関係者が個人情報データをコピーし、名簿業者に売り飛ばした可能性が高いということなのだろう。データはネットの裏ビジネス業界に流出し、結果として約5600人に対して架空請求メールが送りつけられたという。ファミリーマートは社長ら幹部6人が減給処分となるなど、社会的信用を損なう結果となった。
 こうした個人情報漏洩事件の多くは、従来のセキュリティポリシーではほとんど歯が立たない。ネット経由で不正アクセスなどによって盗まれることはほとんどなく、社員や関係者などの内部犯行によるケース、単なる事故やミスによるケースなどの方が圧倒的に多いとみられているからだ。
 たとえば2004年2月には、神戸市が垂水区役所の廃棄文書をゴミ収集車で焼却場に運ぶ際、誤って区民約340人の名前、住所、年収などが書かれた書類27枚を道路に落とすという事故が起きている。近所の住民が見つけて通報し、あわてて職員らが回収したものの、悪用される危険性は十分にあった。
 落とし穴は無数にある。
 たとえば社員の使うノートパソコンがそうだ。省スペースになるため日本企業での利用率が高いが、ポータビリティの高さが脆弱性につながっている。社外に持ち出されれば、盗難や紛失の危険性は高まる。盗まれたパソコンはどうなるのだろうか。多くが中古パソコン店やリサイクルショップなどに持ち込まれ、売り飛ばされているとみられる。その結果、リサイクルショップで売られていたパソコンの中から個人情報データが見つかった……というお粗末きわまりない事態を招くことになる。
 もっとひどい例もある。たとえば2003年春に三重県四日市市で起きた事件。用地買収などを担当していた市役所の水道局職員が、古くなった私物のノートパソコンをゴミに出した。ハードディスクを壊しておけば大丈夫、と職員の妻がパソコンを地面に数度叩きつけ、回収所に放置しておいたという。ところが最近のハードディスクは耐衝撃性が非常に優れている。この程度ではデータは壊れなかった。裸で捨てられていたこのパソコンを偶然拾った男性が電源を投じてみたところ、見事にOSが起動し、データを閲覧することができたのである。中には市道用地の地権者の名前や用地買収による補償金額などがびっしりと書き込まれていた。
 また2002年には、福岡県久留米市のリサイクルショップで売られていた中古のパソコンに、警察に補導された少年の名前や住所がずらりと残っていたとう物騒な話もあった。福岡県警の警察官が、データを消さないままリサイクルショップに私物のパソコンを売っていたのが原因だった。
 こうした事故を、完璧に未然に防ぐのは不可能だ。どこにでも落とし穴は存在しているのである。こうした事故に対しては防止ではなく、発生後の対応の素早さや的確さが求められるのである。インシデントマネジメントの重要性はそこにあるといえる。

| | Comments (24) | TrackBack (0)

P2Pビジネスの現在(Computer World 2004年2月)

 P2P(ピア・トゥー・ピア)という言葉を聞いて、多くの人々が受けるイメージは次のようなものだろう。
 「違法なファイル交換に使われている技術でしょう?」
 「なんだかアングラな感じがする」
 もちろんそのイメージは、NapstarからWinMX、Winnyへといたるファイル交換ソフトからやってきたものであるのは間違いない。音楽や動画のファイルを自由に交換するために使われたこれらのツールは、著作権侵害の温床となり、レコード業界や著作権団体などから強い批判を浴びてきた。Napstarが1999年に登場して以降、著作権をめぐるP2Pユーザーと警察当局のイタチゴッコは止む気配はない。今年1月も、匿名性がきわめて高いと言われていたWinnyを使って映画やゲームのコンテンツを交換していたユーザー2人が逮捕され、アンダーグラウンドな世界では大きな話題となった。
 だが一方で、P2Pはビジネスとしての可能性も探られてきた。しかしP2Pは、これまでのサーバ・クライアントモデルでは実現できなかったようなビジネスモデルを生み出し、インターネットビジネスに新たな地平線を切り開くのではないかと期待されたのである。しかし現在、P2Pをターゲットとしたビジネスはわれわれの前から姿を消し、どこかに消え去ってしまったようにもみえる。いったい何があったのだろうか?
 P2Pビジネスが日本国内で大流行したのは、2000年から2001年にかけてだった。アリエル・ネットワークやアンクル、スカイリー・ネットワークスなどP2Pのテクノロジを前面に打ち出したベンチャー企業が次々と設立され、インターネット業界はP2Pの話題で沸騰した。この時期、米国でもロータスノーツの開発者として有名なレイ・オージーがP2Pのグループウエア「Groove」を発表し(2000年10月)、Sun MicrosystemsがP2Pのプロトコル「Jxta」を発表して(2001年4月)話題をさらっている。P2Pのブームは世界的な潮流だったのだ。
 その象徴的な存在となったのが2002年4月、東京・渋谷のセルリアンタワー東急ホテルで華やかに開かれた「P2P Conference in JAPAN 2002 Spring」だった。国際大学グローバル・コミュニケーション・センター(GLOCOM)所長の公文俊平氏らを講演に招いたこの会議は、こんな風に高らかにうたいあげたのである。
 <米国ではP2Pをコアコンピタンスにした企業の起業ラッシュが一巡し、現在はグループウェアやコンテンツ配信など、第2世代ともいうべきP2Pテクノロジーが広がっています.また日本でもコンテンツ配信、検索、プラットフォーム、ワイヤレスなどの分野で次々と製品が発表され、P2Pはすでに著作権問題などの話題先行型のテーマから、実際にビジネスを行う段階へ確実に移行したと言えます>(実行委作成のパンフレットより)
 折しも、時代はネットバブル崩壊の直後。IT景気の原動力となったネットバブルは1999年から2000年にかけて頂点を迎え、さまざまなベンチャーキャピタルが潤沢な資金をネットベンチャーへと流し込んだ。収益がまったく期待できないような怪しげなビジネスモデルにまで投資が行われ、若手の起業家たちは争って渋谷や青山の高級オフィスビルにテナントとして入居した。しかし、こうした浮わついた状況がいつまでも続くはずはない。米国での失速に引きずり込まれるようにして、2000年春にはハイテク関連株の株価が急落。ネットバブルはあっという間にしぼんでしまったのである。
 P2Pベンチャーが登場したのは、この直後だった。バブル崩壊後の廃墟の中で、成長性のある話をのどから手が出るほど欲していたネット業界人たちにとって、P2Pはたいそう明るい未来に思えたのである。多くの人がP2Pに群がり、その将来性があちこちで語られた。そして2002年は、「P2P元年」と呼ばれたのである。
 だがその後、P2Pビジネスは徐々に失速していく。
 そうなってしまった要因は、ひとつではないだろう。だが大きな枠の中で見れば、IT業界を取り巻く環境の厳しさが予想以上だったことがある。ネットバブルを演出したベンチャーキャピタルの多くが撤退し、どのベンチャー企業も開発資金の捻出にたいへんな苦労をすることになった。P2Pビジネスも例外ではない。あるベンチャーの幹部は、こう話す。
 「会社を立ち上げたころはすでに氷河期の真っ最中。心の底から冷え切るような状況の中で、会社を軌道に乗せるまでにはたいへんな苦労をした」
 ネットバブルの反省から、投資側は収益の期待できないビジネスモデルには投資しなくなていた。技術力よりも、まず第一に収益が上げられるかどうかが求められたのである。「夢を買う」と言われたネットバブルの時代とは、180度の転換だった。
 このあおりを受けた企業のひとつが、シェアキャストというP2Pストリーミング技術を手がけているアンクルとビットメディアとだろう。
 アンクルの齋藤隆之社長が語る。「P2Pに対する期待が大きすぎたのに加え、ファイル交換などでダークな部分が強調されてしまったこともあったと思います」
 シェアキャストは、インターネット上にいるユーザー同士をアドホックに接続し、ストリーミングを中継していくシステムである。ユーザー自身にストリーミングを中継させることから、高性能で高価な配信サーバーを用意する必要がなく、手軽なストリーミングを実現する技術として注目された。
 アンクルの齋藤社長がコンテンツ制作会社ビットメディアの高野雅晴社長と協力し、このモデルを考え出した発想の根源には、個人放送局がある。たとえば一般のユーザーが家庭からADSLを使ってストリーミング放送を流そうとすると、帯域の限界から配信先は5人程度に限られてしまう。だがP2Pで次々とストリーミングを中継していけば、配信先の人数が増えても破綻しない。それどころか、たとえば100MbpsのFTTHユーザーが中継に参加すれば、その先の配信可能人数は逆に増えてしまうのである。
 高野社長は「たとえば9.11の同時多発テロの直後、ニューヨークの街を映していたウエブカメラはアクセスが集中して見られなくなった。だがシェアキャストなら、見る人が増えれば増えるほど『座席数』を増やしていくという芸当ができる」と話す。
 インターネットという技術の将来に興味のある人であれば、シェアキャストの可能性が実にエキサイティングであることがわかってもらえるだろう。
 しかし、それは必ずしもビジネスとはつながらない。齋藤社長らは当初、コンテンツホルダーにシェアキャストのチャンネルを月額10万円固定でレンタルし、さまざまなコンテンツを流してもらおうと考えた。「エンドユーザーの側からすると、お金を払ってまで見るコンテンツが途中で途切れるのは許せない。そこで配信側はかなり頑丈なしくみを作る。そのためにサーバ投資、帯域投資がかなりかかってしまう。シェアキャストはそうしたやり方とは逆の方向を向いていた。そこで流したい人にまず、お金を出してもらおうと考えた」(齋藤社長)というのである。
 だが、このモデルはうまくいかなかった。理由はいくつかあるが、そのひとつに「24時間365日、コンテンツを流し続けてくれるようなコンテンツメーカーが見つからなかった」(齋藤社長)ことがある。シェアキャストはその性格上、常にピアによる中継が行われていなければならない。このためオンデマンド配信には向いていないのである。
 高野社長は「24時間流しっぱなしにできるコンテンツか、そうでなければイベントなどの生中継に利用は限られてしまった」と話す。実際、当初は大手芸能プロダクションのインターネットテレビに協力してもらって有名タレントの番組を流す実証実験などを行ったものの、その後は金環日食の衛星中継やコンサート、初日の出の中継など、利用はイベント的なものに終始している。
 それに加え、ADSLというインフラの問題もある。ADSLは非対称デジタル加入線という言葉の通り、上り回線が1Mbps程度と遅い。P2Pでストリーミングを中継させようとすると、この帯域の細さもハードルのひとつとなった。
 シェアキャストの開発は現在も続けられているが、収益モデル確立のメドは立っていない。ビットメディアもアンクルも、会社としての収益は別のビジネスから得ている。
 一方、無線P2Pネットワークを提唱したスカイリー・ネットワークスにとっては、携帯電話の進化に対して小さな誤算があった。
 同社は、無線LANやBluetoothなどを搭載した無線機器をダイレクトに相互通信させ、P2Pのネットワークを生成するツール「DECENTRA」シリーズを開発、販売している企業である。時代のキーワードである「ワイヤレス」と「P2P」を併せ持ったということで、設立時にはたいへんな話題となった。設立は2001年7月である。
 DECENTRAの技術には、さまざまな興味深い手法が使われている。たとえばワイヤレスP2Pではネットワーク構成がひんぱんに変わってしまうため、経路情報を持たせておくのが難しい。このため最初にブロードキャストを行ってネットワークの全体像をつかみ、このキャッシュを使って随時ネットワークを再構成するといったことが行われているのである。DECENTRAは無線LANカードやBlutooth端末を順にホップさせて中継していき、最高500~700メートルの範囲までP2Pのネットワークを届かせることができる。
 同社のビジネスは、DECENTRAの機能を使った通信技術をさまざまな企業に販売し、収益を得ようというものである。そして当初、携帯電話キャリアや玩具メーカーへの販売を考えた。当時、Bluetoothモジュールが携帯電話に搭載されていくのではないかという予測があり、遠距離は携帯電話で通話し、近距離はBluetoothの上に乗ったDECENTRAのIP電話機能で無料通話を行う、というビジネスモデルも考えた。だが無料通話が増えることを携帯キャリアが喜ぶはずはなく、この戦略は潰えた。Bluetoothが思ったよりも普及しなかったことも誤算のひとつだった。
 同社の梅田英和社長は、悔しそうに話す。「最近になって、携帯電話には無線LANモジュールが搭載される動きが出てきた。携帯キャリアの考え方も変わりつつあるのだと思う。またパケット料金定額制も登場しており、キャリアから見ると『ユーザーが携帯を使わない方がトラフィックが減って助かる』という考え方も出てきている。そのような状況であれば、近距離のP2P通話というDECENTRAのモデルは十分に通用していたと思う」
 時代状況に比して、登場が少し早すぎたということもあったのかもしれない。いずれにせよ、スカイリー・ネットワークスが当初考えた戦略はいずれもうまくいかず、狙っていたコンシューマー向けの製品展開はできなかった。
 しかし同社はその後、別の場所に活路を見いだした。「災害」と「機械センサー」である。
 2月2日、広域巨大災害における情報通信に関する展示会が大阪市で行われた。この時、通信総合研究所のブースにDECENTRAが協力出展され、VoIPを次世代消防無線に応用するシステムが披露された。その概要はこうだ――津波で地下街が浸水すると、通行人や店従業員らを地中から救助しなければならない。だが従来型の無線では、電波が届きにくく、救助活動が円滑に進まないおそれがある。このとき、救助隊員ひとりひとりに無線LANのアクセスポイントを持たせ、DECENTRAでリレー式に中継させれば、直接電話の届かない救助隊員同士や本部との間でも連絡を取ることができる。
 派手さはないが、無線アドホックネットワークの利点をみごとに生かした応用例といえるだろう。また同社は三菱電機と共同で、DECENTRAのサブセットである「MicroDECENTRA」を搭載した電池駆動の小型端末を試作し、これを工場のセンサーネットワークに使うというビジネスもスタートさせようとしている。工場内の各機械にこの端末を取りつけ、温度や湿度、機械の駆動状況などのデータを収集。300MHz帯の微弱無線を使って次々にホップさせながら各機械に中継させていき、データを集めていくというものだ。こうした機械センサーは従来は有線で結ばれていたが、導入費用が1工場あたり数千万円~数億円ときわめて高価だった。これをP2Pの無線ネットワークを使うことで、数百万に抑えようというのである。実用的な端末が完成すれば、一気に普及する可能性はあるだろう。
 梅田社長は、「工場にはそうしたセンサーのニーズがあるという話を聞き、共同開発をさせていただいた。ニーズのあるところにうまくDECENTRAをはめ込むことができたと思う。ビジネスの現実的な着地点を探してきた結果、現実的なニーズがあることに気づいたということになる」と話す。同社は、今期で通気黒字を達成しそうだという。DECENTRA関連の売り上げも順調に伸びている。「P2Pの夢を追う」というイメージは薄くなったが、より現実的で地道なビジネスに将来を見いだしたというところだろうか。かつての熱狂的な盛り上がりがなりを潜める中で、P2PはじわじわとIT分野のキーテクノロジーのひとつとして普及していくのかもしれない。
 スカイリー・ネットワークスでは、すでに「P2P」という言葉は使っていない。DECENTRAを紹介する際は、「アドホックな無線ネットワーク」「マルチホップ型無線アプリケーション」といった用語を使っている。イメージに手あかのついてしまったP2Pからは、少し距離を置こうという発想なのだろう。これはシェアキャストも同様だ。アンクルの齋藤社長は、「P2Pを前面に出して売っていくつもりはない。シェアキャストの名前の由来として、スケーラブルキャスティングという言葉を使っている」と話す。
 とはいえ、シェアキャストの開発者たちは、今もP2Pによる新たな世界の創造という考えを捨ててはいない。ビットメディアの高野社長は話す。
 「インターネットというのは、才能が発掘される場所だと思う。低コストで多くの人に自分の作った映像コンテンツを見せる機会を提供するツールとして、シェアキャストの必要性は必ずあると思う。気の長い話になってしまうが、今後、シェアキャストがそうした使い方をされていくことを期待している」
 ブロードバンドが当たり前になり、そして普及世帯数が100万のオーダーに近づきつつあるFTTHがさらに普及すれば、P2Pの使い勝手は現在よりも飛躍的に高まる可能性はある。シェアキャストのようなツールが、若者たちによってサブカルチャー的に使われていくという想像は楽しい。
 もっとも、こうした使われ方はビジネスには直結しない。収益モデルが存在しないのだ。そこが企業としての難しさではある。
 P2Pという存在は、常に「ビジネス」と「テクノロジーとしての面白さ」の間で揺れ動いているようにも見える。分散して協調動作するというテクノロジーにはワクワクさせられるが、しかしビジネスとしての収益モデルとイコールではないのだ。
 しかしインターネットのコア技術のひとつとして、P2Pは今後も必要性を増していく可能性はある。現状ではサーバ・クライアントモデルの方が圧倒的にエンジニアも多く、開発にコストがかからない。しかし今後、P2Pの方がコストが安いという優位性のあるキラーアプリケーションが出てこれば、状況は変わるかもしれない。
 アンクルの齋藤社長は言う。
 「P2Pはしょせんツールであり、イコールビジネスとしてとらえる考え方が間違っていたのかもしれない。P2Pビジネスという言葉はあるが、クラサバ(クライアント・サーバ)ビジネスという言葉は存在しないでしょう? 今後はサービスに対するニーズがまず存在し、そのニーズを満たすための総合的なソリューションの中に必要に応じてP2Pを取り入れていくという考え方にシフトしていくのではないでしょうか」。

| | Comments (48) | TrackBack (0)

February 01, 2004

ネット業界が震撼! イーバンク恐喝事件の真相(サンデー毎日 2004年2月)

 「あ、もしもし、松尾です。あんまり遊んでると、おまえの会社ぶっ潰しちゃうよ。おれは本気になるぞ、お前。それじゃな」
 まるで三文小説に出てくるような、ヤクザまがいの脅しの言葉である。だがこの音声が、れっきとした上場企業のホームページ上で公表され、だれでも聞ける状態になっているとしたら話は別だろう。
 この音声ファイルを公開したのは、インターネットベンチャー企業の雄ととして知られるライブドア(旧社名・エッジ)。同社は1996年に東大生だった堀江貴文社長が設立し、M&A(企業の統合・買収)を繰り返しながらここ数年、急激に成長してきたベンチャーである。2000年4月には東証マザーズに上場し、ネットの“勝ち組”企業としてその名前は業界でつとに有名である。
 同社取締役兼最高財務責任者(CFO)の宮内亮治氏が憤然とする。
 「この発言をしているのは、わが社が筆頭株主になっているインターネット銀行『イーバンク』の松尾泰一社長です。私の携帯電話の留守番電話に録音されていたものです。着信履歴には松尾社長が通常使っている携帯電話の番号が残っており、彼の声であるのは間違いありません」
 しかし松尾社長はこの留守番電話の音声について、
 「私の声ではない。いま日本でも有数の専門機関に声紋の鑑定をお願いしていて、偽物であるという第一次鑑定の結果も出ています。数週間内には、正式な鑑定結果も出るはずです」
 と言下に否定するのである。
 イーバンクは流行のインターネット専業銀行。松尾社長は旧長銀(日本長期信用銀行)の出身で、2000年に同社の前身となる企業を設立した。昨年12月には、ソニー銀行やジャパンネット銀行、アイワイバンク銀行などの競合他社に先んじて単月黒字化を達成。今年の1-3月期も4100万円の通期黒字になる見通しだという。
 両社はいわば、ネットベンチャーを代表する花形企業といえるだろう。その両社に、いったい何が起きたのだろうか。
 あらすじは、昨年10月にさかのぼる。
 松尾社長が旧知の堀江・ライブドア社長に対し、出資を持ちかけたのがきっかけだった。自己資本比率を高めたいイーバンクと、“インターネット財閥”を目指して金融業への進出をうかがっていたライブドア側の思惑が一致し、ライブドアが約40億円を出資してイーバンクの筆頭株主(持ち株比率14・9%)となることで合意。10月16日に役員の相互派遣とイーバンクの業務改善などを盛り込んだ出資契約書が交わされた。
 ところがこの後、ライブドアが前出の宮内氏ら11人のスタッフを、イーバンクに送り込んだことから話がこじれ始める。宮内氏は営業本部長に就任し、業務改善の一環として、コストの削減などの思い切った合理化策を断行しようとした。しかしこの行動に対し、イーバンクの内部から「何を占領軍気取りになっているんだ」と猛反発が巻き起こったのである。
 しかし宮内氏は怒りを隠せない様子で、
 「最初の話とまったく違っていた」
 と憤る。
 「投資の話が持ち込まれた際、松尾社長は今後、40%にまで持ち株比率を引き上げることに加え、ライブドア側が合理化を進めるという約束を口頭で行っていた。『合理化をしたいが、社内ではできなかった。うちにきてやってくれないか』と話していたんです」
 ここ数年、幾多のM&Aで名を馳せてきたライブドアは、傘下におさめた企業の徹底的な合理化でも知られている。外部に支払われる経費は多くがカットされ、コストを押し上げている高い機器リース代などはどんどん契約破棄する。能力が認められない社員は解雇されるか、そうでなくともきわめて安い給料で再雇用されるのである。ライブドアに買収されたために年収が半減してしまったスタッフもいるという。なにしろ「20代の社員で最高1500万円の年収差がある」(堀江社長)という徹底的な実力主義の企業である。
 いずれにせよ、そんな方法で同社は買収先を再建してきた。たとえばあるプロバイダーを買収した際は、数十人いた社員は全員が解雇し、再雇用されたのはわずか2人だったという。しかしこの合理化策によって、同社はなんと、買収されたその月から単月黒字化を果たしているのである。
 ライブドアのスタッフが乗り込んで来れば、イーバンクでも苛烈な合理化策が進められるのは火を見るよりも明らかだった。しかしイーバンクの星崎治男副社長は、
 「ライブドアの過去のビヘイビアについては認識していたが、それらは完全買収や傘下におさめた場合だ。今回のように15%の株を取得するだけであれば、そのような強いやり方でやってくるとは思っていなかった。われわれとしては企業文化の交流による相乗効果を期待していた」
 と話すのである。宮内氏が証言したような「社内で不可能だった合理化を進める」という松尾社長との密約が本当にあったのかどうかは、今となってはわからない。だがこのあたりのボタンの掛け違いが、事態をどんどん悪化させる結果になったのは間違いないだろう。
 そしてその後の両社の亀裂は、瞬く間に広がっていく。宮内氏が話す。
 「社内の合理化を進めるために調査しているうち、たいへん不透明な投資案件を発見し、イーバンク側に問いただした。これが決定的になったと思います」
 不透明な投資案件とは、九州の第二地銀傘下のカード会社が持っていたカードローンの債権を、証券化したものである。宮内氏が続ける。
「この第二地銀は経営危機がささやかれており、カード会社は財務状態が不安定だった。しかも実質的に無担保融資であるのにも関わらず、約1・7%という低金利の融資だったのです」
 しかしこの投資案件について、松尾社長は、
 「銀行の投資のルールに則り、リスクの管理もきちんと行っている。金融庁の検査でも指摘されておらず、まったく問題のない投資案件だ」
 と反論する。
 いずれにせよ、ケンカが泥沼化し始めるのはこのころからだ。昨年12月19日にイーバンクはライブドアに対し、「出資契約書の取り交わしがすんでいないと認識しているので、この書面をもってご連絡します」という通知を送る。イーバンク側は、
 「こちらが署名捺印した契約書2通をライブドアに送ったのにもかかわらず、先方から捺印した契約書を返送してこなかった。その連絡のためだ」
 と説明するが、ライブドア側は「出資契約書を無効だと主張する通知を、イーバンクが送りつけてきた」と受けとめる。なぜなら宮内氏らはこの同じ日、イーバンクのオフィスから締め出されていたからだ。
 「口頭で、取締役会で決まったのでわが社から出て行きなさい、と言われた。イーバンクでは指紋認証によってセキュリティを保っているが、そのIDを削除され、荷物を取りにオフィスに入ることさえ許されませんでした」(宮内氏)
 怒ったライブドア側は、契約不履行で損害賠償を求めて提訴する意向であることなどを書いた文書をイーバンクに送付。そして事態がのっぴきならなくなったこの直後、冒頭に挙げた留守番メッセージが宮内氏の携帯電話に残されるのである。
 2月に入り、イーバンクがライブドアとの資本提携解消を発表。これに対抗するようにライブドア側は留守番メッセージを自社のホームページ上で公開するのである。
 ライブドアは近く民事提訴に踏み切る見通しだ。松尾社長は「金融当局ともご相談させていただいており、早期解決を図りたい」と話し、イーバンクが持ち株を売り払うことを願うのだが、事態収拾のめどは立っていない。
 それにしても、である。これほどまでに感情をむき出しにしたやりとりになってしまった原因は何なのだろうか。
 宮内氏は
「わたしらの会社はしょせん若造ですから」
 と言う。ライブドアは大企業出身者が少なく、大学を出てベンチャーに飛び込んだ若者たちが過酷な生存競争を勝ち抜いて作り上げてきた企業である。ネットバブル崩壊後の荒波をくぐり、M&Aを繰り返してきた「野戦集団」だ。
 一方のイーバンク。長銀出身の松尾社長はかつて「将来の頭取候補」と言われたほどの人物である。副社長の星崎治男氏も三井物産の九州支社長、取締役を務めるなど、経営陣にはきら星のようにそうそうたるメンバーが並ぶ。元日銀理事や総合商社出身者もいる。株主も日立製作所や日本テレコム、九州電力など日本を代表する大企業が名を連ねている。いわば日本のエスタブリッシュメントの系列につながる企業といえるだろう。乗り込んできたライブドアの若者たちに対し、「若造が……」という気持ちになってもおかしくはない。
 そのあたりの感情的対立が背景にある、という見方はインターネット業界には少なくない。その意味では今回のケンカは、日本のオールドエスタブリッシュメントとニューエコノミーの見えざる対立構図が噴出した事件、とも言える。ブロードバンドの普及や世界的な景気回復の波の中で、ようやくIT業界は立ち直りつつある。そんな中で、こうした対立は今後も続々と起きてくる可能性はあるだろう。
(ジャーナリスト・佐々木俊尚)

| | Comments (541) | TrackBack (0)

日本語大シソーラスを作った男(サンデー毎日 2004年2月)

 「日本語大シソーラス」(大修館書店)という類語辞典が昨年秋に刊行され、日本語の世界に「衝撃」とも言えるセンセーションを巻き起こしている。作家の丸谷才一氏も「この辞典の出現によって、日本語の文化は劇的に豊かなものになる可能性を持った」(2003年11月23日付毎日新聞)と激賞しているほどだ。19世紀に刊行され、英語圏でもっとも有名な類語辞典「ロジェのシソーラス」に匹敵する偉業と評価されつつあるのである。
 そして驚くべきことに、この1500ページ、収録語数約20万語という過去に類を見ない分厚い辞典を作ったのは、言語学とはまったく無縁の世界に生きてきた一介の市井の研究者なのである。
 山口翼(たすく)さん、60歳。ご本人は飄々とした風貌に、ロマンスグレーの髪とキャメルカラーのジャケットがよく似合うダンディーな紳士である。そして朗らかな声でこう笑うのだった。
 「ぼくはねえ、回り道で文化を渡り歩いてきた人間なんです。異文化が体の中に入りこんでしまって、おまけに回り道の途中でたいへんな道草が入っちゃった。辞書作りなんて、好んでやってたわけじゃないんですよ」
 この人ほど、数奇な回り道人生をたどってきた人もいないだろう。その遍歴は、現代にはまれな高等遊民というべきか、それとも幻の目標に突っ走ったドンキホーテというべきか。いったい何のために、労苦ばかりが多い孤独な作業の日々を重ね、これほどの巨大な辞書を作り上げたのだろうか。
 山口さんは太平洋戦争中の1943年、千葉市にある穀物製造問屋の二男として生まれた。名門進学校の麻布高校を経て、慶応大学商学部で計量経済学を学ぶ。東京オリンピックの年の64年、アメリカ西海岸にあるスタンフォード大に留学した。まだ海外渡航が自由化される前のことである。アメリカは大量消費時代を迎え、社会は好景気に沸き立っていた。自信にあふれ、他国からの留学生にも寛容だったアメリカの大学での経験は、60年代の日本の若者にとってあまりにも強烈だったのだろう。カルチャーショックともいえるこの体験をきっかけに、山口さんの迷走は始まるのである。
 留学を終えて帰国した東京は、がらりと様相を変えていた。2年前には男女が並んで歩くのさえはばかれるほどだった大学のキャンパスを、手をつないだカップルたちが闊歩していた。だが山口さんの気持ちは、鬱々として晴れない。
 慶応の大学院に進んで修士論文に取り組んだが、同級生たちが気楽にすいすいと書き上げていくのと対照的に、まだ日本では学問として確立さえしていなかった統計学の世界に、新たな理論を金字塔のように打ち立てようと四苦八苦してしまうのである。
 「研究のほんの手始めの段階で、今考えればそんなことができるわけないですよねえ。でも当時は、まじめに理論を打ち立てようとしていたんです」
 無謀な完璧主義者ぶりは、このころからすでに現れていたのである。完成しない論文に疲れ果て、さらには恩師の教授との人間関係にも亀裂が入り、山口さんは逃げるようにして大学院を中退した。
 東京の街は、学園闘争の熱い夏を迎えつつあった。しかし高揚するキャンパスを尻目に、山口さんは日本を脱出しようと考える。行き先はパリ。西洋文化の中心、あこがれのパリに行けば、この何ともいえない居心地の悪さが解消できるかもしれない。もう統計学は捨てて、今度は文学に生きてみよう。文学なら、自分の人生への疑問を解消してくれるはず――山口さんはそんな風に考えたのだった。実家の経済状態が安定していたことも幸いした。これ以降、山口さんの生活は実家からの送金によって維持されることになる。
 パリのアパルトマンに居を構えた山口さんは、アメリカ留学体験記を小説に書く作業に没頭する。しかし文学の素人には、小説のハードルは高い。そこで山口さんは考えた。
 「自分が小説を書けないのは、日本語を知らないからだ。よい文章を書くには、まず語いが豊かでなければならない。そして言葉の正しい使い方を知る必要がある」
 そしてあろうことか、独自の長大なスケジュールを立ててしまったのである。①まず3万6000語を収録した独自の日本語類語辞書を作る②日本の各種文学全集から文例を採集する③それをもとに、2~3の書きたいテーマで小説を書く――それらを4年ほどで完了させよう!
 小説の構成要素として語いは重要だが、それだけではないだろう。力強く物語をつくる力、登場人物たちに生き生きとした個性を与えていく力――。語いが増えれば小説も書けるというのはあまりにも短絡的で、ドンキホーテの本領発揮と言うべきだろうか。しかも、こうと決断した後の猪突猛進ぶりは驚異的だった。文例検索用にと森鴎外全集や吉行淳之介全集、イプセン全集などを大量に買い込み、そして類語辞典作りをスタートさせた。広辞苑から言葉を拾おうと1カ月以上もぶっ通しで読み続け、あっという間に目を悪くした。
 しかし素人の悲しさというべきだろうか、作業はすぐに壁にぶつかってしまう。どう進めればいいのか悩みに悩んだ山口さんはしだいに心を病むようになり、転げ落ちるような不安の中でパニック障害を引き起こす。病院に担ぎ込まれたこともあった。パリに来てから1年が経っていた。
 見るに見かねたフランス人の友人に転地療養を勧められ、ブルターニュ地方の寒村に小さな家を借りた。海辺のその家で、徐々に山口さんは健康を取り戻す。辞書作りの手法を変え、先の見通しも明るくなった。
 しかし作業は膨大である。朝7時に起床し、あとはひたすら机に向かう。海辺の散歩だけが、ささやかな休息の時間だった。親から送ってもらった貴重な仕送りを節約するため、牛肉スープでスパゲティを煮込んだ自称「スパゲティラーメン」を明けても暮れても食べ続け、日本から持って行った衣類をボロボロにしながら、辞書作りに取り組んだのである。一度も日本に帰らなかった。
 そして気がつけば、15年が経っていた。
 最初は4年ほどで終えるはずだった計画が、なんとこれだけの歳月がかかってしまったのである。十数万語を収録した手製の辞書を駆使して書いた小説を引っさげ、1980年、山口さんは久しぶりに日本の大地を踏んだ。
 都心を縦横にめぐる高速道路や高層ビルの群れに、まるで浦島太郎のように驚いた山口さんだが、実は壮大な計画があった。この小説で芥川賞を受賞し、文学の世界に入るというのが次のスケジュールだったのである。受賞を確信していた山口さんは、「受賞の言葉」まで用意していたのである。
 ところが友人たちに読んでもらうと、誰もが「こんな古色蒼然としたのをよく書いたね」と驚いた。全編が旧字旧かなで書かれていたからである。日本復古がブームになった90年代以降ならともかく、プレバブル時代の当時、文芸の世界では村上龍氏や山田詠美氏など無国籍で鮮烈な文体を持った作家たちが活躍していた。浦島太郎のように帰ってきた山口さんの何とも古臭い小説が、受け入れられるはずもない。小説は芥川賞に応募したが何の反応もなく、当然最終候補にも残らなかった。念入りだったはずの計画は、あっという間につぶれてしまったのである。
 15年がかりの壮大なプランが夢と消え、さすがにがっくりと意気消沈した山口さんは、その後しばらく辞書からも文学からも遠ざかった。ずっと山口さんの「学問道楽」を見守ってくれた父が亡くなり、後を継いだ兄とともに家業に精を出す日々が続く。
 再び転機が訪れたのは、90年代も半ばになってからだ。手製の類語辞典を作っていたことを知った友人が「出版をしてみたら」と勧めてくれたのだ。思い立って出版社を回り、最終的に辞書の老舗出版社である大修館書店が全面的に協力してくれることになったのである。しかし手元の手製辞書を商業出版物に仕上げるまでには、まだたくさんの作業が必要だ。山口さんは東京・目白台に借りたマンションにすべての資料を運び込み、来る日も来る日も編さんに取り組んだ。そして6年が経ち、昨年ようやく辞書は完成したのである。
 虚仮の一念というべきだろうか。当初は小説のただの下準備のはずが、いつの間にか前人未踏の偉業となってしまった山口さんの辞書作り。次々と道を外し、脱線しながらも、その先の展開を信じて死にものぐるいで全力を投入し続ける――その姿はいくぶん滑稽に見えるとしても、しかし余人にできることではないだろう。
 その信念の強さは、驚異的である。そもそも、言語学の素人が辞書作りなどという大それた事業に手を染め、しかも異国の寒村で誰にも知られず作業を進めながら、途中で不安は感じなかったのだろうか。しかし山口さんは言う。
 「日本には英語の『ロジェのシソーラス』に匹敵する辞書が存在していないから、独断でやればいいと思っていた。それに、僕には日本の言語学のしがらみもない。素朴な疑問から出発させ、英語版『ロジェ』を手本にして進めていけば、必ずいいものができると信じていた」
 山口さんは独身である。結婚歴もない。理由を問うと、
 「だってねえ、相手のことをすべて知り尽くさないで結婚するなんてあまりに安易でしょう? ぼくはひとりで仕事をしてきたから、一人の女性のすべてを知り尽くす機会がなかったんです」
 という答が返ってきた。やはり完璧主義者なのだろう。
 それにしても――。その不思議な流浪人生は、目標不在の茫洋としたこの時代に、なにがしかの助言を与えてくれるような気もするのである。
(ジャーナリスト・佐々木俊尚)

| | Comments (1328) | TrackBack (0)

« January 2004 | Main | March 2004 »