サイバーセキュリティ・アフリカ(4)セキュリティ外交ことはじめ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.17(火)

サイバーセキュリティ・アフリカ(4)セキュリティ外交ことはじめ

「日本のインターネットを守るためには、世界のインターネットの水準を上げなければいけないですから、どこに一番手を入れなければいけないかというと、これから一番人口の増加が予測されているアジアとアフリカなんだ、という話をとても正直にしました。」

特集 コラム
各地域や組織を代表する AfricaCert Cybersecurity Day の講演者
各地域や組織を代表する AfricaCert Cybersecurity Day の講演者 全 8 枚 拡大写真
 
“Heaven was copied after Mauritius.”(Mark Twain)

本稿は 2014 年 11 月下旬にモーリシャス共和国で開催された、アフリカの地域インターネットレジストリ AFRINIC 設立 10 周年記念の国際会議 AFRINIC-21 をレポートします。


●アフリカの JPCERT/CC の活動

こうしたアフリカの CSIRT の立ち上げを支援し、これまで 10 回以上もアフリカに渡り、マネージメントや技術指導を行ってきたのが JPCERT/CC であり、その中心人物は、アフリカ協力の構想を最初に持った 山口 英 理事であり、それを具体的に現地で実行してきた小宮山功一朗氏他のスタッフ達です。

今回の AFRINIC-21 で、攻撃ログ解析のハンズオン実習を行う JPCERT/CC Day を開催し講師を勤めた他、AfricaCERT Day では今後のアフリカのセキュリティ情報共有体制に関する講演を行った小宮山氏に、講演終了直後に話を聞くことができました。


―― JPCERT/CC が、今回の AFRINIC-21 で唯一、セキュリティのテクニカルセッションを行った理由は何ですか?

小宮山氏
「JPCERT/CC は、Apache サーバに対する攻撃の有無を確認するトレーニングを行い、参加者は26名でした。アフリカに来た初期、僕たちは、CSIRT 設立支援などのマネージメントセッションを多く行っていましたが、現在そのテーマは、AfricaCERT のスタッフでカバーできるようになっています。それ以外で足りないものとして、現場でやっている人が、どんなことで困っているかを考え、現場で使えるトレーニングを提供しようと考えました。それは AfricaCERT にはまだできないことですから。」

「Web サーバのログ解析は、はじめて持ってきたテーマです。その背景には、アフリカの政府の Web サイト改ざんが頻発していて、先週にもそういう事案があったくらいで、まさに今ホットなテーマはこれだろうと。トレーニングの最中に、ある国のナショナルサートの人に声をかけられて、スマホの画面を見せられたんですが、ちょうどその方の政府サイトが、いままさに改ざんされたところでした。その方は、今日教わったことを今晩すぐにやってみると言っていただいて、トレーニング開催をするタイミングが合っていたと思います。」

「しかし、こうしたテクニカルトレーニングは、必要である反面、最新の技術を持ってくるのは僕たちでなくても、セキュリティベンダ企業でも、できるだろうと思うんです。そう考えると、僕たちの役割は、アフリカのナショナルサートなど、さまざまなインターネットコミュニティのつなぎ役を担っているところにあるのかなと思います。アフリカのコミュニティを、グローバルなサートコミュニティとつなぐところは、僕らがやり続けないといけないと思います。」

――トレーニングの講義中に小宮山さんは、会場の受講者から「日本の CERT がアフリカに来ているのは、いったい何が目的か」という本質的な質問を受けていましたね。

「僕らは日本のインターネットを守ることが目的の組織です。日本のインターネットを守るためには、世界のインターネットの水準を上げなければいけないですから、世界の水準を上げるといったときに、どこに一番手を入れなければいけないかというと、これから一番人口の増加が予測されている開発国であることは間違いなくて、それはアジアとアフリカなんだ、という話をとても正直にしました。なんとなく会場のみんなも「なるほどね」と思ってくれたと感じました。100 % 純粋に、善意でやっているわけではなくて、ギブアンドテイクだということをわかってもらえたならいいなと思います。」

●将来が期待される努力

JPCERT/CC は、これまで 10 回以上アフリカを訪れ、各国のセキュリティコミュニティへの指導を行ってきており、AfriNIC 創設メンバーの Nii Quaynor 氏は「アジアはかつて、アフリカと同じような問題に直面し解決してきた。一番良い方法でものごとを解決する方法を日本に教えてもらっている」と評価していました。

一方で AfriNIC CEO の Adiel Akplogan 氏は、 JPCERT/CC のアフリカ地域でのたくさんのトレーニング提供実績を高く評価する一方、JPCERT/CC だけでできることには限りがあるため、アフリカ地域とのナショナルサートとの提携や、CSIRT のロールモデルを示すなどの、いっそうのリーダーシップ発揮に期待を寄せる発言をしていました。

ホテルのロビーで小宮山氏に取材中、通りがかりの多数の AFRINIC-21 出席者が小宮山氏に気軽に「Hi Sparky !」と声をかけて通り過ぎて行きました。何か、高校の部活のようなノリでもあります。「Sparky」とはアフリカのサイバーコミュニティにおける氏の愛称で、簡単にこんな風にはなれないだろうなと思います。

筆者は、アフリカに赴いて、自身の専門領域であるサイバーセキュリティに関して指導を行っている小宮山氏自身が、セキュリティの指導や情報交換を軸にして、日本人の誰も足を踏み入れたことのない、広義の国際外交(外交活動となるための試行錯誤)を行っているように見えました。

常任理事国入りを目的とした多数派工作でもなく(日本政府はこれに熱心)、ODA のレピュテーション狙いや US の顔色伺いでもない、言葉通りの意味での日本のアフリカ外交が生まれようとしている瞬間に立ち会ったと感じました。

今後、中国のような、民主主義国家ではないことをアドバンテージとする、圧倒的資金力と俊敏な行動力を持つ超大国が、アフリカ地域でサイバー技術外交を行っていくとしても、JPCERT/CC がアフリカでまったくのゼロから築いた人間関係に基づく影響力は、簡単に削がれることはないと思います。

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法

    高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法

  2. 「マグちゃんオンラインショップ」に不正アクセス、最大2,905件のカード情報が流出の可能性(宮本製作所)

    「マグちゃんオンラインショップ」に不正アクセス、最大2,905件のカード情報が流出の可能性(宮本製作所)

  3. 「OpenSSL」アップデート、情報漏えいなどの脆弱性に対応(JVN)

    「OpenSSL」アップデート、情報漏えいなどの脆弱性に対応(JVN)

  4. LINEの「apng-drawable」に任意コード実行などの脆弱性(JVN)

    LINEの「apng-drawable」に任意コード実行などの脆弱性(JVN)

  5. 「CODE BLUE」全25セッションの講演者が決定(CODE BLUE実行委員会)

    「CODE BLUE」全25セッションの講演者が決定(CODE BLUE実行委員会)

  6. 「なんとかデータベース」へ不正アクセス、会員情報169,843件が流出の可能性(スープレックス)

    「なんとかデータベース」へ不正アクセス、会員情報169,843件が流出の可能性(スープレックス)

  7. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  8. OTネットワークを可視化しセキュリティリスクを監視(NRIセキュア)

    OTネットワークを可視化しセキュリティリスクを監視(NRIセキュア)

  9. 業務用ノートパソコン1台を遺失、遠隔操作でパスワードを複雑化(ゼットン)

    業務用ノートパソコン1台を遺失、遠隔操作でパスワードを複雑化(ゼットン)

  10. 県立高校で保護者への台風15号に関する通知メールを誤送信(埼玉県)

    県立高校で保護者への台風15号に関する通知メールを誤送信(埼玉県)

ランキングをもっと見る