2024年6月7日（金）にベルサール新宿グランドで、一般社団法人IT資産管理評価認定協会（SAMAC）主催のITAM World2024を開催致しました。
IT資産管理を取り巻く専門家の登壇をいただき、セッションも盛況でした。様々なITのリスクに対応するために、IT資産管理の重要性をお伝えできるようにセッションを準備致しました。
ライセンス管理における法的な課題や、ソフトウェアの脆弱性に関するセッション、ユーザー事例は例年好評を頂きました。

開催概要

講演

【基調講演】Web3と地方創生 ～地方・地域におけるスマートシティ・Web3の潮流～

フューチャリズム株式会社
谷口 賢吾 氏

我々が持つ問題意識の一つに、消滅可能性都市の話がある。人口減少と共に、消滅する自治体が出てくるのは間違いないだろうと見られている。

　その問題に対してどのように対処すればよいかというと、やはりデジタルの活用、省人化、効率化は必須となる。加えて、今の流れとしては、関係人口の創出や付加価値の創出が挙げられる。全ての地域がこのような策で全部成り立つのかという議論はあるが、頑張ろうとしている地域は、関係人口の創出を進めて、主に観光等に力を入れ、地域のファンを相手に、繋がりを持ちながら経済を回している。
　その中でWeb3を活用した関係人口の創出例が増えてきており、その話に加え、国の動きとしてスマートシティ、デジタル田園都市国家構想、地方創生の流れもあり、本日はその状況と最近のトレンド的な部分をお伝えする。

　デジタル田園都市国家構想とは、『デジタルの力で、地方の個性を活かしながら社会課題の解決と魅力の向上を図る』と考えられている。分かりやすく言うと、地方創生をデジタルで進めていこうとする活動である。
　最近では、自治体・行政のDXがあり、スマートシティの構想も出てきている。
自治体のDXを3要素に分けると、庁内DX、行政サービスDX、地域社会DXの大きく3要素があるかと考えられる。主に行政サービスDXと地域社会DXがスマートシティ関連であると捉えてもらうと分かりやすい。

　まず都市OSの紹介をする。都市OSは、いわゆるデータ連携基盤とも呼ばれている。デジタル田園都市構想においては、各自治体に都市OSを実装する流れがある。行政データ、民間データをはじめ世の中にさまざまあるデータを組み合わせて行政・民間データが提供され、さらに交通、防災、環境、金融、教育等につなぎ、デジタルサービスが開発される。

　スマートシティの論点として、街をデジタル化し、スマートシティにしていくことで、果たして住人は幸せになるのかというそもそも論が存在します。人間中心設計という言い方もあるとおり、その街でそもそもスマートシティ化することが幸せにつながるのか、その政策評価を行うKPIを設定して進めていこうという流れがあります。

　スマートシティでは、市民参加についても注目しなければならない。ここでは2022年の『東京eSG戦略ボード』で、小池都知事と宮坂副知事が台湾のオードリー・タンさんと対談した記事を紹介する。コロナ禍の際に台湾はデジタル技術の活用で事態へ巧みに対処し、その際のデジタル大臣を務めたのがオードリー・タンさんであった。彼は、スマートシティの前に、スマートシチズンが大事であると述べている。スマートシティをつくるためには、システムよりも、市民が参加することが極めて重要である。

　もう一つ重要な動きとして、CivicTechというものがある。市民が主体となり、テクノロジーを導入し、地元の社会課題を解決するといった流れだ。一つの例として、一般社団法人Code for Kanazawaが『5374(ごみなし)』というアプリを開発した。これで、ごみ収集のタイミングをオープンデータから拾ってきて、アプリで確認ができる。
　市民参加や市民情報のアップ、そこから実際のシステム導入という流れが強くなっていると思われる。
　コンセプチュアルな話になるが、昭和では、自助と公助があった。公助とは、税金を使って課題解決が行われるものであり、自助は税金を使わずに何とか課題解決をするという話だ。令和モデルでは、自助と公助の中間に共助が存在する。自治体のみでは全てを賄えず、民間や市民のみでも同じく全てを賄えない。そこを共につくっていこうという考えが共助となる。官民連携や産学官連携も共助に当たります。自治体業務のアウトソーシングの流れもあり、共助の場面はかなり増えてきている。

　続いて、Web3と地方創生について述べる。最近の流れでは、リアル、フィジカルというものと、デジタル、Web3、ブロックチェーンを組み合わせてスマートシティや地方創生を実現しようという動きが出てきている。Web3/NFT×地方創生のカオスマップを見ると、スポーツ、プラットフォーム系もあれば、ふるさと納税系、DAO、NFTグッズ販売系、NFTのデジタル村民証を発行する事例も増えてきており、数多くの形態が確認できる。

　スマートシティでは、デジタル田園都市構想とはデジタル×地方創生であり、公共事業から官民共創・官民連携、市民参加型の流れになっている。Web3は、現実世界をトークン化する流れでまちづくりに取り組んでいた。
　リアル・フィジカル、都市・地域、まち、市民(企業)をデジタルやWeb3、ブロックチェーンでつなぎ、スマートシティ×地方創生×Web3で、地域トークノミクスを実現する流れができつつある。この動きはさらに広まっていくと思われる。IPAの場で言うとすれば、Web3と連携することで新たな収益を得て、地域社会にさらに貢献できる可能性を感じている。

【特別講演】IT資産管理の漫然放置による役員・職員の法的責任とその対応策
～IT不祥事の最新事例から学ぶリスクマネジメント～

BSA | The Software Alliance 日本担当顧問 ＴＭＩ総合法律事務所
石原 修 氏

　BSAは1988年に設立されグローバル市場においてソフトウエア産業をけん引する団体である。世界中で最もイノベーティブな企業を中心に構成され、日本では1992年に活動を開始し今年で32年になる。BSAは情報提供窓口である『違法コピーホットライン』を開設しており、公益通報者保護法が成立する以前から、内部告発窓口を設けて対応している。

　BSAの主な活動としては、まず不正対策が挙げられる。組織内不正コピーへの対策として、かつては地元警察とともに秋葉原や大阪日本橋筋で偽造品販売の取り締まりパトロールも実施していた。最近では、オークションサイト等での取引が主であるため、オンラインサイトでの不正取引を取り締まる活動もおこなっている。さらに政策提言として、著作権を中心とする知的財産、個人情報など、グローバルで遵守されているポリシーに関して提言をおこなっている。

　ここで2017年にBSA情報提供窓口へ連絡があった事例を紹介する。
事例を通して、著作権違反をした企業への対応イメージを持ってほしい。

設計会社であるA社が、BSA加盟企業であるB社およびC社の複数のソフトウエアを無断で複製利用しているという情報が提供された。担当弁護士は、その情報が正しいのか否かを情報提供者の事情聴取を含めて確認を行った。そして加盟企業の代理人弁護士から裁判所に証拠保全の申し立てを行った。

　そして、証拠保全の決定が下されると、証拠保全の実施に移る。執行官と裁判所と弁護士それぞれが待ち合わせ場所を決めて現地に赴き、執行官が決定書を持参してA社の窓口に手渡す。直後に裁判官が、弁護士の協力を得ながら証拠保全を実施する。

現地では、会社にある全てのパソコンに対して番号を付けた付箋を貼っていき、一つずつパソコンを開いて、インストールされている製品名と数を数え、写真を撮影する。最後に、ライセンス証書を出すよう依頼し、証書がなければ全てが不正コピーと解させることとなる。本事案の場合は、かなりの台数で違反があり、著作権侵害を行った会社と弁護士が協議をして、最終的に約3000万円で和解となった。以上の一連の対応から、多大な時間と金銭的な負担がかかることがイメージできただろうか。

　また昨今のIT資産管理の不祥事に対する市場の動きも紹介する。
CSR調達の観点から知的財産権を侵害しない相手とのみ取引を行うと宣言する企業が増えている。自治体でも、CSR調達の基準を設ける動きも多くなっている。
サプライチェーンの全体に渡って知的財産権の侵害を確認するのは、難しいことではあるがリスクとしての認識が必要になってきている。

　不正コピーを取り巻く新たな動向も出てきている。不正コピーや不正使用の類型は次々と発生している。非正規品は、かつて海賊版や偽造版だったが、不正アップロード、シリアルナンバー・プロダクトキーの流出、COAラベルなど、さまざまなものが複合的に非正規品として出てきている。不正流通も増えており、ショッピングサイトやオークションサイトで頻繁に目にするようになっている。実店舗の中古品販売でもいまだに不正流通しているケースがある。さまざまな方法で組織や会社の構成員が正規品でないものを、取得する可能性が十分にある。

最近では、不正競争防止法違反、私電磁的記録不正作出・供用罪、商標法違反など、新たな法的対応が出てきている。例えば違法品になると、ラベル自体の権限がない状態で使用しているため、商標法や不正競争防止法等、さまざまな観点で摘発されうる。実際にそのような摘発事例も増加している。

　最後にソフトウエアの違法コピー予防のための管理について、五つのポイントを挙げておく。

１．経営層が自ら意識を改革すること。ライセンス違反のリスクについての意識を高く持つことが必要になっている。

２．IT資産の台帳管理が必須である。すべての管理の基本になる管理台帳の整備は必須になる。

３．台帳の情報を更新するルールを持つこと。台帳があっても古いままでは何も意味をなさない。

４．ルールが順守されているか否か検証すること。ルールをきちんと運用されているか、定期的に確認することでルールの徹底が図れるようになる。

５．不一致が見つかった場合、慌ててアンインストールなどして事態をさらに悪化させるのではなく、適法な手段により是正する必要がある。昨今の事例から、海外の事業所においても管理の徹底が求められる。

　経営層に違法使用の予防について説明しても思うように動いてくれない場合は、民事責任・刑事責任を説明し、代表取締役個人に対し賠償判決が出た事例の紹介や、取引拒絶、報道の可能性等を伝え、経営層にも動いてもらうことで対応を迅速に進められるようにしてほしい。大きなリスクを抱えていることを認識して迅速な対応が必要になっていることを認識してほしい。

【SAMACセッション】脆弱性対策とIT資産管理との連携とは～これまでの取り組み～

脆弱性DB検討ワーキンググループ
嶋野 至剛

　リモート接続用機器の脆弱性を悪用したランサムウェア被害は引き続き発生しており、脆弱性対策においてはIT資産管理を前提とした対応が求められています。SAMAC脆弱性データベース検討WGでは、IPAのJVN iPediaが持つ脆弱性対策情報とIT資産管理との連携に向けた新たな取り組みを開始しました。本セッションでは、これまでの取り組みと新たな取り組みについて紹介します。

• 脆弱性対策とIT資産管理との連携とは～これまでの取り組み～
  • 影響を受ける情報システムの状況
    IT資産管理と連携して、自組織で利用している脆弱性関連情報を集める必要があります。多くの場合、インストール状況と脆弱性との紐付けを人手で実施している(IT資産管理と脆弱性対策とが連携できているわけではない)。
• インストール状況と脆弱性との紐付け
  もし、インストール状況を把握できるソフトウェア辞書と脆弱性対策情報サイト(JVN/JVN iPedia)とを紐付けできるとインストール状況と脆弱性とを紐付けで、 対策の効率化の可能性が広がります。
  2016年、製品識別子CPEを用いた脆弱性対策情報データベースJVN iPediaとSAMACソフトウェア辞書との連携を実施しました。インストール状況を把握できるSAMACソフトウェア辞書の連携用項目に製ソフトウェアEを追記してソフトウェア弱性対策とIT資産管理との連携とは～新たな取り組み～
  脆弱性対策情報データベースJVN iPediaに登録されている製品一覧は、脆弱性が報告された製品のみになっています。そのため新たな脆弱性の報告が迅速に展開されるためには、報告されていない紐付け可能な製品識別情報を蓄積していく仕組みが必要になります。
  脆弱性対策情報データベースJVN iPediaの製品一覧に、国内で流通している製品(脆弱性が報告されていない製品)の紐付け可能な製品識別情報を登録するための実現性検証を試みます。
• 脆弱性対策とIT資産管理との連携とは～連携のための製品識別～
  脆弱性対策情報データベースJVN iPediaの製品一覧に、国内で流通している製品(脆弱性が報告されていない製品)の紐付け可能な製品識別情報を登録するための実現性検証を実施しました。
  ①インベントリに登録されているデータの実態調査
  ②調査結果に基づく紐付け可能な製品識別情報生成の検討
• 脆弱性データベース検討WGの考える目指すべき姿
  脆弱性対策データベースが提供する脆弱性対策情報と、IT資産管理で把握しているコンポーネントとを紐づけることで脆弱性対策とIT資産管理との連携を実現すること。
  ①IT資産管理でインストールされているソフトウェアを把握できれば、脆弱性対策情報と紐付けることができる。
  ②IT資産管理でカスタムアプリ(委託開発したアプリケーションなど)のソフトウェア部品表(カスタムアプリの使用コンポーネント一覧)を把握できれば、脆弱性対策情報と紐付けることができる。

【後援団体セッション】脆弱性対策を支援する技術仕様

独立行政法人情報処理推進機構（IPA）セキュリティセンター
寺田 真敏 氏

「脆弱性対策を支援する技術仕様」をテーマに、IPAが毎年発信している「情報セキュリティ10大脅威」、「ソフトウェア部品表（SBOM）」、「脆弱性対策を支援する技術仕様」をテーマに講演が行われた。

「情報セキュリティ10大脅威」は、IPAが毎年発表しているもので、その年に最も注目すべきセキュリティ脅威をランキング形式で示されている。2012年から2019年までは、標的型攻撃が主な脅威とされていた。しかし最近では、ランサムウェアの脅威が急増しており、特に二重脅迫型ランサムウェアが増えている。これはデータの暗号化と共に、窃取したデータの公開を脅迫材料とする手法である。このような攻撃は、企業の規模や業種に関係なく発生しており、特にテレワークの普及に伴って、VPNやリモートデスクトップを経由した攻撃が増加している。2021年から2023年にかけて、ランサムウェアの被害はますます増加し、その影響で復旧にかかる費用も大幅に増加した。

その中で、サプライチェーンを狙った攻撃が増加している現状についても触れられた。取引先や委託先の機密情報を狙う攻撃が多発しており、サプライチェーン全体でのセキュリティ対策がますます重要になっている。特にソフトウェア開発においては、委託先や外部業者が使用するコンポーネントに対するセキュリティ管理が不可欠である。委託先のセキュリティリスクが、自社のセキュリティに直接影響を及ぼすことから、サプライチェーン全体での包括的なセキュリティ対策が求められている。

脆弱性は主に「仕様の脆弱性」、「コードの脆弱性」、「設定の脆弱性」、そして「利用者の脆弱性」に分類される。最近では「利用者の脆弱性」が新たに加えられ、これら全てに対して適切な対策が求められている。特にセキュア・バイ・デザイン、セキュア・バイ・デフォルトの概念が重要視されており、これらの原則に基づいた開発が強く推奨されている。セキュア・バイ・デザインとは、システムの設計段階からセキュリティを組み込む考え方であり、セキュア・バイ・デフォルトは、初期設定で安全に使用できるようにする考え方である。これらの概念を取り入れることで、開発段階からセキュリティリスクを最小限に抑えることが可能になる。

続いて、「ソフトウェア部品表（SBOM）」について。SBOMは、ソフトウェアの各コンポーネントをリスト化し、その脆弱性やライセンスを管理するためのツールである。オープンソースの使用が増加する中で、そのリスク管理がますます重要となっている。SBOMを活用することで、ソフトウェアの脆弱性を特定し、迅速に対応することが可能になる。また、ライセンスの管理も容易になり、法的リスクの軽減にも役立つ。特に企業が使用するソフトウェアの多くがオープンソースコンポーネントを含んでいる現代において、SBOMは不可欠なツールとなっている。ソフトウェアの開発において、オープンソースソフトウェアの利用が増えると、その脆弱性やライセンス問題の管理が非常に重要になる。

SBOMを活用することで、企業は自社で利用しているソフトウェアの構成要素を把握し、脆弱性の早期発見と修正が可能になる。また、SBOMはソフトウェアのライフサイクル全体を通じてセキュリティを強化するための重要なツールであり、特にサプライチェーン全体でのセキュリティ管理を強化する役割を果たす。SBOMを導入することで、企業はソフトウェアの信頼性を高めるとともに、法的リスクの軽減やコンプライアンスの遵守にも寄与することができる。

最後に、脆弱性対策を支援する具体的な技術仕様について。各脆弱性に対するチェック方法として、仕様の脆弱性は机上レビューが有効であり、コードの脆弱性に対してはホワイトボックス検査やブラックボックス検査が有効である。設定の脆弱性にはセキュリティ設定検査が推奨されている。これらの検査方法を組み合わせることで、システム全体のセキュリティを強化することが可能である。また、セキュア・バイ・デフォルトの思想を取り入れ、デフォルト設定で安全に使用できるシステムを目指すことも重要である。

米国や他国のサイバーセキュリティ当局との共同署名により、セキュア・バイ・デザイン、セキュア・バイ・デフォルトの文書が公表され、日本でもこれらの取り組みが進んでいる。これにより、IT資産管理においてもセキュリティ対策が一層求められるようになっている。さらに、国内外のセキュリティガイドラインや規制に対応するために、企業は常に最新の情報を収集し、対策を更新し続ける必要がある。

情報セキュリティはますます重要な課題となっており、企業は自身のセキュリティ体制を強化するために不断の努力を続けなければならない。日本国内においても、IPAは企業や組織が安心してデジタル技術を活用できるよう、引き続きサポートを行っていく。それとともに、セキュリティ対策を徹底し、安全なIT環境の構築を目指すために、今後も一層の注力が求められる。

脆弱性の対策はユーザー企業のみならず、さまざまな取り組みによって、可能な限り人に依存しない形で同様の対応方針に落ち着ける仕組みへの改善が追求されている。IPAとしてもそのような情報を発信していきたいと考えているため、本日紹介したツール等を上手に活用しつつ、また、可能ならばIPAにもフィードバックをいただきたい。

ITAM World 2024 開催報告