« サイバー戦において適用される赤十字の新たな規則? | トップページ | Zombie Zoom »

2023年10月 8日 (日曜日)

生体要素による認証(本人確認)

いずれ関連法令が全部改正となり,生体要素による認証を全部禁止とすべき時が必ず来る。

国家機関も企業もそのような事態の到来に備え,本人確認のプロセスにおいて生体要素を一切使用しない処理のための仕組みをサブシステムとして今から準備しておくべき必要性がある。

なお,既に収集された生体要素データが安全に管理されているかどうかに関しては相当に疑わしい事例もあり,現実にハッキングによって大量に奪われてしまっている例もあり,セキュリティが甘すぎるために「このシステムはダメだな」と判定できる事例も結構多数存在しており,また,システムの防護が大丈夫でも「この従業員で大丈夫か?」と疑われる事例も多数ある。

そのような状況にありながら,日本国の個人情報保護委員会は,何も期待できないような状態となっている。
一般に,個人情報保護委員会のトップ及び枢要な立場にある者の仕事は,標準的なキャリア官僚の知的能力では絶対に遂行不可能な仕事だ。少なくとも初代個人情報保護委員長の能力と同等またはそれ以上の知的能力と完全な専門知識と豊富な実務経験(特に,日本国内だけではなく,OECD関連を含め海外における個人データ保護関連実務の豊富な経験)が求められる。

今後の予想としては,日本国の官民のシステムの大半がサイバー攻撃を受け,存在する生体要素データがほぼ全部奪われ,AI技術の応用によって容易に生成される関連データを用いた(本人と微塵も相違のないアバターのようなものによる)完全なデジタルなりすましがどこでも普通に横行するようになった時点で,生体要素による認証というやり方を放棄することになると考える。

走行中の自動車のナンバープレートや顔画像等の要素データも関連装置のハッキングによってそのようなアバター的な要素に自動的に置き換えられるというようなタイプのサイバー攻撃は十分にあり得る。

それらのなりすましのためのアバターは,人間の目に見えるものとは限らない。むしろ,人間の目には単なるデータセットのようにしか見えないけれども,当該システムを標的とする完全ななりすまし攻撃を容易に実現するためのデータセットであり得る。
この点に関して,情報システム内におけるデータ及びデータセットの機能・作用という観点からは,人間の五感の作用を基礎とするような考察方法を基本的に全部やめてしまわないと,AI技術が攻撃のための基本的な手段として使用される時代に対応した適切な情報セキュリティを確立することなど不可能なことだと言える。
そのような観点からすれば,AIによる電子的ななりすましが容易に成立する世界では,自然人が情報システムから一方的にどんどん排除されてしまい,「そして誰もいなくなった」という状況が発生するという,よくあるSF的世界が現実的なものとなる。その意味で,生体要素の収集という行動は,そのデータを収集している企業の経営者やエンジニアを含め,当該情報システムを不可欠な手段として生活している自然人を滅ぼすための自己矛盾的な行動であると言い得る。

他方,法令や行動規範によってAI技術の濫用を防止しようという努力は存在している。例えば,EUのAI法案はその代表例であると言える。世界中の類似する政策提案等の大部分は,EUの欧州委員会の長年にわたる苦心の末に生み出されたAI政策の基本方針と管理策の応用またはパクりに過ぎない。ただし,EUのAI法案は,軍事目的によるAI技術の応用には適用されないことを明確にしている。それは,EUのAI法案を軍事目的のAI技術の応用に対して適用することにしたとしても,軍当局によって遵守される可能性が全くなく,かつ,普通の行政機関による軍当局に対する規制や監督が成立する余地が最初から全く存在しないからだ。
一般に,法令や行動規範は,それを遵守しようとする者には意味のある手段なのだが,例えば,特定の国家それ自体が軍事行動の一部として,相手国の国民とすりかわるためのなりすましの目的で,または,相手国の認証システムを大混乱に陥らせて電子決済や電子認証をほぼ全面的に崩壊させ,情報通信及び経済活動の面において相手国を根底から破壊するという単純な破壊目的でAI技術を積極的に使用する場合,そもそも法令や行動規範の遵守が最初からあり得ない。
現実の世界は私見である「戦時と平時が常に共存する状況」の下にあり,AI技術を駆使してサイバー攻撃を実行しているのは,多くの場合,侵略主義的な国家の軍組織または独善的な国家の軍組織である。そのような場面において法令や行動規範が遵守される可能性は皆無と言わざるを得ない。結論として,そのような側面においては,法令や行動規範による対処は,全く無意味なことだと言える。
このことを即座に正しく理解できる職業政治家は,残念ながらほぼ皆無に近い。

以上に述べたような全崩壊の時期は,一般に予想されているよりも相当に早く到来する。韓国において過去に発生した類似の国家規模の破綻事例を参考にすれば,そのことを明確に理解することができる。何しろ(AIによる電子的な攻撃元を含め)攻撃者の数が多すぎて防御しようがなくなるのだ。

一般に,「生体要素によるなりすましの可能性」は,電子的な世界におけるなりすましだけではなく,(自然人である実際の国民との入れ替わりの実現可能性を含め)現実世界における様々な利得や社会的効果にも直結しているため,パスワード等の単なる符号のデータを奪うことによるなりすましの可能性というインセンティブをはるかに凌駕するインセンティブを形成し得るものだと言える。

EU域内における(構成国間の)自由通行を電子的に実現するためのEUの電子パスポートは,もともと完璧を求めていないのだが,(日本国の政策決定権者において)その点に誤解があったこと,そして,(開発・実装・運用の現場において)本人確認のための電子的な証明をビジネスに結びつけて金儲けしようとする魑魅魍魎的な者があまりにも多かったことが,日本国における全体としての失敗のそもそもの出発点となっている。

無論,(日本国内においては)EUのGDPRを読んで即座に理解できるだけの知的能力をもつ優秀な人材が極めて乏しいという悲しい現実もその要因の1つとして存在している。

これらのことに関し,あくまでも一般論だが,正しい大義のために思考し,行動するのではなく,私利私欲のため,特に自己の経済的利益のために行動する者は,何をなすべきかが見えないし,見えていても無視するので,そのことが当該情報システムにとって最悪かつ致命的な脆弱性要素を生み出し得る。

 

|

« サイバー戦において適用される赤十字の新たな規則? | トップページ | Zombie Zoom »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« サイバー戦において適用される赤十字の新たな規則? | トップページ | Zombie Zoom »