「事故物件買取センター」とは?(転載)


 全国から問い合わせ殺到 事故物件買取センターの勢い止まらず。関西から東京に出店

事故物件と聞くと関わりたくないと思う人が大半だろう。だが、そんな物件ばかりを買い取り、残置物を処理、改装して市場に出している会社がある。株式会社あきんどが手掛ける事故物件買取センターである。

5年前にスタート、ここ1年で急成長


同社は大阪府守口市に本社を置く不動産買取再販を行う株式会社なにわ工務店の関係会社で、事故物件を専門に扱う別会社を始めたのは約5年前のこと。

「なにわ工務店経営者の家族への、知人からの相談がきっかけでした。親が自宅で亡くなり、その家を処分したいと考えているが引き受けてくれる不動産会社がなくて困っているとのこと。

それまでの買取物件の中にもそうした物件はあったのでしょうが、相談を受けて改めてそうした問題で困っている人がいること、さらにこれからも増えるだろうことに気づいたのです。

それで株式会社あきんどを立ち上げ、事故物件を専門に扱うことになりました。2021年7月で立ち上げからちょうど5年になります」。

最初は地元である京阪エリアを中心にチラシを撒く程度で、問い合わせも周辺からだけ。月に数件くらいだったというが、1年ほど前にホームページをリニューアルしたことで徐々に問い合わせが増加。エリアを全国に広げたことで月に100件を超える個人や業者からの問い合わせが届くようになったという。

そのうちから買い取れるものがあれば月に15~20軒は買い取っているという。

この間で少しずつ競合と思われる会社も出てくるようにもなったが、全国に無料で査定に行って積み上げてきた実績は強く、今現在では日本で一番事故物件を扱っているのではないかと思われる。

生死に関わることから建物、地域に瑕疵のある物件も


事故の内容としては孤独死、自殺、殺人や心中などのように人の生き死にに関わるもののほか、火事にあった、傾きがある、再建築不可、シロアリ問題がある、長屋・連棟、狭小地、借地などといった建物、土地に瑕疵や売りにくい条件がある、近隣とトラブル、もめごとがある、クレーマーがいる、ごみ屋敷になっているなど人の問題まで幅広い。

多くの人は最初、地元の不動産会社に相談するものの、そこで敬遠されてこの会社に、ということも少なくない。

事故物件という言葉だけで特殊なイメージを持ち、扱いたくない、扱いづらいと思ったり、残置物や清掃などの手間をかけたくない、そうしたノウハウがないなどが敬遠される理由だろう。地元だけに風評被害を懸念するということもあろう。

だが、同社の場合には残置物の処理から始まる改装、地元の不動産会社に依頼しての売却活動に至る一連の作業は事故物件以外でも同じ。つまり、ノウハウがあるのである。

査定に独自のノウハウ、売れなくても仕方ないという覚悟


さらに近畿圏から始まり、東海、九州などへ広がって全国で査定経験を積み重ねてきたこともノウハウとしては大きい。

「事故の影響性は物件、地域、居住者などによって違います。駅前の利便性優先のマンションならそれほどの瑕疵と思われないものが、新築の住宅での事故だと大きなダメージになりますし、高齢のご夫婦が住んでいたなら気にならないところが、若い夫婦で事故があったとなると売りにくい。

またその街の人口構成、購買層がいるかどうか、過去の成約事例に加えて人の流れや地域柄などを考えます。もちろん、必ず現地は見ます。従来の査定よりも検討することが多いです」

相場はあってないようなもの。一般的な相場に比べれば安いのは確かだが、場所により、需要と供給によって異なるという。それは同社の急いで売ろうとしていないという同社の姿勢とも重なる。

「不動産には賞味期限がなく、適切に手を入れておけば腐りません。私たちの改装では床から壁、ユニットバスその他の水回りまで徹底的にリフォームするので事柄は残るとしても面影はなくなります。

そして、安ければ問い合わせはきます。とはいえ、反響が多くすぐに決まる物件もあれば、1年以上動かない物件も。必ず、すぐ売れるというわけではありません」。

物件としては父が亡くなるなどして相続した物件の売却依頼が多く、全体の半分くらいを占める。

その家で生まれ育った人もいるにはいるが、自分が使う家ではないという意識があるようで、感傷的になるよりは早く処分したいという気持ちが強い場合が多いそうだ。ちなみに人が亡くなった家のうちの7~8割は相続で取得したものだという。

プライバシーには細心の注意


事故物件の場合、特に注意すべきはプライバシーの問題。

「買取依頼を寄せてくる方々はネガティブな事情に直面された方が多いので、誰にも知られることなく、売却を済ませたいという要望をお持ちです。

今の時代、プライバシー保護は当たり前に言われていますが、事故物件を扱う場合にはそれ以上に最大級の配慮が必要だと感じています」。

その点から考えると事故物件で地元に事情を知られたくないと考えた場合、実は地元の不動産会社以外に依頼するほうが情報の流出を抑えられるという考え方もあり得るのではなかろうか。

ごみ屋敷居住者は複数のトラブルを抱えている


数は多くはないが、事故、事件があった物件の相談もある。本人以外にも士業を経由しての相談もある。近隣トラブル、近所のクレーマー、ごみ屋敷が理由の物件もあり、実に幅広い相談が持ちかけられる。

「ごみ屋敷の所有者の多くは債務を抱えています。問題をひとつ抱えているひとは、聞いてみると他の問題も抱えているものです。

そこで今のままで買い取りではなく、経済状況によっては自己破産を勧めることなどもあり、最良の解決が提案できるようにいつもなにかしらの勉強をしている感じです」。

こうした相談に応じ、全国に無料で査定に行き、すぐ売れるわけでもない、融資のつかない物件を現金で買い取れるのはなにわ工務店本体の資力があるから。あらかじめ、買い先を見つけてから購入という会社はあるが、出口を考えずに買えるのはそのためだ。

それでも買わない物件の条件とは?


他社が買わない物件を積極的に買っているとはいえ、買わない物件もある。それが過去に地域での売買履歴がなく、賃貸ニーズもなく、修復が困難なほど老朽化した物件で、仮に解体しても利益が全く見込めないものだ。

「流通性がなくても家がしっかりしていれば賃貸用に買う人がいるでしょうし、買取金額が安ければ残置物があって、建物が多少傷んでいても賃貸ニーズがあれば買うこともあり得ます。どれかひとつの条件をクリアしていれば考えますが、3つの条件が重なっている物件はダメ。買いません」。

この3条件が重なる物件は投資すべき物件ではなく、再度流通させるのは難しいというわけだ。

現状では同社物件を知る手立てはないが……


さて、様々な地域でワケありとはいえ、相場より安い物件が供給されているのであれば買いたいと考える人も多いはず。だが、現状では同社が手がけた物件を探すのは難しい。

「買うまでは他社には見せず、購入後もしばらくはどうリフォームするかを考えて寝かせていたりします。その後、リフォームしたら販売は地元の不動産会社に任せており、自社でレインズに載せることはあるにしても売るところにはあまり関与しません。

弊社が事故物件を扱っていることを知ったいろいろな地域の方から買いたい、賃貸に使えるような物件はないかなどお問い合わせは受けますが、将来的にホームページに載せることはあるかもしれませんが、現状では地元の会社さんにお任せしています」。

物件はきれいに改装され、地元の不動産会社が販売を担当。もちろん、過去の事情はきちんと説明した上で売られているが、そこでは同社の存在は見えなくなっているのである。

東京に支店、その次は九州、愛知にも


ただ、今後の展開次第ではもしかしたらという期待もある。なにしろ、同社の事業は現在急成長を見せている。手始めに首都圏に拠点を持つそうで、すでに御徒町にオフィスを手配済み。知事免許を大臣免許に書き換え、7月下旬からは本格的に業務を開始。同時に首都圏で流すTVCMも作成中。

さらに今年、来年くらいには福岡、愛知への出店を考えているとも。5年前にこれからニーズがあると読んだ通りの展開になっているのだ。

ちなみに関西から始めたビジネスながら現在の取り扱いでは東京23区を除く首都圏の千葉県、埼玉県、神奈川県を含めた関東エリアが多く、ついで福岡をトップに熊本、佐賀など九州エリアなどとなっているとか。

「これまで本当に大阪から無料で査定に来てくれるんですか?あとで多額を請求されたりしませんか?と不安がられていましたが、今後はそれが無くなります(笑)」。事故物件がきちんと流通するようになる日も近い。

被害者急増中~Amazonギフト券の買取詐欺にあった体験談(転載)


被害者急増中~Amazonギフト券の買取詐欺にあった体験談:

先日、何かのタイミングで知人に“Amazonギフト券”を貰いました。

特に欲しい商品や使う予定などもありませんでしたので、どこかに買取してもらおうと思い、ネットで検索した業者に依頼することに。

しかし、その買取依頼した業者がとんでもない詐欺業者だったため今回、他に被害が起きないように私の体験談をご紹介いたします。

依頼した業者は“買取〇〇〇95”。 

ホー厶ページの申込フォームから“Amazonギフト券コード番号”を入力して送信をクリックしました。

しかし、待てど暮らせど入金なし。

いつまで経っても入金がないので仕方なく“お問い合わせフォー厶”から連絡しましたが、返答はなし。 

ホー厶ページには“60分”で入金と記載されていましたが、申込からすでに“1週間”音沙汰ありません。

改めて業者名で調べてみたところ“口コミ投稿”が悪評だらけでした。

やたらと“買取率”を高く記載する業者は“詐欺”の可能性があるため買取を依頼する際には要注意です。

上記以外の業者であったとしても“Amazonギフト券”の買取詐欺はかなり多く、被害者が急増中です。 

事前に買取業者の”口コミ投稿”をチェックするなどして、下調べを怠らないよう気を付けてください。

YouTubeの再生回数を意図的に購入できるサービス(転載)~個人的には実現のための仕組みが気になる~


YouTubeの再生回数を意図的に購入できるサービス:

今では”将来のなりたい職業”にも殿堂入りする勢いの“YouTuber”

バラつきはありますが、再生回数“10回”“1円”と試算されておりメディアでも取り上げられている“1億回再生”は、正に億り人手前。

ただ、現実世界はそう甘くはなくヒエラルキー階層は雲の上だけが儲かっている仕組み、今後参入を考えられている方にとって、この再生回数は、大きな鍵となります。

そんな中、この再生回数を簡単に稼げるサービスが話題のようです。

 SNS-MALL.TOKYO

こちらのサービス、“YouTube”再生回数やチャンネル登録数などを意図的に購入できるというもの。

サービスには”評価”や”広告収入”も販売されており”YouTube”をこちらだけで網羅できてしまえる現代のサクラシステムといえます。

 実際は、投稿する動画そのものに魅力がなければ長続きしませんが新しい店に行列があれば、後ろに並びたくなるのが日本の特性です。

今後、始める方にとって足掛かり程度には、なるのかも知れません。

また、”YouTube”以外であっても“Twitter”“インスタグラム”などSNSの“フォロワー”なども販売中。 

これらは”フォロワー”を集めた後“アカウント”をそのまま転売して利益を得ようとる輩のためですが健全にSNSを楽しむ方にとっては関係ないサービスかも知れません。

不動産が下がるとしても、投資した方が儲かる理由(転載)~不動産はエブリデイ買い時~


不動産が下がるとしても、投資した方が儲かる理由:

今月更に東京23区に不動産を購入しようと、金融機関に融資の打診をしています。もし借りられれば、いよいよ2ケタ億円の借入残高になります。お金は借りられるだけ借りておいた方が良いというのが私の投資の考え方です。

しかし、東京の不動産は上昇を続けており、今から購入すると高値掴みになるのではないかという、「不動産評論家」の意見もあるようです。

まず、私は不動産の価格に関しては大きく下がる可能性は低いと考えています。また、もし不動産価格が下がったとしても、投資した方が儲かる可能性も充分にあります。それは、借入金利と不動産賃貸利回りの差(イールドギャップ)が時間と共に収益を積み上げていくからです。

具体的な数字で考えてみましょう。

賃貸利回りが4.0%(管理費などを差し引いたネット利回り)の中古ワンルームマンションを2000万円の全額借入で購入するとします。借入金利が1.5%(金利差2.5%)であれば、35年借入で61,236円となります。

家賃は手取りで66,666円で、元利均等ローンの返済額は毎月61,236円ですから、毎月5000円程度のキャッシュフローを得ることができます(これは年に1回の固定資産税の支払いに充当できます)。

ローン返済の初月の内訳は36,236円が元本返済、25,000円が利息分となります。元本が減っていくと、毎月の元本返済部分の比率が高くなっていき、借入残高が減少していきます。返済を続けていくと

5年後には、借入残高17,743,664円(2,256,336円の返済)
10年後には、借入残高15,311,709円(4,688,291円の返済)

となります。

つまり、10年後であれば、2割以上物件価格が下がっていても、売却すれば利益が出るということです。

上記例のように、金利差が2.5%程度あれば、35年ローンで毎月のキャッシュフローが得られ、年間で50万円弱の含み益を蓄積することができます。それが物件価格の下落よりも大きければ、物件価格が下がっても投資した方が有利となるのです。

これは、株式投資で、値上がりするかしないかというキャピタルゲインに賭ける投資をしている人には、なかなか理解できない不動産投資の醍醐味です。自分が返済するのではなく、賃借人の家賃で勝手に返済が進むのです。

金融資産への投資で、毎日消耗している人は、是非不動産投資への投資対象の拡大を実践するきっかけにしてみてください。

※内藤忍、及び株式会社資産デザイン研究所、株式会社資産デザイン・ソリューションズは、国内外の不動産、実物資産のご紹介、資産配分などの投資アドバイスは行いますが、金融商品の個別銘柄の勧誘・推奨などの投資助言行為は一切行っておりません。また、投資の最終判断はご自身の責任でお願いいたします。

メルカリがインシデントを公表(転載)~GitHubに個人情報保存するなよ😡~


メルカリがインシデントを公表、開発プロセス自動化のリスクに注意を:


 メルカリは2021年5月21日、コードカバレッジツール「Codecov」に対する不正アクセスにより、同社保有のプログラムソースコードの一部と一部顧客情報が外部流出したと公表した。

 流出したのは、フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報1万7,085件、2015年11月〜2018年1月の間でカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先などに関する情報7966件、同社子会社を含む一部従業員に関する情報2615件としている。稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響はないとしている。

 情報流出に該当する顧客には個別に案内を進め、専用の問い合わせ窓口を設置する。

 メルカリの報告によると、Codecovの運営元であるCodecov LLCが不正アクセスの被害に遭った際、同社が利用していた「Bash Uploader」が「定期的に不正に変更される事象が発生」したことで、Codecovのサービスに接続していた顧客の認証情報やトークンなどが流出したことが発端とされる。Codecov LLCの調査では2021年1月31日から不正アクセスが発生していたという。

 Codecov LLCがこの情報を公表したのが2021年4月15日で、その翌日の4月16日にはメルカリも対策を開始し、認証情報の初期化を進めていたという。

 ここで、ソースコードリポジトリを置くGitHubもこの問題を独自に調査しており、2021年4月23日に不正アクセスの可能性があることをメルカリに報告したという。これを受けてメルカリが本格的な調査を進めた結果、同日の内にソースコードの一部に不正アクセスが判明したという。

 メルカリは即日、全社横断的な対策本部を設置し、関連当局等への報告を実施した。同時に、不正アクセスされたソースコードに認証情報などが含まれていないかを調査し、認証情報等の初期化作業を開始したとしている。

 不正アクセスされたソースコード上に一部顧客情報があったことが判明したのは4月27日だったという。同社は事実の公表による追加被害のリスクを回避する目的で、不正アクセスへの対策と調査を先行して実施したため、情報の開示が2021年5月21日になったとしている。

 メルカリが公表した情報によれば今回の漏えいの全貌は下図のようになる。


 アプリケーションの開発やテスト、運用を自動化する目的で、各ツールやシステムを連携する際、認証情報やトークンを使うことになるが、ソースコードに直接認証情報を記入する方法はリスクとなる場合があるため、原則として禁止されることが多い。また、開発環境で扱うテストデータなどの取り扱いにも慎重さが求められる。開発環境やテスト環境で本番データを使う場合も、直接センシティブデータを扱うのではなく匿名化やマスク処理を施すなどの対策が必要だ。利用したデータは確実かつ速やかな削除も徹底する必要がある。特に、プロジェクトオーナーが不在になるなどの理由でライフサイクルを管理しきれないまま残されたリソースがある場合、リスクにつながるデータが残ったままとなっている可能性があるため、過去のプロジェクトを含め、組織としてチェックできる体制を確立することが重要だ。

化粧品通販サイトに不正アクセス(転載)~想定損害賠償額は4800万円程度か~


化粧品通販サイトに不正アクセス - クレカ情報流出の可能性

「ブルークレールWebサイト」もEC-CUBE

化粧品を扱うオンライン通販サイト「ブルークレールWebサイト」が不正アクセスを受け、利用者のクレジットカード情報が外部に流出し、不正に利用された可能性があることがわかった。

ブルークレールによれば、脆弱性を突かれて決済アプリケーションが改ざんされ、クレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

対象となるのは、2020年3月30日から2021年1月29日にかけて同サイトでクレジットカード決済を利用した1863人。クレジットカードの名義、番号、有効期限、セキュリティコードが流出した可能性がある。

1月29日にクレジットカード会社より漏洩の可能性について指摘があり、調査を実施。3月30日に外部事業者より調査報告を受けていた。

同社は、4月19日に警察へ被害を申告し、個人情報保護委員会には4月22日に報告した。対象となる顧客に対しては、5月24日よりメールで通知し、謝罪している。

東京23区からの転出者はどこに行ったのか?


 武漢ウイルスの蔓延でリモートワークが常態化し、その結果東京23区の人口が減っているらしい。

では、東京23区を去った人はどこに行っているのだろうか。

以前「熱海に引っ越しました」みたいなニュースを見たことがあるが、ウラケン先生がトップ30をまとめてくれていた。

ポイントは都内へのアクセス(電車でも新幹線でも)が1時間というのがポイントになっている模様。

武漢ウイルスが落ち着いた後、働き方がどうなるか見えない部分もあるが、毎日電車痛勤するようなケースはなくなっていくと思われる。(個人的には全体の半分を上限にテレワークが容認されるような気が何となくしている)

そう考えると、都内まで1時間でアクセスできる今回のリストはいろいろ参考になる点があると思う。

個人的には川崎に興味があり、今回リストに上がった川崎エリアは是非今後の投資戦略に活用していきたい。

■ホット!?な川崎エリア
・宮前区
・高津区
・多摩区
・麻生区




米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン / Insider Threat Mitigation for U.S. Critical Infrastructure Entities(転載)



米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン [PDF] dni.gov/files/NCSC/doc…: 米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン
[PDF] dni.gov/files/NCSC/doc…

Overview

米国の国家防諜戦略、2020-2022」は、米国の重要インフラ組織に対する外国の国家および非国家主体からの脅威が拡大し、進化していることを強調しています。
外国の敵対者は、冷戦時代によく見られたように、もはや単に米国政府を標的としているのではなく、今日では、米国の重要インフラやその他の民間企業、学術団体を含む、より広範な標的に対して高度なインテリジェンス能力を使用しています。
これらの米国の産業界や学術機関は、今や地政学的な戦場の真っ只中にあります。

外国の脅威となる企業は、これらの組織とその従業員に関する大量の公開・非公開データを、かつてないレベルで収集しています。
これらの情報を高度なデータ分析能力やその他のツールと組み合わせることで、外国の敵対者は、米国の地政学的利益を促進するために、米国の労働力の中から脆弱な人々を特定し、標的とし、利用する膨大な機会を得ています。
彼らの強みは、私たちの弱点を見極めることであり、私たちの脅威は彼らのチャンスなのです。

このような脅威の状況を考えると、重要インフラ企業は、インサイダーの脅威を事前に防ぎ、軽減するためのリソースを優先的に投入することが不可欠です。
インサイダー脅威とは、組織内で信頼されている人物で、意図的か否かにかかわらず、施設、人員、情報への許可されたアクセスを利用して、組織に損害を与える可能性があるものです。

National Insider Threat Task Force(NITTF)は、組織が効果的なインサイダー脅威プログラムを構築するための基準、勧告、ガイド、公報を豊富に作成しています。
NITTFは、機密情報の漏洩に対応するために設立されましたが、NITTFは、従業員のプライバシーと市民的自由を保護しつつ、あらゆるインサイダー脅威に積極的に対応する組織運営を推進しています。
NITTFのモデルは、人間の行動に焦点を当てており、異常な行動を特定し、従業員、組織、ミッションに重大なダメージが及ぶ前に対処することを目指している。
NITTFのモデルは、すべての組織資源を保護するためのベストプラクティスとして、政府や産業界で広く認識されています。

国家防諜・セキュリティセンター(NCSC)は、脅威に対する認識を高め、外国の諜報活動の脅威から国を守るために設計された実務を推進しています。
正式な防諜プログラムではありませんが、インサイダー脅威に対抗するために設計されたプログラムと実務は、国の全体的な防諜態勢の強化に役立ちます。

本報告書の目的は、重要インフラに対する人間の脅威に対する認識を高め、この脅威のベクトルを組織のリスク管理に組み込む方法についての情報を提供し、インサイダーの脅威を軽減する方法についてのベストプラクティスを提供することである。
本報告書は、重要インフラ事業体が人間の行動に焦点を当てた内部脅威プログラムを利用することで、重要な脆弱性に対処し、敵に悪用されるのを防ぐ方法について幅広く考察し、既存のNITTFガイダンスを補完するものである。

Insider Threat(内部脅威)


「インサイダーの脅威」は、文明の起源から人類の歴史の一部となっています。
ほとんどの文化圏では、インサイダーの脅威に関する歴史的な物語があります。
米国の歴史には、信頼できる仲間が寝返ったときに直面する脅威を浮き彫りにする逸話がたくさんあります。
ベネディクト・アーノルドから最近の大惨事となった機密情報の不正開示に至るまで、共通の物語があります。
信頼された有能な人間が、人生の課題に直面して進路を変更し、最終的に危害を加えるというものです。

外国の敵対者が、侵入しようとする組織内のインサイダーを悪用したり、利用したりするために費やしているリソースを考えると、インサイダーの脅威は、今後数年間にわたり、ほとんどの重要インフラ事業体の脅威とリスクの状況の中で永続的な部分となるでしょう。

解決策は?インサイダー脅威は人間の問題であるため、人間による解決策が必要です。
テクノロジーを利用すれば、特にバーチャルな領域での従業員の行動を把握することができますが、インサイダー脅威に対抗するために組織が持つ最も重要なリソースは、従業員自身です。
このような脅威を軽減するために、組織は最低限、次の2つのことを実現しなければなりません。

  1. 個人の異常な行動を特定するプログラムと、それに対応するためのリソースを用意する。

  2. 信頼を醸成し、パートナーとしての従業員を活用する方法で、異常な行動に対応する。
重要インフラ事業体とは、大統領政策指令21(Critical Infrastructure Security and Resilience)で定義された、米国の電力網、通信ネットワーク、金融機関、製造施設、輸送施設、病院などの16セクターを指します。
これらのセクターには、道路や繊維などの物理的な資産だけでなく、それらを支える知的資本、すなわち医療、エネルギー研究、食糧生産、グリーンテクノロジーなどに携わる人々が含まれています。
これらの人々は、悪意のある目的のために重要な資源へのアクセスを求める外国の敵対者の主要なターゲットの一つです。

米国の重要インフラ事業体におけるインサイダーの脅威は、故意であるか否かにかかわらず、国家安全保障や公共の安全、さらには個々の企業や州・地方自治体に重大な損害を与える可能性があります。
このような脅威を軽減する方法を改善することは、国益と個々の組織の利益につながります。

NCSCとNITTFは、国土安全保障省、財務省、エネルギー省、国防省などと協力して、米国の民間企業、州・市・地方自治体、学界などの重要インフラ事業体をよりよく支援するために活動しています。
重要インフラ事業体には、従来のセキュリティ対策を強化・補完し、それぞれの環境や固有の脅威・リスクに合わせた、人間の行動に焦点を当てたインサイダー脅威対策プログラムに投資することをお勧めします。

How the Risk and Threat Environment is Changing(リスクと脅威の環境はどのように変化するか)


米国の脅威環境は、新たな種類とレベルの注意を必要とする形で変化しています。米国の重要なインフラは、地政学的な戦いの場であると同時に、大規模な犯罪活動の標的でもあります。


米国に対する外国のインテリジェンスの脅威は、今日ほど複雑でダイナミックなものはありません。
外国の脅威主体は、ますます洗練されたインテリジェンス能力を持ち、それらを新たな方法で米国を標的にしています。
さらに、これらの脅威主体は、自らの利益を追求するために利用すべきターゲットと脆弱性を拡大しています。敵対者は日常的に学習し、米国のセキュリティ対策に適応しています。

米国の重要インフラを破壊することは、外国の敵対者にとって、米国の国家安全保障、経済安全保障、国民の健康と安全に深刻な損害を与える手段の一つです。米国の国家防諜戦略、2020-2022年によると、

外国の諜報機関は、世界中の重要インフラを悪用し、破壊し、劣化させる能力を開発しています。外国の情報機関は、重要インフラを危険にさらすことで、危機的状況にある米国の意思決定者に影響を与えたり、強要したりすることを目的としている可能性が高い。世界各地の重要インフラは分散化され、デジタル化されているため、外国の情報機関が利用できる脆弱性があり、世界のエネルギー、金融市場、通信サービス、政府機能、防衛能力を支える施設やネットワークも標的となっています。

このように進化する脅威の状況と、米国の重要インフラの多くが民間企業に所有されているという事実を考慮すると、重要インフラの安全確保は、米国の情報コミュニティや連邦政府だけの機能ではありません。
解決策には、民間企業やその他のステークホルダーが関与する必要があります。米国の重要インフラを守るためには、官民一体となって「ゲームを盛り上げる」ことがこれまでになく求められています。

Insider Threats Pose New Kinds of Challenges(インサイダーの脅威がもたらす新たな課題)


重要インフラ企業に対するインサイダーの脅威は増大しています。これらの脅威は、リモートアクセスによるサイバー脅威に比べて評価が低く、緩和が困難な場合があります。


インサイダーの脅威は、サイバーセキュリティやサプライチェーンのリスクの観点からも、また、セキュリティに対する広範なリスクの観点からも、重要インフラに対する脅威のベクトルとしてますます重要になっています。

インサイダーの脅威は、経済スパイ、サボタージュ、職場での暴力、詐欺、その他の企業資源の悪用などによって被害をもたらす可能性があります。
インサイダー脅威活動には、外国の情報機関と連携したインサイダーによる意図的な行動や、悪意や犯罪の動機を持ったインサイダーによるその他の行動が含まれることがあります。
最後に、インサイダーは単純な過失や不注意によっても被害を引き起こす可能性があります。
現在の米国における緊迫した思想・イデオロギーの状況は、これらのリスクを悪化させ、一部の人々にはより多くの動機を与え、他の人々には高レベルのストレスに対してより脆弱にさせています。

米国の重要インフラ事業体に対するインサイダーの脅威は、一般的に目立ちがちなリモートアクセス型のサイバー脅威(フィッシング・キャンペーンなど)との関連で考えることが重要です。
重要インフラ保護の議論は、しばしばサイバーセキュリティの議論と同義となり、脅威の主体(人間)ではなく、主に戦場(サイバー)に焦点が当てられています。
しかし、多くの場合、アクセス権を持つ人間が我々のリソースの完全性を危うくしています。

重要なインフラは、今後も情報通信技術(ICT)への依存度を高めていくでしょう。
また、ICT要素間の相互依存性が高まり、その結果、脆弱性が増加する可能性があります。
遠隔地からのサイバー脅威は、重要インフラ事業体にとって継続的かつ深刻な脅威となります。
しかし、内部の人間は、インターネットを介して遠隔地からアクセスしなくても、ICTの脆弱性を悪用することができます。
リモートアクセスによるサイバープロテクションが非常に効果的であっても、敵対者は、組織に侵入するための最も実行可能な手段がインサイダーであると考えるかもしれません。

How the Covid-19 Crisis Affects the Threat/Risk Landscape(武漢ウイルスが脅威/リスクの状況に与える影響)


武漢ウイルスのパンデミックは、公衆の健康、安全、経済的不安を伴い、インサイダー脅威を含む脅威環境を悪化させる可能性があります。


武漢ウイルスのパンデミックは、米国および世界各国の公衆衛生、公衆安全、経済安全保障にかつてない危機をもたらしています。
米国の多くの州や地方の団体、企業、そしてそれらに勤める個人にとって、パンデミックは信じられないほどの新しいストレスをもたらしました。
このようなストレスを、外国の情報機関はチャンスと捉えています。

遠隔地や自宅で仕事をする人が増え、パンデミックの影響で、敵に悪用される可能性のある安全性の低い情報通信技術への依存度が高まり、これらの技術の要素間の相互依存性も高まっています。
同時に、雇用の確保や健康などに関する個人や家族の不安も増大する可能性があります。
緊迫した国家の経済、社会、政治情勢は、これらの緊張をさらに悪化させるかもしれない。
要するに、社会人の多くは、家庭でかつてないストレスに直面し、組織から孤立し、仕事をする上で安全性の低い情報技術への依存度を高めているのである。

このような環境では、強固で適応性のある内部脅威プログラムがより必要とされ、より困難になります。
インサイダー脅威プログラムは、インサイダー脅威の動機、行動、ストレスがより顕著になっているため、必要性が増しています。
このような環境下では、危機がセキュリティプログラムを含む企業や政府のリソースにストレスを与えるため、インサイダー脅威プログラムはますます困難になります。

Security as an Evolving Cycle(進化するセキュリティサイクル)


現在の環境では、企業は、進化する脅威やリスクの状況に合わせて、自社のセキュリティ態勢を見直すことが新たな課題となっています。


インサイダーの脅威に対抗するには、情報に精通し、意識が高く、献身的な従業員を基盤とした、組織全体の取り組みが必要です。
インサイダーの脅威に対処するためには、組織の市民意識を育み、セキュリティ文化を促進することが重要です。
真の組織的セキュリティは、国家安全保障とビジネスの両方の意味で、組織内の全員が責任を負うべきものです。

効果的な内部脅威プログラムは、単なる「セキュリティプログラム」ではなく、組織と従業員の保護に対する責任の共有を促進するための、従業員への継続的な働きかけと意識向上の取り組みです。

米国政府は半世紀以上にわたり、「オペレーション・セキュリティ」(OPSEC)という概念を推進してきました。
OPSECの核となるのは、敵対的な脅威(意図と能力)を考慮して組織の脆弱性を評価し、適切な緩和策を実施するというリスク管理サイクルです。

外国の国家および非国家の脅威主体が米国の産業や重要なインフラをますます標的としている中、産業界は外国の敵対的な脅威をリスクマネジメントやビジネスプラクティスに取り入れ、自社の従業員が問題ではなく解決策の一部であることを確認することが不可欠です。

進化する脅威環境の中で、企業は、今日の脅威に対して自社のセキュリティ態勢がどの程度適合しているかについて疑問を持つべきである。
外部からの物理的なアクセスや遠隔地からのサイバー脅威に対する対策は、インサイダーの脅威に対する対策よりも進んでいることが多い。
自社のセキュリティ態勢を把握することは、新たな脅威に対処するための第一歩です。

  • 多くの企業にとって、潜在的な脅威やリスクの数や範囲が非常に多いため、どれを優先すべきかが不明確になっています。多くの場合、物理的なアクセスや遠隔地からのサイバー攻撃など、一見すると最も重要なリスクに固執することになります。
  • ほとんどの組織は、リスクや脅威に対して何らかの形でセキュリティを構築していますが、これらのセキュリティ対策は、最新の脅威の状況にマッチしていない可能性があります。脅威やリスクへの対策は、専門的な「縦割り」で行われる傾向があり、企業としての見解を持つことは困難です。
  • 組織によっては、「チェック・ザ・ボックス症候群」に陥ることがあります。名ばかりのセキュリティプログラムは、何もしないよりはましだと考えてしまうのです。このようなリスクフレーミングは、深刻なセキュリティの欠陥を引き起こす可能性があります。
  • 既存のセキュリティ体制を強化したり、新しいセキュリティプログラムを作成したりすることは、リソース的に難しい場合が多い。従来のセキュリティ体制を維持する場合でも、その体制を見直し、評価して、現在の脅威や新たな脅威に対応しているかどうかを確認することが重要です。
進化する脅威環境の中で、企業や政府のリーダーは、次のような質問に答えられる必要があります。
組織の全体的なセキュリティ対策はどうなっているのか?
企業全体のセキュリティ体制はどうなっているのか?
セキュリティに対する最近の投資や組織変更はどうなっているのか?
現在および新たに出現する脅威環境との不一致はどのようなものか?
そのようなミスマッチがあるかどうかを知る立場にあるのは経営陣の誰か?
インサイダー脅威のインシデント、対応、あるいはより大きなセキュリティ態勢のミスマッチについて責任を負うのは誰か?
このような質問に、既存のポリシーとプラクティスに基づいて答えられない場合、セキュリティ態勢の見直しと評価の必要性がさらに高まる可能性があります。

セキュリティ態勢の評価は、組織が「インテリジェンスに似た」機能(組織のセキュリティに関連する情報を収集し、処理する能力)を果たしているかどうかを判断するのに役立ちます。深刻なセキュリティイベントは、組織のインテリジェンスが機能していないことが原因となる場合があります。


脅威に効果的に対応するためには、多くの重要インフラ企業がセキュリティの「インテリジェンス」機能を構築するか、既存の機能を強化する必要があります。
米国の情報コミュニティにおけるインテリジェンスとは、米国の政策決定に関連する質問、洞察、仮説、データ、証拠などの情報を指します。
重要インフラ組織におけるインテリジェンスとは、組織の目標を成功裏に達成し、脅威やリスクから身を守るために必要な情報のことである。
重要インフラのセキュリティを強化するためのインテリジェンス機能の主な要素は以下の通りです。

  • 人的、物理的、情報的な分野における脅威と脆弱性を分析するセキュリティ・インテリジェンス・プログラムの構築

  • 頻発するセキュリティ違反や「危機一髪」事件のパターンの傾向分析の実施

  • セキュリティに関する懸念事項を従業員に伝えるためのコミュニケーションプランの策定

  • 複数の組織的専門分野(人事、福利厚生、情報技術など)をセキュリティの計画と運用に統合すること

  • 内部および外部の脅威について常に最新の情報を得る(また、将来を見据える)

  • 組織横断的な学習のためのリソースを確保すること

  • 市民の自由とプライバシーの保護を、セキュリティおよびインテリジェンスに類似したプログラムに完全に組み込むこと
米国政府のインサイダー脅威プログラムでは、「防諜」情報へのアクセスが一つの最低基準となっています。
正式な防諜プログラムは、企業の多くにとって実現可能ではないと思われますが、意図や能力を含む外国の敵対的脅威に関する情報を組織のリスク管理に組み込んで、決意の固い、組織化された、資金力のある敵対者から保護することは必須です。
このようなプログラムは、組織とその従業員を守り、重要なインフラが危険にさらされている場合には、米国の国家安全保障と公共の安全を守ることにつながります。
インサイダー脅威プログラムは防諜プログラムではありませんが、敵対的な脅威を理解し、それをリスク管理の取り組みに組み込むことで、インサイダー脅威プログラムがその取り組みに集中し、脅威に対抗するために従業員をよりよく準備するのに役立ちます。