Le imprese stanno implementando l’Agentic AI a un ritmo rapido, ma secondo molti esperti i seri dubbi sulla sua accuratezza fanno intravvedere potenziali disastri all’orizzonte. L’assunto di base è che, sebbene gli agenti AI abbiano bisogno di autonomia decisionale per fornire il massimo valore, molti esperti di intelligenza artificiale li vedono ancora come scatole nere…
세일즈포스가 한국을 포함한 글로벌 6,500명의 서비스 전문가를 대상으로 실시한 ‘글로벌 서비스 트렌드 보고서(State of Service Report)’를 발표했다. 보고서에 따르면, 현재 약 30%의 고객 문의가 AI로 처리되고 있으며, 2027년에는 AI 에이전트 활용이 가속화하면서 50%까지 증가할 전망이다. 해당 조사에 답한 고객 서비스 전문가의 69%는 최소 하나 이상의 AI 기술을 활용하고 있다고 답했으며, 이 가운데 39%는 AI 에이전트를…
SAP has cut European deals with Microsoft, Capgemini, and Orange to ostensibly deliver an emergency disaster recovery failover if Microsoft is legally blocked from delivering European services. The plan is unlikely to be needed, analysts agree, but it wouldn’t likely work for very long even if it was needed, based on the scant details the…
A new digital package launched Wednesday by the European Commission (the Commission), the executive branch of the European Union, includes what it terms a digital omnibus, which EU officials said is designed to streamline rules on artificial intelligence, cybersecurity, and data. It will, the Commission said, consolidate EU data rules by merging four pieces of…
CISO는 지금 거대한 정체성 위기에 직면해 있다. 버라이즌(Verizon)의 2025 데이터 침해 조사 보고서에 따르면, 사이버 공격자는 선호하는 초기 침투 벡터를 바꾸고 있으며, 도난된 자격 증명이 데이터 유출의 주요 원인으로 떠오르며 전체 침해의 22%, 웹 애플리케이션 기본 공격의 88%를 유발하는 것으로 나타났다. 배로니스(Varonis) 연구진이 2024년 사이버공격의 57%가 손상된 정체성에서 시작됐다고 결론 내린 이후 등장한 결과다. 연구…
攻撃者は、デバイスが発する微細な電力の揺らぎや処理時間のわずかな差、あるいは漏れ出る電磁波といった「情報の滲み」を観測することで、数学的には強固なはずの暗号の壁をすり抜けてしまいます。本記事では、サイドチャネル攻撃がどのようなメカニズムで行われるのか、なぜ今IoT分野でリスクが高まっているのか、そして企業はこの見えない脅威に対してどのように立ち向かうべきなのかを、専門的な視点を交えつつ詳細に解説します。
現代のセキュリティ技術において、暗号化は情報の機密性を守るための最後の砦です。しかし、サイドチャネル攻撃はこの「暗号の数式」そのものを解読しようとはしません。代わりに攻撃者が狙うのは、暗号アルゴリズムが物理的なデバイス上で実行される際に生じる「実装上の物理的なふるまい」です。これを理解するためには、まずハードウェア攻撃の分類を知る必要があります。ハードウェアに対する攻撃には大きく分けて二つのアプローチが存在します。一つは「侵襲攻撃」と呼ばれるもので、チップのパッケージを開封したり回路を物理的に削ったりして、顕微鏡での観察や微細な針による信号取得を行う破壊的な手法です。これに対し、サイドチャネル攻撃が分類されるのは「非侵襲攻撃」です。これはデバイスを物理的に破壊することなく、外側から観測できる情報や外部からの刺激だけを頼りに内部の秘密に迫る手法であり、攻撃の痕跡が残りにくいという極めて厄介な特徴を持っています。
代表的なサイドチャネル攻撃の手法として、まず挙げられるのが「タイミング攻撃」です。コンピュータが暗号処理を行う際、入力されたデータの値や内部の状態によって、計算完了までの時間に極めて微細な差が生じることがあります。例えばパスワードの照合処理において、文字が一致している箇所までは処理が進み、不一致が見つかった瞬間に処理が終了するようなプログラムが組まれていたとします。攻撃者はネットワーク越しに様々な文字列を送り込み、応答が返ってくるまでの時間を精密に計測し続けます。そうすることで、どの文字が正解に近いのかを統計的に割り出し、最終的に正しいパスワードや秘密鍵を特定してしまうのです。プログラム上では正しい論理で書かれていても、実行時間の「ばらつき」が致命的なヒントを与えてしまうという典型例です。
さらに物理的な現象を利用する強力な手法として「電力解析攻撃」があります。デジタル回路内のトランジスタが「0」から「1」、あるいは「1」から「0」へと切り替わる際、そこには必ず微弱な電流が流れます。攻撃者はオシロスコープなどの計測機器を用いて、暗号処理を実行中のデバイスの消費電力波形を詳細に記録します。処理しているデータの内容によって消費電力のパターンは微妙に変化するため、大量の波形データを収集して統計的な解析を行えば、内部でどのような計算が行われているか、ひいては秘密鍵がどのようなビット列であるかを逆算することが可能になります。この分野では、波形を目視で確認する単純電力解析(SPA)や、多数の波形データの差分をとってノイズを除去し信号を浮き彫りにする電力差分解析(DPA)といった高度な手法が確立されており、スマートカードなどの組み込み機器に対する現実的な脅威となっています。
また、電力と同様に情報の漏洩源となるのが電磁波です。「電磁波解析攻撃」は、チップ内部の電流変化に伴って発生する微弱な電磁波を、高性能なアンテナやプローブで受信して解析する手法です。電力解析攻撃が測定機器を回路に電気的に接続する必要があるのに対し、電磁波解析はデバイスに触れることなく、ある程度離れた位置からでも情報を読み取れる可能性があります。スマートフォンやICカードが処理を行っている最中に、その周囲から漏れ出る「電磁波の漏洩」を観測するだけで、AESなどの強固な暗号鍵が特定されてしまった研究事例も存在します。
これらは受動的に情報を読み取る手法ですが、より能動的な攻撃手法として「フォールト攻撃」も無視できません。これは正常に動作しているデバイスに対し、意図的に異常な環境を与えることで誤動作を誘発させる手法です。具体的には、供給電圧を急激に変化させたり、クロック信号にノイズを混ぜたり、あるいはチップの特定箇所にレーザーを照射したりします。こうして強制的に計算ミスを発生させ、正常な結果と誤った結果の差分を数学的に解析することで、秘密情報を割り出します。フォールト攻撃は単独でも強力ですが、電力解析などと組み合わせることで、より少ない試行回数で効率的に暗号を突破できることが知られています。
かつてサイドチャネル攻撃は、政府機関や研究室レベルの高度な設備が必要な、特殊な脅威だと考えられていました。しかし、IoT時代の到来はこの前提を大きく覆しつつあります。自動車、医療機器、重要インフラ、そして一般家庭のスマート家電に至るまで、ありとあらゆるデバイスがネットワークにつながるようになった現在、攻撃者が狙うことのできる「攻撃面(アタックサーフェス)」は爆発的に拡大しています。特に懸念されているのが、人命や社会機能に直結する分野でのリスクです。
例えば、現代の自動車には多数のECU(電子制御ユニット)が搭載され、それらがCANなどのネットワークで通信しながら走る・曲がる・止まるといった基本動作を制御しています。もし車載ネットワークの認証機能がサイドチャネル攻撃によって破られれば、外部からの不正な介入によりハンドル操作やブレーキ操作が乗っ取られる恐れがあります。同様に、ペースメーカーやインスリンポンプなどの医療機器において暗号鍵が盗まれれば、患者の生命に対する直接的な脅威となり得ます。また、発電所や工場を制御する産業用制御システムや、日々の決済を支える金融端末においても、認証の突破は甚大な社会的混乱を引き起こす可能性があります。
IoT機器特有の事情も、リスクを増幅させる要因となっています。スマート家電やセンサーデバイスの多くは、低コストでの大量生産が求められるため、PCやサーバーに比べて十分なセキュリティ対策リソースを割くことが難しい傾向にあります。さらに、これらの機器は一度設置されると長期間にわたって稼働し続けることが多く、物理的に攻撃者が接近しやすい環境に置かれることも少なくありません。これまでは「専用回線の中にあるから安全」「物理的に隔離されているから大丈夫」と思われていた組み込みシステムが、クラウドやスマートフォンと常時接続されるようになったことで、攻撃者にとっての侵入口となり得るのです。実際に、安価なIoT機器を踏み台にして大規模なサイバー攻撃が行われる事例は後を絶ちません。
さらに状況を深刻化させているのが、攻撃ツールの「民主化」です。かつては数千万円クラスの投資が必要だった高性能なオシロスコープや解析用プローブが、現在では比較的安価に入手できるようになりました。インターネット上にはオープンソースの解析ソフトウェアや攻撃手法の解説が溢れており、海外ではサイドチャネル攻撃を学ぶためのトレーニングキットや評価ボードさえ合法的に販売されています。これは、大学の研究者やセキュリティ専門家だけでなく、悪意を持った攻撃者にとっても、高度な攻撃ノウハウを習得しやすい環境が整っていることを意味します。クラウド環境において、同じ物理サーバーを共有する他の仮想マシンからキャッシュメモリの挙動を解析して情報を盗むといった、純粋なソフトウェア的なサイドチャネル攻撃の手法も進化しており、「物理デバイスを持たない企業」であっても無関係ではいられません。「自社の製品はニッチな分野だから狙われない」という楽観的な想定は、もはや通用しない時代なのです。
では、このような見えない脅威から自社の製品やサービスを守るために、企業はどのような対策を講じるべきなのでしょうか。最も重要な意識変革は、「暗号アルゴリズムが標準的で安全なものであれば、製品も安全である」という誤解を捨てることです。サイドチャネル攻撃はアルゴリズムそのものではなく、その実装の隙を突くものです。したがって、開発者は「実装レベルでの安全性」を設計段階から考慮する必要があります。
具体的な実装対策としては、処理時間が入力データの内容や秘密鍵の値に依存しないようにプログラムを書く「定数時間実装」が基本となります。また、電力や電磁波の解析を防ぐために、内部で扱うデータに乱数を混ぜて撹拌する「マスキング」や、処理のタイミングをランダムにずらす「ジッターの挿入」、あるいは並列処理によって本来の波形をノイズで隠すといった手法が有効です。ハードウェアの設計レベルでも、不要な電磁波漏洩を抑えるためのシールド強化や、電源ラインの安定化、ノイズ発生回路の意図的な追加など、物理的な観測を困難にする工夫が求められます。
しかし、どんなに対策を施したつもりでも、実際に製品化された状態でどの程度の耐性があるかは、テストを行わなければ分かりません。ここで重要になるのが、開発プロセスの早期段階からサイドチャネル評価を組み込むことです。製品が完成してから第三者の評価機関に持ち込み、そこで致命的な脆弱性が発見されれば、設計の手戻りによる莫大なコストとスケジュールの遅延が発生します。理想的には、アーキテクチャの設計、ファームウェアの実装、ハードウェアの試作といった各フェーズにおいて、簡易的であってもサイドチャネル情報の観測と分析を行い、漏洩の兆候を早期に発見して修正するサイクルを回すことです。
とはいえ、自社で一から高度な評価環境を構築するのは容易ではありません。精密な計測機器の選定、トリガー制御のための回路設計、複雑な統計解析ソフトウェアの開発などを個別に行うと、環境の維持管理だけで多大なリソースが割かれ、属人化のリスクも高まります。そこで現実的な解決策として推奨されるのが、サイドチャネル攻撃やフォールト攻撃の検証に特化した統合テストプラットフォームの導入です。例えば、業界で広く知られるオランダのRiscure社が提供する「Inspector SCA」のようなソリューションは、必要な計測ハードウェアと解析ソフトウェア、攻撃シナリオのライブラリがセットになっており、導入直後から標準化された手順で評価を開始することができます。こうした専門ツールを活用することで、社内のエンジニアは環境構築ではなく「対策と検証」に集中することができ、ハードウェアセキュリティの専門家の知見を借りながら、自社製品の弱点を客観的に把握することが可能になります。
企業は、自社製品が扱う情報の重要性と、万が一侵害された場合の影響度を冷静に評価し、適切なセキュリティレベルを設定しなければなりません。IoT化が進む現代において、サイドチャネル攻撃はもはや対岸の火事ではありません。攻撃のメカニズムを正しく理解し、適切なツールとプロセスを用いて計画的に対策を講じることこそが、顧客からの信頼を守り、持続可能な製品開発を続けるための必須条件となっているのです。
Read More from This Article: 「見えない脅威」の正体とは?IoT時代に急増するサイドチャネル攻撃のメカニズムと企業が講じるべき対策
Source: News
原告となったのはKADOKAWA、講談社、集英社、小学館という、世界中にファンを持つマンガ作品を数多く抱える出版大手4社である。本判決は、インターネットインフラの根幹を支えるCDN事業者が、特定の条件下において著作権侵害の「ほう助」責任を負うことを明確に認定した点で画期的であり、今後のインターネット空間における権利保護とインフラサービスの在り方に、極めて大きな一石を投じるものとなった。
これまでは「通信の土管」として中立性を盾に法的責任を免れる傾向にあったインフラ事業者に対し、司法が「通知を受けた後の不作為」に対して厳しい判断を下した背景には何があるのか。そして、この判決は今後のデジタル社会にどのような変革を迫るのか。訴訟の経緯と判決の詳細、そして業界への影響を詳報する。
今回の訴訟の震源地となったのは、かつて「3大海賊版サイト」の一角として猛威を振るった2つの巨大マンガ海賊版サイトの存在である。これらのサイトは、最盛期には合計で月間3億アクセスを超える膨大なトラフィックを集め、約4000作品・12万話以上ものマンガを権利者に無断で配信していたとされる。
その被害規模は甚大であり、裁判所が認定した代表4作品だけの被害額をとっても合計約36億円に上るという事実が、事態の深刻さを物語っている。出版社側にとって、これらのサイトは単なる違法コピーの置き場ではなく、作家の創作活動と出版文化の根幹を揺るがす巨大な略奪システムそのものであった。
しかし、こうした海賊版サイトの摘発は長年にわたり困難を極めていた。その最大の要因は、運営者たちが巧妙に構築した「追跡不可能なインフラ」にある。彼らは海外の法執行機関の手が届きにくい地域にサーバーを置き、運営者の身元を徹底して隠蔽するいわゆる「防弾ホスティング」サービスを利用していた。
さらに、その前面に立って配信を技術的に支えていたのが、今回被告となったクラウドフレアのCDNサービスであった。CDNとは、オリジナルのサーバーにあるコンテンツを世界各地に設置されたサーバーに「キャッシュ(一時保存)」として複製し、ユーザーに最も近い場所から高速に配信する技術である。
本来であれば、正規のウェブサイトがアクセス集中によるサーバーダウンを防ぎ、快適な閲覧環境を提供するための有益な技術であるが、海賊版サイトの運営者にとって、CDNは二つの意味で強力な武器となっていた。一つは、月間数億件という膨大なアクセスに耐えうる配信能力を安価に確保できる点、もう一つは、オリジナルのサーバー(オリジンサーバー)のIPアドレスを隠蔽し、権利者からの追及や攻撃をかわす盾として利用できる点である。
出版社各社は手をこまねいていたわけではない。2020年頃から、クラウドフレアに対して繰り返し侵害通知を行ってきた。具体的にどの作品が、どのURLで侵害されているかを指摘し、サービス停止やサーバーからの配信停止を求めたのである。
しかし、クラウドフレア側はこの通知を受けた後も、海賊版サイトへのサービス提供を継続した。結果として、海賊版サイトはクラウドフレアの強力なインフラに守られたまま、巨大なトラフィックを維持し続け、被害は拡大の一途をたどった。
この状況を打開するため、4社は2022年2月、ついにインフラ事業者そのものの責任を問うべく、東京地裁への提訴に踏み切ったのである。当初は海賊版コンテンツの公衆送信や複製の差し止めも求めていたが、その後、運営者特定の進展や社会的包囲網により問題のサイト自体が閉鎖されたため、訴訟の焦点は過去の侵害行為に対する損害賠償責任の有無へと絞られていった。
そして迎えた2025年11月19日、東京地裁は出版社側の主張を認め、講談社・集英社・小学館にそれぞれ約1億2650万円、KADOKAWAに約1億2000万円強、合計で約5億90万円の支払いを命じる判決を下したのである。なお、この賠償額は出版社側が戦略的に「損害の一部」のみを請求した結果であり、実際の被害認定額は遥かに巨額であったことも特筆すべき点である。
本判決において最も注目すべきは、東京地裁がどのようなロジックでCDN事業者の法的責任を認定したかという点にある。インターネットの歴史において、プロバイダやCDN事業者は、情報の流通経路を提供するだけの「中立的な仲介者」であり、流通するコンテンツの内容については原則として責任を負わないという考え方が主流であった。
クラウドフレア側も裁判の中で、この点を強力に主張している。「コンテンツをホスティング(保管)しているのはあくまで別のサーバー事業者であり、CDNはデータを一時的にキャッシュし中継するだけの技術的・受動的なサービスである」とし、したがって「故意や重過失はなく、出版権侵害への寄与は限定的だ」と反論したのである。さらに彼らは、CDNのように自らがコンテンツの主体ではない事業者にまで法的責任を負わせれば、インターネット全体の信頼性や効率性が損なわれ、イノベーションを阻害する責任制限の枠組みが崩壊すると警告を発した。
しかし、東京地裁はこの「中立性の抗弁」を退けた。判決が認定したのは、CDNサービスそのものの違法性ではなく、侵害の事実を知りながら放置したという「不作為」の責任である。まず裁判所は技術的な側面として、「クラウドフレアのサーバーにキャッシュされた海賊版コンテンツが、CDNを通じて日本のユーザーに自動的に公衆送信されていた」という客観的事実を認定した。これは、CDNが単なる土管ではなく、実質的な配信の実行役を担っていたことを認めるものである。
その上で、決定的な判断要素となったのが「通知後の対応」である。審理の過程で、クラウドフレアは権利者や米国の裁判所から、具体的な侵害情報を含む通知や開示命令を繰り返し受けていたにもかかわらず、1カ月以上も配信停止措置を講じなかったことが明らかになった。裁判所はこれを重く見、「通知から相当期間内にCDN提供を停止することは技術的に容易に可能であり、その義務を怠った」と断じたのである。
さらに判決は、クラウドフレアのサービス設計そのものにも踏み込んだ言及を行っている。同社のサービスが高い匿名性を売りにしており、本人確認(KYC)をほとんど行わなくても利用できる状態にあったことが、巨大海賊版サイトの運営を容易にしていたと指摘したのだ。つまり、「誰でも匿名で使える強力なインフラ」を提供し、かつ「違法行為の具体的な指摘を受けてもなお漫然とサービスを提供し続けた」ことが、著作権侵害を容易にする「ほう助」行為に当たると判断されたのである。
出版社側も主張していたように、CDN自体は適法なコンテンツを配信するための極めて有益な技術である。しかし、その有用な技術がひとたび悪用されれば、違法コンテンツを世界中にばら撒く最強の拡散装置に変貌してしまう。東京地裁は、この技術の「両面性」を前提とした上で、悪用されていることが明らかになった時点での是正措置を怠った点に、明確な法的責任の所在を見出したと言えるだろう。これは、インフラ事業者であっても、もはや「知らぬ存ぜぬ」は通用しないという司法からの強力なメッセージである。
今回の判決が投げかけた波紋は、単に出版社とクラウドフレアという一企業の争いにとどまらず、インターネットに関わる全てのクラウドサービス事業者に対する「注意義務の再定義」を迫るものである。これまでCDNやDNS、プロキシといったインフラ系サービスは、通信の秘密や検閲の禁止といった原則を重視し、コンテンツの違法性判断に深く踏み込むことを避けてきた。しかし、今回の判決によって「通知を受けた後の迅速な対応」が法的義務の最低ラインとして示されたことで、実務の現場は大きな変革を余儀なくされるだろう。
まず考えられるのは、侵害通知への対応プロセスの厳格化である。権利者や弁護士から具体的かつ信頼性の高い侵害通知を受け取った場合、事業者はもはや様子見をすることは許されない。24時間から48時間といった極めて短いタイムスパンの中で、対象のURLやドメインを特定し、キャッシュの無効化やゾーン停止といった措置の是非を判断し、実行に移す体制を構築する必要がある。
また、その判断プロセスや対応内容を詳細なログとして記録し、後に説明責任を果たせるようにしておくことも不可欠となるだろう。判決で指摘された「透明性」の確保は、今や企業のコンプライアンスだけでなく、自己防衛のためにも必須の要件となりつつある。
さらに根本的な変化として、サービスの利用開始時における本人確認(KYC)の強化が避けられない流れとなる可能性がある。今回の判決では、クラウドフレアが高い匿名性を維持したままサービスを提供していたことが、海賊版サイトの温床になったと指摘された。これは、「本人確認を行わないこと」自体が、将来的な法的リスク要因として評価され得ることを意味している。
これまで「メールアドレス一つで誰でも使える」手軽さがクラウドサービスの成長を支えてきた側面はあるが、今後は特にトラフィック規模の大きい顧客や、著作権侵害のリスクが高いカテゴリのサイトに対しては、運営者の実在性を確認するプロセスが標準化されていくかもしれない。
出版業界にとって、この判決は「海賊版撲滅」に向けた大きな武器を手に入れたことを意味する。海外に潜む運営者本人を特定し、直接訴えることは時間とコストがかかりすぎる上に、逃げられる可能性も高い。しかし、その運営を支えるインフラ事業者に法的責任を問えるとなれば、海賊版ビジネスの根幹である「配信能力」と「収益性」を直接断つことができるからだ。
これは、個々のサイトを叩くモグラ叩きから、海賊版ビジネスのエコシステム全体を兵糧攻めにする戦略への転換を可能にする。出版社4社の共同コメントにあるように、本判決はCDN事業者の責任を明確化し、適時適切な対応を促すための強力な法的根拠となるだろう。
一方で、クラウドフレア側は「CDNは中立的なパススルーサービスであり、ホストしていないコンテンツについて責任は負えない」として控訴する意向を示しており、戦いの舞台は高等裁判所へと移る。高裁レベルでこの判断が維持されるのか、あるいは修正されるのかは予断を許さない。
インフラ事業者に過度な監視義務や削除義務を課せば、萎縮効果によって正規の表現活動までが阻害されたり、インターネットの自由な流通が損なわれたりする危険性も孕んでいるからだ。「通知」の信頼性をどう担保するか、どの程度の「相当期間」で対応すべきかといった運用の詳細こそが、今後の争点となるだろう。
それでも、東京地裁が示した「具体的な侵害を知りながら放置することは許されない」という原則は、デジタル社会における倫理と法の新たな基準として、重く響き続けることは間違いない。権利保護とオープンなネットワークの両立をどう図るか。日本発のこの司法判断は、グローバルなインターネットガバナンスの議論にも、少なからぬ影響を与えることになりそうだ。
Read More from This Article: 【解説】クラウドフレアに5億円賠償命令──海賊版サイトを支える「CDN」の責任に司法が引いた新たな一線
Source: News
まず、ハッシュ値とは何かを直感的なイメージから押さえていきます。ハッシュ値は、一言で言えば「あるデータを、一定のルールに従ってぐっと圧縮し、短い文字列(または数値)に変換したもの」です。ここでいう「一定のルール」を実行するプログラムや仕組みを「ハッシュ関数」と呼びます。
例えば、長い文章、画像ファイル、プログラムのソースコード、パスワードなど、どんな長さのデータであっても、ハッシュ関数にかけると、決まった長さの結果が返ってきます。SHA-256という有名なハッシュ関数であれば、どんなデータを入れても、結果は常に256ビット(64文字の16進数)という長さのハッシュ値になります。この「入力の長さに関係なく、決まった長さの出力に変換される」という性質が、ハッシュ値の大きな特徴です。
イメージとしては、膨大な情報を「スタンプ」や「指紋」に変換する感覚に近いです。人間は大量の情報を一度に比べるのが苦手ですが、短い指紋同士なら比較が簡単です。同じ人の指なら同じ指紋が取れるように、同じデータならいつ計算しても同じハッシュ値が得られます。そのため、「このデータは前に見たものと同じか」「途中で改ざんされていないか」を素早く確認するための「デジタル指紋」として利用されます。
ここでポイントになるのが、「ハッシュ値を見ても元のデータは基本的に復元できない」という点です。これは後で詳しく説明しますが、「指紋を見ても、その人の顔立ち全体を完璧に再現することはできない」のと似ています。ハッシュ値は「元データの要約」であって、「元データのコピー」ではないのです。
ハッシュ値がセキュリティや信頼性の要として機能するためには、ハッシュ関数がいくつかの重要な性質を満たしている必要があります。専門用語もありますが、ここではイメージを中心に説明していきます。
まず挙げられるのが「一方向性」です。これは、「元のデータを入力すればハッシュ値はすぐに計算できるが、その逆、ハッシュ値だけから元のデータを推測することは極めて難しい」という性質です。たとえば、あなたのパスワードに対してハッシュ値を計算することは一瞬でできますが、そのハッシュ値から元のパスワードを計算で逆算することはほぼ不可能になるように設計されています。ここでいう“不可能”とは、理論的な意味で完全に不可能というより、「現実的な時間・計算資源では到底間に合わない」という意味です。
次に重要なのが「衝突耐性」です。衝突とは、「違うデータなのに同じハッシュ値になってしまう」ことを指します。理屈の上では、入力できるデータは無限にある一方、出力されるハッシュ値のパターンには限りがあるため、どこかには必ず衝突が存在します。しかし、現実的な攻撃者が意図的に衝突を探し当てることが極めて難しいように設計されていることが、セキュリティ分野で使われる「暗号学的ハッシュ関数」の条件になります。
さらに、「微小な変化が大きな違いになる」という性質もあります。これは「アバランシェ効果」と呼ばれ、元のデータをほんの少し変えただけでも、ハッシュ値がまったく別物のように変化するという特徴です。例えば、「hello」という文字列と「hello!」という文字列のハッシュ値は、ぱっと見ても全く関係がないような違う値になります。この性質のおかげで、ほんの一文字だけ書き換えられたファイルや、たった1ビットだけ改ざんされたデータであっても、ハッシュ値を比較すればすぐに「別物」と判定できます。
ただし、ハッシュ関数は万能ではありません。計算機の性能向上や理論的な研究の進展により、かつて広く使われていたMD5やSHA-1といったハッシュ関数については、衝突を現実的な時間で作れる攻撃手法が見つかっており、セキュリティ用途では非推奨になっています。現在はSHA-256やSHA-3といった、より強度の高いハッシュ関数が主に使われています。このように、ハッシュ関数は年月とともに「安全なもの」と「もう安全ではないもの」が分かれていくため、どのアルゴリズムを使うかという選択も重要なポイントになります。
ハッシュ値は、私たちの日常生活の中で、意識しないところでさまざまな形で使われています。もっとも身近な例の一つが、パスワード管理です。多くのサービスでは、ユーザーのパスワードをそのまま保存するのではなく、パスワードにハッシュ関数をかけた「ハッシュ値」だけをデータベースに保存しています。ログイン時には、入力されたパスワードにも同じハッシュ関数をかけ、その結果が保存されているハッシュ値と一致するかどうかを確認することで、パスワードを照合します。こうすることで、たとえデータベースが流出しても、攻撃者はハッシュ値しか手に入れられず、元のパスワードを知ることが非常に難しくなります。
ただし、パスワードのハッシュ化には工夫が必要です。単純にハッシュを取るだけだと、「辞書攻撃」と呼ばれる手法で、よくあるパスワード候補を片っ端からハッシュ化し、照合されてしまうおそれがあります。この問題に対処するため、「ソルト」と呼ばれるランダムなデータをパスワードに混ぜてハッシュを取ったり、計算をわざと重くして総当たり攻撃をしにくくする「ストレッチング」や「キーデリベーション関数」が使われたりします。ここでもハッシュ関数の性質が、より高度な仕組みと組み合わされているわけです。
別の典型的な使われ方が「ファイルの改ざん検知」です。ソフトウェアやOSのインストーラーをダウンロードするときに、「このファイルのSHA-256ハッシュ値は○○○…です」と記載されていることがあります。利用者はダウンロードしたファイルに対して自分の環境でハッシュ値を計算し、公式サイトに書かれている値と一致するかを確認します。一致していれば、ダウンロードの途中で壊れていないことはもちろん、第三者によって不正なファイルにすり替えられていないことも確認しやすくなります。ここでは、「同じデータなら必ず同じハッシュ値になる」ことと「少しでも変われば全く違う値になる」ことが、改ざん検知に活かされています。
さらに、近年よく話題になるブロックチェーン技術でも、ハッシュ値は中心的な役割を果たしています。ブロックチェーンでは、取引記録をまとめた「ブロック」ごとにハッシュ値が計算され、そのハッシュ値が次のブロックに組み込まれることで、鎖のようにつながった構造が作られます。もし過去のブロックの内容をこっそり書き換えようとすると、そのブロックのハッシュ値が変わり、連鎖的にすべての後続ブロックの整合性が崩れてしまいます。そのため、過去のデータを改ざんするには膨大な計算をやり直す必要があり、現実的には非常に困難になります。この「改ざんのしにくさ」を支えているのが、まさにハッシュ関数の性質なのです。
ただし、ハッシュ値を使えば何でも安全になるわけではありません。古くなったハッシュ関数を使い続けていると、衝突攻撃によってファイルや証明書がすり替えられてしまう危険がありますし、パスワードハッシュの設計が甘いと、総当たり攻撃でハッシュ値から元のパスワードを推測されてしまうこともあります。ハッシュ値はあくまで「道具」であり、その性質をよく理解したうえで、適切なアルゴリズムと運用方法を選ぶことが重要です。
ハッシュ値は、一見すると意味不明な文字列にしか見えませんが、その裏側には「一方向性」「衝突の起きにくさ」「微小な変化に敏感」といった、巧妙に設計された性質が隠れています。そして、その性質によって、パスワードの保護からデータ改ざんの検知、ブロックチェーンの安全性の確保まで、現代のデジタル社会の基盤を静かに支えています。ハッシュ値を「ただの記号」としてではなく、「データの指紋」として捉え直すことで、セキュリティや情報技術のニュースも、これまでよりずっと立体的に理解できるようになるはずです。
Read More from This Article: 「ハッシュ値」って何?―今頃聞けない仕組みと使われ方をやさしく解説
Source: News
FIDOという言葉は「Fast IDentity Online」の略称であり、その名の通り「素早く、安全にオンラインで本人確認をする」ための取り組みです。FIDOアライアンスと呼ばれる企業連合が標準化を進めており、ブラウザーやスマートフォンのOS、ウェブサービスなどが足並みを揃えて実装を進めています。狙いはシンプルで、パスワードに依存した認証から脱却し、フィッシング耐性が高く、ユーザーにとって負担の少ない認証方式を広く普及させることです。
従来のパスワード方式は、一見すると簡単で分かりやすく見えますが、強いパスワードを覚え続けるのは人間にとって苦痛です。その結果、使い回しや単純な文字列の利用が横行し、漏えいや総当たり攻撃、フィッシングによる盗み取りが後を絶ちませんでした。二要素認証やワンタイムパスワードの導入によって一定の改善はありましたが、それでも「秘密の値を人間が覚え、それを入力する」という前提は変わっていません。
FIDOはこの前提そのものをひっくり返します。ユーザーが覚えるべきパスワードを減らしたり無くしたりし、認証の核心部分を公開鍵暗号の仕組みと端末内の安全なハードウェアに委ねます。ユーザー視点では「指紋をタッチするだけでログインできる」「スマホで顔認証をすればPCのブラウザーにもログインされる」といった体験として現れますが、その裏では「秘密鍵を端末の外に出さない」という強固な設計思想が貫かれています。
FIDOの仕組みを理解するうえで最も重要なのは、「公開鍵暗号」と呼ばれる仕組みが土台になっている点です。ここでは数式は使わず、なるべく直感的なイメージで説明します。
FIDOで新しくサービスに登録する際、ユーザーの端末(スマホやPC、セキュリティキー)は、まず「鍵のペア」を生成します。1つは「秘密鍵」、もう1つは「公開鍵」です。秘密鍵は金庫の鍵に例えられるもので、絶対に外部に漏らしてはいけない情報です。一方、公開鍵は名前の通り公開しても構わない情報であり、サービス側(サーバー)に登録されます。
登録が完了すると、サービスは「このユーザーはこの公開鍵で認証する」という情報を記憶します。以後、ログイン時にはパスワードの代わりに次のような流れが行われます。サービス側は「チャレンジ」と呼ばれるランダムな文字列をユーザー端末に送り、「これに対して署名して返してほしい」と要求します。ユーザーの端末は、ロック画面と同じような生体認証やPINコードによって本人確認を行い、成功した場合にのみ秘密鍵を使ってチャレンジに電子署名を行います。そして、署名されたデータをサービスに送り返します。
サービス側は、登録済みの公開鍵を使って、その署名が正しいかどうかを検証します。公開鍵で検証できたということは、秘密鍵でしか作れない署名が生成されたことを意味します。秘密鍵は端末の中に閉じ込められており、ネットワーク上を流れることはありません。つまり、攻撃者が通信経路を盗聴しても、秘密鍵そのものは得られず、チャレンジも毎回ランダムに変わるため、過去の通信を再利用することもできません。
この構造により、フィッシングサイトにうっかりアクセスしてしまった場合でも、基本的には正規サイトとは異なるドメイン名である限り、認証器は署名を行おうとしません。FIDOの認証プロセスでは、「どのウェブサイトのための鍵か」という「RP ID」と呼ばれる識別子を強く紐づけているため、攻撃者がまったく同じ画面を偽装しても、ドメインが違えば鍵は使えない仕組みになっています。この「サイトごとに異なる鍵を持ち、秘密は端末から出さない」という設計が、FIDOのフィッシング耐性の源になっています。
また、FIDOの認証に使われるデバイスは、大きく分けて二種類あります。1つはPCやスマホ本体に内蔵されたプラットフォーム認証器、もう1つはUSBやNFC、Bluetoothで接続する外付けのセキュリティキーです。どちらも考え方は同じで、秘密鍵をローカルに閉じ込めたまま、ユーザーの操作をトリガーに署名を行います。利用者は、指紋や顔認証、あるいはセキュリティキーのボタンを押すといった簡単な操作で認証を完了できるため、パスワードを毎回入力するよりもはるかにストレスが少なくなります。
FIDOの考え方は、最初はU2Fと呼ばれる「パスワードに追加する二要素認証」として普及し始めましたが、その後「パスワードそのものを無くす」方向へと進化し、FIDO2と総称される枠組みが整備されました。FIDO2では、ブラウザー側の標準仕様であるWebAuthn(Web Authentication)と、認証器とのやり取りを定めるCTAP(Client To Authenticator Protocol)という二つの要素が組み合わさっています。これにより、サービス提供者は、標準化されたAPIを通じてFIDO認証をウェブアプリに組み込むことができます。
最近よく聞かれる「パスキー(passkey)」という言葉は、このFIDO2の仕組みを、ユーザーにとって分かりやすくパッケージ化したものだと考えると理解しやすくなります。パスキーは、一種の「アカウント用FIDO資格情報」であり、複数の端末間で安全に同期される点が特徴です。たとえば、スマートフォン上で生成したパスキーを、同じApple IDやGoogleアカウントに紐づく他の端末でも利用できるようにすることで、「端末を変えても指紋や顔認証だけでログインできる」という体験を実現しています。
パスキーの利用シーンをもう少し具体的に見てみます。あるサービスに初めて登録する際、ブラウザーやアプリは「このサイトのためのパスキーを作成しますか」といったダイアログを表示します。ユーザーが同意すると、端末内で先ほど説明した公開鍵と秘密鍵のペアが生成され、秘密鍵は端末やクラウドのセキュアな領域に保管されます。次回以降、そのサイトへアクセスすると、ログイン画面でIDやパスワードを入力する代わりに、「この端末でパスキーを使用してログイン」という選択肢が表示され、指紋認証や顔認証を通じてシームレスにログインできるようになります。
さらに、PCのブラウザーでログインする場面でも、手元のスマホを認証器として使うことができます。PCの画面に表示されたQRコードをスマホで読み取り、スマホ側で顔認証や指紋認証を行うと、その結果が安全な経路でPC側に伝えられ、ログインが完了します。これも結局のところ、FIDO2の仕組みをスマホを介した形で利用しているに過ぎませんが、ユーザーにとっては「パスワードを思い出して入力する」という面倒から解放される大きなメリットがあります。
開発者やサービス運営者にとっても、FIDO・パスキーの導入は「ユーザーのパスワードを保持しない」という利点をもたらします。パスワードハッシュを管理する必要がなくなり、漏えい時のリスクや責任範囲を大きく減らせるからです。その一方で、アカウント復旧や端末紛失時の対処といった新しい設計上の課題も生まれますが、全体としては「ユーザー体験の向上」と「セキュリティ強化」の両立を図る方向に業界全体が動いているといえます。
FIDOとその最新形であるFIDO2・パスキーは、単なる認証技術のマイナーチェンジではなく、「人間がパスワードを覚え入力する」という長年の習慣から離脱し、「端末と暗号技術に認証を任せる」という大きなパラダイムシフトをもたらしていると言えます。ユーザーにとっては、指紋や顔認証など、すでに日常的に使っている仕組みをそのままウェブログインにも広げる形になるため、変化は自然で受け入れやすいものです。一方で、サービス側は、WebAuthnへの対応や、パスワードからパスキー中心の設計への移行を進める必要があります。
今後、主要なブラウザーやOS、巨大なプラットフォーム企業がFIDOベースのパスワードレス認証を標準として押し出していくにつれ、ユーザーがパスワードを入力する場面は徐々に減っていくと考えられます。その過程で、当面はパスワードとFIDO認証が併存するサービスも多いでしょうが、長期的には「パスワードは例外的な手段」という位置付けになっていく可能性が高いです。
私たち一人ひとりにできる準備としては、まず自分が使っている主要サービスでFIDOやパスキーが利用可能かどうかを確認し、使える場合は積極的に有効化してみることです。加えて、スマホやPCのロック画面のセキュリティ(PINコードや生体認証)をきちんと設定しておくことも重要です。というのも、FIDOでは端末が「鍵の保管庫」になるため、その入り口であるロック画面のセキュリティが全体の安全性を大きく左右するからです。
FIDOは、難しい暗号技術を内部に抱えつつ、ユーザーに見える部分はむしろシンプルで使いやすい形を追求している規格です。パスワード管理に日々悩まされているのであれば、FIDOやパスキーが提供する新しいログイン体験を試してみることで、「セキュリティが高いほど使いづらい」という常識が、必ずしも真実ではないことを実感できるはずです。
Read More from This Article: パスワードに頼らない世界へ―FIDOの仕組みを解説
Source: News
ペナン州の工業化を加速させた“サムライエイト” マレーシアの北西部に位置するペナン州。世界中の半導体や医療機器メーカーの製造拠点が集まり、「東洋のシリコンバレー」として繁栄してきた。 1970年代から始まった日本企業の進出は、日立製作所などの「サムライエイト」と呼ばれる企業群が象徴的な存在だった。円高や外資規制の緩和を背景に、80年代後半から90年代にかけて投資ブームが起こり、ペナンもその波に乗った。日本企業は現在、製造業を中心に126社(ペナン政府の発表では約70社)が拠点を構える。 ジェトロ(JETRO、日本貿易振興機構)調査部アジア大洋州課リサーチ・マネージャーの山口あづ希氏が次のように語る。 「日本企業が80年代に進出したときには、安価な人件費を求めた製造拠点としての位置づけが強かったと思います。近年は最低賃金の上昇もあり、東南アジアの中で比較すれば特段安いとは言えなくなっていますが、それでも日本や中国よりは相対的に低コストですし、また、半導体の産業集積や整備された電力や港湾インフラも魅力です。欧米系半導体メーカーによる投資も活況な中で、日本企業は既進出企業による拡張投資を中心に、新規投資の動きもみられます」(同) 他方で、マレーシアは慢性的な人材不足であることに加え、昨今の投資ブームにより人材獲得競争は激しくなっており、エンジニアを中心としたIT人材不足はペナンも例外ではない。頭を抱える問題の一つだ。 「世界的にIT人材が不足している今、国内での人材育成が急務となっています。ペナン州政府もこの課題を強く認識しており、地元の若者が海外に流出せず、地域に定着できるよう、IC設計をはじめとした高付加価値な産業の育成や投資誘致に力を入れています」(山口氏) 半導体戦略とIC設計へのシフト マレーシアは2024年、国家レベルで「国家半導体戦略(NSS)」が発表され、IC設計を中心とした前工程の育成が重点化された。ペナン州はこれに呼応し、投資優遇策「ペナン・シリコン・デザイン@5km+」構想を打ち出した。 これは、ペナン州が推進するIC設計産業の集積・育成プロジェクトであり、設計・教育・インキュベーション・都市機能を、バヤンレパス工業団地を中心とした半径5km圏内に構築するというものだ。ここではインテルなどの実務経験者を活用した設計人材育成プロジェクトも推進されていくという。 同工業団地内には、産業人材育成の中核機関として1990年に設立されたペナン技能開発センター(PSDC:Penang Skills Development Centre)があり、この中に設計人材育成拠点「ペナン・チップ・デザイナー・アカデミー」が2025年7月に設置された。ここではEDA(電子設計自動化)ツール研修、設計演習、実務者メンタリングなどが行われている。同じくPSDC敷地内もしくは隣接地には設計スタートアップ支援、カーボンニュートラルを目指したMPW(マルチパスウェイ)試作、IP(回路ブロックを集めた)ライブラリ提供を行う「シリコン・リサーチ・インキュベーション・スペース」の設置が準備されている。2025年末〜2026年初頭に稼働を予定している。 このほか、設計企業向けプレミアムオフィス、研究開発拠点となる「ペナンICデザイン&デジタル・パーク」もまたバヤンレパス工業団地内で区画整備とテナント誘致が進んでいる。2026年には完成が予定されている。 「インベスト・ペナンなどの投資誘致機関は非常に積極的です。特に『ペナン・シリコン・デザイン @5km+』を通じて、インキュベーション施設の整備、地場企業の育成など、具体的な施策が着実に進められています。日本企業との連携にも強い意欲を持っています」(山口氏) ペナンは米中双方のサプライチェーンに組み込まれており、地政学的に中立的な立場を保っている。これは日本企業にとって大きなメリットであり、米中の緊張が高まる中でも安定した拠点として機能している。 「税制面でも優遇措置があり、投資環境としての魅力は高いです。米国との相互貿易協定も進行中で、半導体分野における税制優遇が期待されています」(同) それだけではない。ペナンの地場企業もAI処理型チップの開発などで活発化しており、日本との技術連携の可能性は広がっている。今後の開発次第では、より実質的な協業が進むことも期待できる。 ペナンは日本にとって、製造拠点から戦略的パートナーへと進化する可能性を秘めている。人材育成、技術協力、地政学的連携——これらを総合的に捉えた新しい関係の構築が期待されている。 「教育、技術、持続可能性、そして国際協力を柱に、ペナンを次世代のモデル都市へと進化させていく」 55年にわたる日本とペナンの交流 ―― 今回の訪日の狙いはなんですか。 チョウ 今回の訪問の主な目的は、もちろんペナンに進出している日本企業の皆さまを支援することにあります。現地での活動状況を直接うかがいながら、関係をしっかり維持し、将来的な投資拡大の可能性を探ることが狙いです。実は、新たな投資家を呼び込むうえで最も効果的なアプローチのひとつが、既存の投資家の“生の声”なんです。現地での経験を共有していただくことで、説得力のあるメッセージになります。たとえば、「東京から来た工場です」とか、「ペナンで何年活動しているか」といった具体的な話は、これから進出を検討している企業にとって非常に参考になりますし、安心材料にもなります。そうした声を、私たちが日本国内の企業にしっかり届けていくことが、結果としてペナンへの新たな投資を後押しすることにつながると考えています。 ―― どのくらいの日本企業がペナンに進出しているのでしょうか。 チョウ 日本企業とペナンとの関係は古く、1970年代からペナンに進出しています。日立製作所(現ルネサスエレクトロニクス)はマレーシア初の自由貿易地域であるペナンに進出した「サムライエイト」の一社です。今では、日本ライフライン、神戸製鋼、東レ、ルネサスエレクトロニクス、パナソニックなど70社以上の日本企業が進出し、駐在員、投資家、退職者など約3,500人の日本人がペナンに住んでいます。ペナンからの輸出で日本は、主要輸出先国のトップ8を維持しています。 ―― ペナンは日本企業に、どのような戦略的価値を提供しているのでしょうか。 チョウ ペナンは日本にとって非常に重要な製造・輸出拠点です。東南アジアへの玄関口として、50年にわたる産業経験があり、強固なサプライチェーンを備えています。350社以上の多国籍企業(MNC)が拠点を置き、特に半導体や医療機器分野では、ペナンの産業基盤と人材が高く評価されています。 ―― 今年2月には熊本を訪問されたとのことですが、どのような議論が交わされたのでしょうか? チョウ 熊本県知事との対談では、私たちが現在抱えている課題の多くについて、率直かつ建設的な議論が交わされました。その中でも特に強く共有されたのが、マレーシア・ペナンと日本を結ぶ直行便の必要性です。これは、すべての既存投資家、そして今後の進出を検討する潜在的な投資家からも、共通して寄せられている切実な要望です。直行便が実現すれば、移動の負担が大幅に軽減されるだけでなく、現地との連携や意思決定のスピード、技術支援の頻度にも大きな好影響が期待されます。ペナンは輸出拠点、熊本は国内需要対応という役割分担が見込まれています。IC設計やバックエンド工程に強みを持つペナンが、熊本のフロントエンド分野を補完する形で協力できると考えています。 IT人材育成と日本企業との協働:ペナンの未来を支える教育戦略 ―― ペナン州は、ITやエンジニアリング人材の育成においてどのような優先事項を設定していますか。 チョウ 昨年、マレーシア政府は国家半導体戦略(NSS)を発表し、2030年までに6万人の技術者育成を目標に掲げました。ペナン州もこれに呼応し、STEM教育(科学(Science)、技術(Technology)、工学(Engineering)、数学(Mathematics)の4分野を横断的に学び、課題発見・解決力や創造性を育む教育アプローチ)の強化と人材育成計画を策定しています。特にIC設計分野では、ペナン州投資庁(InvestPenang)がペナン技能開発センター(PSDC)と連携し、「ペナン・チップ設計アカデミー(PCDA)」を設立。今後5年間で1,000名の設計技術者を育成する予定です。このほかにも、業界のベテランが数十年の経験をもとに設計・提供する物理設計、検証、カスタムレイアウト、アナログ設計を網羅した4~9週間の集中型「IC設計マスターコース」を提供しています。これまでに30名以上の研修生を育成し、90%以上の就職実績を達成しました。 ―― ペナンの教育機関と産業界は、日本企業が求める品質・技能水準を満たすために、どのような連携をしているのでしょうか。 チョウ ペナン州の産業界と大学は「ペナンSTEM人材育成計画」のもとに、緊密に連携し、学界と産業界のギャップ解消に取り組んでいます。この連携は、カリキュラムの共同開発、実践的トレーニングモジュール(スキル向上を目的とした教育コンテンツ)の設計、産業界主導プロジェクトの組み込みに重点を置き、卒業生が技術スキルと職場適応力の両方を備えることを保証しています。 ―― ペナン州では、高度な技能を持つ外国人専門家の受け入れと地元人材の育成をどのようにバランスさせていますか。 チョウ 我々が推進するIC設計や先進パッケージング、設備製造などの分野は、高度な専門知識を必要とします。こうした分野では、外国人専門家の力が不可欠です。ただし、それは単なる雇用ではなく、知識移転の機会でもあります。外国人専門家の経験を活かし、地元人材が監督者や技術者へと成長できるよう、教育と実践の両面で支援しています。自動化やIoTの導入により、外国人労働者への依存は減少し、現地労働者の役割が高度化しています。 ―― 教育制度の整備についても、日本の高専制度などを参考にされていると伺いました。 チョウ はい、日本の国立高等専門学校のような技術特化型教育機関のモデルは非常に参考になります。ペナンでは、技術・職業教育訓練(Technical and Vocational Education and Training、TVET)を強化し、非学位課程や認定プログラムを通じて、機械操作員から監督者、技術者、エンジニアへとステップアップできる仕組みを整えています。これは、産業の高度化と社会的包摂の両立を目指すものです。 ―― 日本企業との技術協力や研修協力についてはいかがでしょうか。 チョウ 日本マレーシア技術研究所(JMTi)は、首相府経済局(ERU)と日本(JICA)の技術協力により1998年に設立された二国間協力の象徴です。現在は人材資源省人材開発局の管理下にあり、産業ニーズに即した技術研修を提供しています。JMTiは、2030年までに労働力の35%を高度技能労働者とするという国家目標に沿った技術研修プログラムを提供しています。 また、ペナンにはロームや京セラなどの日本企業が進出しており、大学との連携を通じて品質管理や技能教育のノウハウを共有しています。マレーシア人労働者が日本へ派遣される研修プログラムもあり、人的交流が活発に行われています。 ―― ペナンを「IT人材育成都市」として位置づける構想もあると伺いました。 チョウ その通りです。世界的なIT人材不足に対応するため、ペナンは高度なスキルを持つエンジニアを育成し、国内外で活躍できるよう支援しています。例えば、マレーシアで学ぶ外国人留学生に対して、卒業後3〜5年間の短期就労ビザを提供することで、即戦力として活用する仕組みを整えています。ペナンは、IT人材のインキュベーターとしての役割も果たしていくことができます。 ―― まさに、知識と人材を核とした都市づくりですね。 チョウ その通りです。私たちは、教育、技術、持続可能性、そして国際協力を柱に、ペナンを次世代のモデル都市へと進化させていきます。日本との協力もその中核にあります。今後も、熊本をはじめとする日本との連携を深め、互いの強みを活かした共創を進めていきたいと考えています。 地政学的緊張とペナンの中立性:二重サプライチェーンの戦略 ―― ペナンの産業構造について、現在の国際情勢との関係性をどう見ていますか。 チョウ ペナンの強みは、もともと中国と米国という二つのサプライチェーンを同時に保持してきた中立的な立場にあります。これは非常にユニークなポジションで、両国からの供給を受けながら製造・輸出を円滑に行える体制が整っているんです。…