新型コロナが問いかけるサイバーセキュリティの許容限界点！（4）

2021年2月14日 07:00

ツイート

明治大学ビジネス情報倫理研究所客員研究員　守屋英一氏

　企業や組織には、多くの機密情報や個人情報などが保管されているため、システムに不具合が生じ、サービスが停止してしまうと、社会に大きな影響を与えることがある。企業や組織はこれまで当然の責務として、セキュリティ対策における「ゼロリスク」に向けて走り続けてきたが、新型コロナウイルス感染拡大でリモートワークが進み、その風景は一変した。企業が「許容の限界」を真剣に考え始めているサイバーセキュリティ対策について、明治大学ビジネス情報倫理研究所客員研究員の守屋英一氏に聞いた。

情報漏洩の大半を占める「紛失・置忘れ」「誤操作」

　――情報漏洩の原因の多くは、「紛失・置忘れ」「誤操作」というデータを見て驚きました。

　守屋　情報漏洩の原因は、管理ミス、誤操作、紛失・置忘れが約8割を占め、不正アクセスなどの外部からの攻撃の割合は多くありません。2018年の（特非）日本ネットワークセキュリティ協会（JNSA）「情報セキュリティインシデントに関する調査報告書」にも、それがはっきり表れています。

　つまり、外部の脅威より、組織体制の不備、管理不足などの内部の脅威が原因で、情報漏洩事故が発生するケースが圧倒的に多いのです。「不正アクセス」「内部犯罪・内部不正行為」などは発見が難しいこともありますが、企業にとって、サイバー攻撃は稀なケースであることをしっかり認識しておくことは必要です。

　当分は、約7割の社員が在宅勤務となっているため、自宅やカフェで仕事をする機会が増え、週に1回程度、出勤するテレワークが続きます。そのため、移動中の「紛失・置忘れ」がさらに増えるものと危惧されています。また在宅勤務では、社内のように同僚の目もないので、帰属意識が薄れ、緊張感もなくなります。さらに、多くの企業では、コロナ後に大規模なリストラの嵐が予想されています。

　昨年10月に起こった「積水化学工業の情報漏洩事件（※）」を例に挙げるまでもなく、サイバー攻撃は、特に大企業の場合、求める情報が企業内のどこにあるのかを探すのは至難の業です。そんな回り道をせずに、設計者や同じ設計部署の人に、「秘密情報の見返りに、金銭提供と転職を可能にする」というアプローチをする方が簡単で、確実に情報が手に入ると言われており、この点は留意しておく必要があります。

個人の信頼度を客観的に評価する指標が必要になる

　――コロナ禍の収束後の情報セキュリティの近未来を占って頂けますか。最後に、読者の皆さまにエールをください。

　守屋　ここしばらくは、企業の情報システム部門やCSIRT（シーサート：サイバーセキュリティに関する事故が起きた際に、被害の抑制や原因究明などの対応を実施する組織）などの部隊が集中的に活動するのは難しいと考えられます。しかし、ネットワークに接続された環境下では、たった１台のコンピュータのウイルス対策を怠るだけで、広範囲にウイルスが蔓延し、情報漏洩など大きな損害が発生する可能性もあります。そこで、企業としては、個人の信頼度を客観的に評価する（数値化する）指標が必要になると思います。その理由は、企業が技術的にはもちろん、ルールを決めてすべての社員を管理することは物理的に不可能であるためです。各個人の信頼度に応じて、社内の仕事、昇給、昇格も決まっていくでしょう。

　金融機関などで使われている信用情報や中国で実用化されている「信用スコア」などが多様化していかざるを得ないと考えています。強制的に実行すると反対意見もあるでしょうが、明らかな利便性が認められるのであれば、その後の判断は個人に任せる時代がやってくるのではないでしょうか。

公開のデメリットよりメリットの方がはるかに多くなった

　守屋　私は『フェイスブックが危ない』(文春新書)を著した2012年頃から今までプライバシーの問題に関して調査研究を重ねてきました。その結果、個人情報を個人で守るのは煩雑で力のいる作業で、ある程度の予算もかかることが分かっています。また、国として、市民の個人情報を守ることには、経済的にはもちろん、組織的にもとても難しいことも分かっています。

　一方で、市民は巷にあふれるさまざまな商業キャンペーンによって、知らず知らずのうちに個人情報を抜き取られています。私は、今後の方向性として、個人情報は政府が保護するのではなく、個人が自分の利便性と兼ね合わせた上で、その扱いを判断できるようにするのが良いのではないかと考えています。

　地図情報のGPSなど、最近の目覚ましい技術の進歩をから、公開することによって得られるメリットはデメリットよりはるかに大きなものになっています。個人情報の公開が良くないと聞くと、本来はそこまで考えていない人でも、足が止まってしまうケースがあることを少し残念に思います。

リスクを取れる人だけが生き残れる時代

　守屋　読者の皆さまへのエールですが、私は、これからは「リスクを取れる人だけが生き残れる時代」がやってくると考えています。リスクを取らなければ利便性も上がらず、何よりも、行動に制約がかかり、自由にのびのびと社会で活躍できないからです。もともと、リスクがゼロの世界はあり得ず、リスクを後ろ向きに考えずに、前向きに捉えるべきです。その時、賢明な読者の皆さまには、自分にとっての「許容限界点」がどこなのかを、冷静な目で見て合理的に考え、一時の感情に流されずに行動して欲しいと思っています。

（了）

【金木　亮憲】

※：積水化学工業の男性元社員（45）が中国企業（潮州三環グループ）に情報を漏らしたとして10月中旬、大阪府警に書類送検された。元社員は2019年に解雇された後、同じ中国勢である通信機器大手・華為技術（ファーウェイ）に再就職していた。潮州三環グループは「Linkedin」を使って接触し、元社員は社内サーバーから私物のUSBメモリにコピーして不正に入手した情報を、私用PCとフリーメールを用いて2回にわたり中国企業側へ送信した疑いがもたれている。 ^

＜プロフィール＞
守屋英一氏（もりや・えいいち）
　2016年中央大学大学院・経営修士（専門職）課程修了。07年日本アイ・ビー・エム（株）に入社。セキュリティオペレーションセンター運用責任者、IBM Computer Security Incident Response Team（CSIRT）Forensic analystを経て、15年内閣官房上席サイバーセキュリティ分析官、18年から自動車会社勤務、現在に至る。
　シーサート協議会専門委員及びインシデント事例分析WG主査、明治大学ビジネス情報倫理研究所客員研究員を兼任。著書として『フェイスブックが危ない』（文藝春秋）、『サイバーセキュリティ』（共著、NTT出版）、『ネット護身術入門』（朝日新聞出版)など多数。12年度JNSA表彰個人の部を受賞。14年～15年Microsoft MVP for Consumer Securityを受賞。