問われるデータセキュリティの脆弱性　日本は大丈夫か

2022年12月2日 17:40

ツイート

　NetIB-Newsでは、「未来トレンド分析シリーズ」の連載でもお馴染みの国際政治経済学者の浜田和幸氏のメルマガ「浜田和幸の世界最新トレンドとビジネスチャンス」の記事を紹介する。
　今回は、12月2日付の記事を紹介する。

データセキュリティイメージ　データセキュリティは今日の企業や政府の活動を支えるうえで極めて重要な存在となっています。ビッグデータの国際市場は2027年までに1,030億ドルに達するとの予測もなされているほどです。

　その一方で、市場の拡大と呼応するようにデータ侵害やサイバーセキュリティを乗り越えた犯罪も急増しています。世界各地でデータ侵害の件数は増加しており、膨大なデータが流出し、企業や政府、そして個人にとっても大きな懸念材料となってきました。

　たとえば、Yahooでは2013年にデータ搾取の被害を受けました。当初、その影響はそれほど大きくないと推定されたのですが、その後の調査でYahooの利用者30億人のユーザー・アカウントがすべて漏洩していたことが判明。この事件により、当時Yahooを買収する準備を進めていたVerizonは買収提示価格を当初の金額より大幅に引き下げることなりました。

　データセキュリティは組織の評判や経済的な悪影響をおよばすだけに限りません。コンプライアンスを守る上でも欠かせないからです。金融やヘルスケア、クレジットカード決済などに関する規制を遵守するためにも、重要な意味をもちます。コンプライアンス違反が起きれば、政府に多額の違反金を徴集されるのみならず、ビジネスそのものを失うことにもなるからです。

　通常、データ・ハッカーはアウトサイダーとインサイダーの2つに分類されます。アウトサイダー、つまり部外者にはビジネスの混乱や金銭的利益を求める単独のハッカーやサイバー犯罪者、または国家的規模、さらには世界的規模で混乱を引き起こすための詐欺の実行を目論む犯罪グループや国家が後援する組織の構成員が含まれます。

　インサイダーこと部内者には、信頼されている立場を利用してデータを盗む場合や、ミスによる不慮のセキュリティ障害を引き起こす、現または元の従業員、顧客またはパートナーが含まれる場合もあります。敵は外部だけではなく内部にも潜んでいるといっても過言ではありません。

　現在、世界的にデータ侵害のリスクは高まるばかりです。そうしたリスクを軽減するためには、暗号化、キー管理、データマスキング、特権ユーザーアクセス制御、アクティビティの監視、監査の強化など、取るべき対策は多岐に渡ります。しかし、最も初歩的かつ有効な対策は人的エラーやミスを排除することです。なぜなら、現在のセキュリティ被害の90％は人的エラーに起因していると分析されているからです。

　とはいえ、新たなデータセキュリティを覆すような波がひしひしと押し寄せているのも事実です。先ずは、2021年頃から注目を集めだしたNFTですが、2022年からNFT盗難被害も頻発し始めています。まだ導入が始まって日が浅いため、初めて取り引きする利用者が増えるなか、NFT盗難被害は今後、急拡大する恐れもあります。利用者の保護をどのように進めるのかは世界各国にとって頭の痛い課題となりそうです。英国ではNFT関連の法制度が進み、日本でも利用者の法的救済の在り方が議論され始めています。

　2022年2月、世界最大のNFT取引所OpenSeaにおいて、過去最大規模のNFT盗難事件が発生しました。盗まれたNFTはいずれも人気の高い高額なコレクションで、17ユーザーから盗まれたNFTの被害総額は170万ドルを越えたと言われています。NFTはデータをオープンかつ分散管理するブロックチェーン上で発行、記録されるため、データの複製や改ざんを防ぐ上では効果的とされていましたが、抜け穴があるようです。

　注意すべきは、NFTといえども、デジタルデータとしてシステム上で管理されているため、攻撃者がNFT所有者を騙し、秘密鍵やシードフレーズを盗んでしまえば、攻撃者はデジタルデータを不正に取り引きし、自分の所有に変更することができるからです。また、システムのバグを悪用し、不正な取り引きを行い、NFTを盗むことも可能性としては否定できません。

　詐欺やハッキングによるNFT盗難事件が発生した場合、詐欺罪などにより犯人を逮捕できる可能性はありますが、デジタルデータの所有権は現時点では法的に明確にできていません。そのため、犯人を特定できても差し押さえや返還要求が認められない恐れもあります。

　次に注目すべきはサプライチェーン攻撃です。2022年3月、トヨタ自動車の関連会社を狙ったサプライチェーン攻撃が発生しました。サイバー攻撃によって部品供給や生産管理システムがストップするという事態に直面したわけです。デンソーのグループ会社や自動車部品メーカーの三桜工業のアメリカ子会社でも同様の被害が発生しています。

　このように、特定の企業を標的にしたサプライチェーン攻撃は拡大する傾向にあります。サプライチェーンは多国間にわたっていることも多いため、国際的な情報共有とサイバー攻撃対策が求められます。11月30日、中国ではデータセキュリティに関する初の国際会議が開催されました。ロシアの参加者からは中ロが連携し、戦略的なサイバー攻撃対策のメカニズムを構築すべきとの提案がなされたところです。日本にとっても喫緊の課題と思われます。

　次号「第321回」もどうぞお楽しみに！

著者：浜田和幸
【Blog】http://ameblo.jp/hamada-kazuyuki
【Homepage】http://www.hamadakazuyuki.com
【Facebook】https://www.facebook.com/Dr.hamadakazuyuki
【Twitter】https://twitter.com/hamada_kazuyuki