データセキュリティの未来犯罪増加で求められる監査強化（前）

2023年1月2日 06:00

ツイート

国際未来科学研究所
代表　浜田和幸

　サイバー被害が増え続けるなか、セキュリティの重要性はますます高まっている。強固な改ざん防止力をもつといわれる新技術NFTさえも例外ではない。また、サイバーセキュリティへの脅威は外部からばかりでなく内部にも存在している。2022年11月に破綻した大手暗号通貨交換業FTXなどを例として、これからのセキュリティの課題を考えてみたい。

増え続けるサイバー被害

データセキュリティイメージビッグデータの国際市場は2027年までに1,030億ドルに達するとの予測もなされています。その基盤を支えるのがデータセキュリティにほかなりません。

　問題は、市場の拡大と呼応するように、データ侵害などのサイバーセキュリティを乗り越えた犯罪が急増していることです。膨大なデータが流出し、企業や政府、そして個人にとっても大きな懸念材料となってきました。

　たとえば、Yahooでは13年にサイバー攻撃によるデータ流出の被害を受けました。当初、その影響はそれほど大きくないと推定されたのですが、その後の調査でYahooの全利用者、30億ユーザー・アカウントの情報が漏洩していたことが判明。この事件により、当時Yahooを買収する準備を進めていたVerizonは買収提示価格を当初の金額より大幅に引き下げました。

　データセキュリティは組織の評判や経済面へ悪影響をおよぼすだけではありません。コンプライアンスを守るうえでも欠かせないからです。金融やヘルスケア、クレジットカード決済などに関する規制を遵守するためにも、重要な意味をもちます。コンプライアンス違反が起きれば、政府に多額の違反金を徴集されるのみならず、ビジネスそのものを失うことにもなるからです。

　22年11月30日、中国で世界データセキュリティ安全協力会議が開催されました。この分野では初の国際会議です。ロシア、イスラエル、スペイン、日本、ベトナム、マレーシアなどから専門家が参加し、活発な議論が展開されました。なかでも印象深かったのはロシア国家安全会議の前副議長のペトロヴィッチ氏の発言です。

データ・ハッカーの危険性

　「中国とロシアは戦略的なパートナーシップを組んでいるからこそ、データセキュリティの分野でも協力すべき余地が多い」。それに対して、中国側からは「中国は国連と協力し、国際データセキュリティセンターを立ち上げる用意がある。こうしたセンターを国連内に稼働させるようになれば、サイバー分野での犯罪を80％は減らすことができる」との前向きな反応が見られました。

　通常、データ・ハッカーは外部のアウトサイダーと内部のインサイダーに分類されます。前者にはビジネスの混乱や金銭的利益を求める単独のハッカーやサイバー犯罪者、または国家的規模や世界的規模で混乱を引き起こすための詐欺の実行を目論む犯罪グループや、国家が後援する組織とその構成員が含まれます。

　後者には、信用ある立場を利用しデータを盗む者や、ミスによる不慮のセキュリティ障害を引き起こす現役または元の従業員、あるいは顧客またはパートナーが含まれる場合もあります。敵は外部だけではなく内部にも潜んでいるといっても過言ではありません。

　世界的にデータ侵害のリスクは高まるばかりで、こうしたリスクを軽減するためには、暗号化、キー管理、データマスキング、特権ユーザーアクセス制御、アクティビティの監視、監査の強化など、取るべき対策は多岐に渡ります。しかし、最も初歩的かつ有効な対策は人的エラーやミスを排除することです。なぜなら、現在のセキュリティ被害の90％は人的エラーに起因していると分析されているからです。

新技術NFTも被害

　とはいえ、新たなデータセキュリティを覆すような波がひしひしと押し寄せているのも事実です。たとえば、21年ごろから注目を集めだしたNFT（Non-Fungible Token）ですが、22年からNFT盗難被害も頻発し始めています。まだ導入が始まって日が浅いため、今後、初めて取り引きする利用者が増えるなかで、NFT盗難被害が急拡大する恐れもあります。利用者の保護をどのように進めるのかは世界各国にとって頭の痛い課題となりそうです。英国ではNFT関連の法制度が進み、日本でも利用者の法的救済の在り方が議論され始めています。

　22年2月、世界最大のNFT取引所OpenSeaにおいて、過去最大規模のNFT盗難事件が発生しました。盗まれたNFTはいずれも超人気の高額なコレクションで、17ユーザーから盗まれたNFTの被害総額は170万ドルを越えたといわれています。NFTはデータをオープンかつ分散管理するブロックチェーン上で発行、記録されるため、データの複製や改ざんを防ぐうえでは効果的とされていましたが、抜け穴があるようです。

　注意すべきは、NFTといえども、デジタルデータとしてシステム上で管理されているため、攻撃者がNFT所有者を騙し、秘密鍵やシードフレーズを盗んでしまえば、攻撃者はデジタルデータを不正に取り引きし、自分の所有に変更することができる点です。また、システムのバグを悪用し、不正な取引を行い、NFTを盗む行為が発生することも可能性としては否定できません。

　詐欺やハッキングによるNFT盗難事件が発生した場合、詐欺罪などにより犯人を逮捕できる可能性はありますが、デジタルデータの所有権は現時点では法的に明確化できていません。そのため、犯人を特定できても差し押さえや返還要求が認められない恐れもあります。

サプライチェーンへの攻撃が拡大

　次に注目すべきはサプライチェーン攻撃です。22年3月、トヨタ自動車の関連会社を狙ったサプライチェーン攻撃が発生しました。サイバー攻撃によって部品供給や生産管理のシステムがストップするという事態に直面したわけです。デンソーのグループ会社や自動車部品メーカーの三桜工業のアメリカ子会社でも同様の被害が発生しています。

　特定の企業を標的にしたサプライチェーン攻撃は拡大する傾向にあります。サプライチェーンは多国間にわたっていることも多いため、国際的な情報共有とサイバー攻撃対策が求められます。

（つづく）

浜田　和幸（はまだ・かずゆき）
　国際未来科学研究所主宰。国際政治経済学者。東京外国語大学中国科卒。米ジョージ・ワシントン大学政治学博士。新日本製鐵、米戦略国際問題研究所、米議会調査局などを経て、現職。2010年7月、参議院議員選挙・鳥取選挙区で初当選をはたした。11年6月、自民党を離党し無所属で総務大臣政務官に就任し、震災復興に尽力。外務大臣政務官、東日本大震災復興対策本部員も務めた。近著に『イーロン・マスク次の標的「IoBビジネス」とは何か』、『世界のトップを操る"ディープレディ"たち！』。