サイバーセキュリティには国が総力を挙げて取り組むべきである
ブログでは本業についてほとんど書かない(書けない?)のですが、本日は少しだけコメントさせていただきます。6月初めから約3カ月、本業(危機対応)として日本年金機構の個人情報流出事案に関与させていただき、昨日も当局側と検討協議をさせていただきました(なお、私がどのような立場で関わっているのかがわからないように、以下では専門用語は使用しておりませんので、若干不正確な表現がありましたらご容赦ください)。
ご承知のとおり、日本年金機構による情報流出事案について、先週末に3つの報告書が公表されまして(NISC、年金機構、検証委員会)、なかでもNISCさんの報告書は(指揮命令系統が異なるためか)他の報告書とは「公開」の基準が違うので非常に興味深いです。よく読むと、ほかの報告書ではわからない情報が出てきています。なお、マスコミでは主に厚労省や年金機構の組織上の問題点が批判されており、国民の重要な個人情報を管理する立場として責任感があまりにも欠けている・・・といった主張は妥当なものだと思います。しかし行政がしっかりするだけではなく、以下の課題における民間の意識向上を含め「国家総動員」でサイバーセキュリティのレベルを上げなければ同様の事故の再発防止は不可能だと確信いたします。
まずは情報セキュリティ関連会社の能力の有無を(委託する民間事業者にもわかるように)明確にすべきです。医療過誤、弁護過誤と同じく「情報セキュリティ過誤」についてもう少し世間の関心を高めるべきです。経産省の指針等に従って注意義務を尽くしていたかどうか、裁判で問われる例も出てきています。委託者側にも、WEBサーバーの構築や管理をどこの企業に委託するか、その委託責任まで問われる時代がやってくると思います。
つぎにサーバーを提供する企業のセキュリティレベルの向上です。サーバー提供会社は固い契約によって「どんなウィルスによる損害についても責任を負わない」とされています。このことによって、提供会社のリスク対策が後手に回り、サーバーの脆弱性を突いた攻撃が後を絶ちません。先日(8月22日)、産経新聞にようやく(たぶん情報セキュリティ会社、またはセキュリティ診断事業者による内部告発かと思いますが)この点に関する批判記事が出ました。
そして最後に自社の保有情報を漏えいされたり、他社への攻撃の道具にされないための民間企業の自己管理の必要性です。率直に申し上げて、マルウェアによる攻撃に対する未然防止及び「検出」や「感染」の早期発見のためのツールはお金がかかります。しかし、このたびの事案によって、情報セキュリティの甘さは、もはや自社の損失を超えて、国家レベル・国民レベルでの損失につながるほどの大問題に発展することが明らかになりました。つまり企業としての信用を大きく毀損するリスクといえます。これまでのリスク管理であれば「重大性のレベル3」だったものが「レベル1」くらいに上がっているのではないでしょうか。
日本年金機構の事件を契機に「サイバーセキュリティ基本法」が改正されるそうですが、企業としても「費用対効果」の「効果」には、自社の情報管理上の安全だけでなく、国民や国家の情報の安全(もしくはこれを毀損したときの多大な風評被害からの予防)も含むものである、といった意識が必要だと考えます。フォレンジックによって標的型ウィルスによる攻撃の全容を明らかにするためには断片的に残された情報だけでは不十分です(これは超一流の日本の情報セキュリティ会社の能力をもってしても困難だということがよくわかりました)。早期に重要情報の流出を阻止するためには、多くの情報を多くの組織から集めることが必要です。そのためには行政、専門業者、大手通信会社、そして民間事業者が協働してクライシスマネジメントに努める以外にはないと考える次第です。
| 固定リンク
コメント
「国家総動員(法)」という言葉には、国民一人一人の権利は蔑ろにしてもいい、というニュアンスを(言葉を使った人の真意はどうであれ)どうしても含んでしまいます。お使いにならないほうが賢明でしょう。
そして、一般人のサイバーセキュリティへの意識が高まらないのは、個人情報を企業や国家に支配されることへの警戒心、恐怖が背景にあります。ウイルスや(他国?からの)サイバー攻撃も怖いけど、国家や特定の業界、企業が信用できないという心理を解決してこそ、結果的に対策は進むと思うのです。そういった言葉で危機感を煽るのではなくてね。
投稿: 機野 | 2015年8月28日 (金) 09時45分
機野さん、ご意見ありがとうございます。やや不適切な表現でしたのでタイトルを修正いたしました。あんまりおもしろくない題名ですが。。。
投稿: toshi | 2015年8月28日 (金) 10時32分
サイバーセキュリティに関しては日本企業はスーパーマン的な人物の登場や特効薬のような物が出てくるのを待っています。ただ、知っている人間からするとそんなものはただの幻想であります。
ただ座して待つのではなく、常に情報をアップデートし今できる最良の対策を企業はお金とヒトにリソースを注ぐべきですがまだ対岸の火事のようです。
マイナンバーが始まるとおそらく直ぐにデータを全て抜かれた云々の話が出てくるでしょう。
サイバーの知識のない経営者を含む全事業者にマイナンバーの管理をさせるという「そもそも論」というお話がありますが、今後起きるであろうインシデントで少しでも目を覚ましていただければいいと思います。
投稿: 和田 | 2015年8月28日 (金) 12時31分
「ネットは、危険である。なぜなら、新種のウィルス、マルウェアは次々と作られ、これを規制することは不可能である。」を基本として考えないとならないと思います。
情報セキュリティ会社に安全性確保を依頼しても、最終的な責任は自社に残る。しかし、それ以外に有効な手段はなかなか考えられないというのが、多くの場合の実情でもあり、現代社会の大変な問題と思います。
政府がネット社会で規制をすべきかというと、やはり私は反対です。しかし政府は何もしないのが良いのではなく、調査と報告(公表することが犯罪拡大に繋がる場合や個人・企業の特定を避ける必要がある場合等を除く)をし、警告に努めることは、政府として実施すべきことと考えます。
投稿: ある経営コンサルタント | 2015年8月29日 (土) 11時11分
お久しぶりです。中堅企業の内部監査人のtonchanです。
ネット社会では企業のセキュリティが直面するのは不特定多数のハッカーです。私はセキュリティを破られるには三段階あると考えています。
1.セキュリティを突破すること自体を目的としている段階、この段階では企業には被害がでません。これはセキュリティを破るのが一種のゲームとして考えている人がセキュリティを突破している段階です。ネットゲームとしてセキュリティを破る人にとってはハードルが高くなればそれだけ真剣にチャレンジをするでしょう。これを防止する方法はありません。
2.1.のツールを利用して企業のサーバーに対して悪意の影響を与えてる人間が出てきた状況です。1.とのタイムラグが少なければ少ないほど危険度が増します。
3.普遍的な対応方法が発見されており、漏えい等を防止できるのに実施しなかった場合で個人的には企業側に重過失があると考えています。
2.3.は専門家の協力が不可欠ですが、その専門家を評価する企業にも一定の能力が必要です。3.(いつの段階にもよりますが)に対する対応を専門家がサービスとした段階で対応できない3.の部分が発生します。そのリスクを企業が評価することが必要でしょうが、結構困難な気がします。
とりあえず、政府には評価のための基準程度は設定してほしいものです。最近はITとも疎遠になっており、私の認識自体は陳腐化しているとも思いますが、何かの参考となればとコメントさせていただきました。
投稿: tonchan | 2015年9月 8日 (火) 10時13分