平成29 年12 月3 日、日本経済新聞の一面に「中央省庁サイト、8 割にリスク 改ざん・なりすまし・盗み見・・・暗号化、人手や予算乏しく」という見出しの記事が掲載された。8 割の中央省庁サイトで、暗号化の遅れや人手不足のためセキュリティ・リスクを抱えているというのである。情報漏洩(盗み見)一つとっても、1 月にコインチェック社から580 億円分の仮想通貨が盗まれたという事件があった。セキュリティ対策の杜撰さが指摘されているが、十分なセキュリティ対策をしている企業でも情報漏洩事件を起こしている。 2011 年の4 月から6 月にかけて、ソニーグループ全体で1 億261 万3000 件の情報漏洩事件があった。その前年に、筆者等は同社の法務関係者に完全な技術の採用を提案したが、自社技術で十分との回答であった。しかし漏洩事件後、自社技術により様々な対策を施したにもかかわらず、2014 年11 月に、グループ会社のソニー・ピクチャーズから再び4 万7,000 人分合計100TB 超の可能性のある個人情報漏洩が発生した。この他にも、2015 年5 月の日本年金機構における125 万件の個人情報漏洩事件や、2015 年11 月三菱東京UFJ 銀行の出会い系サイトの運営事業者の振込情報約1 万4,000 件の外部流出事件など、セキュリティ対策を万全に行っているはずの事業者の漏洩事件は世間に衝撃を与えた。これらはすべて不正アクセスによるものである。
2014 年7 月のベネッセにおける2,900 万件の子供や保護者の住所や氏名、電話番号、子供の性別や生年月日などの漏洩事件は、委託先従業員による外部持ち出しという人的漏洩なので別の問題に聞こえるかも知れないが、正しい技術による正しい対策さえあれば、このような大量流出はあり得なかったのである。このような情報漏洩事件が頻発する理由は、情報漏洩を容易にできる未熟な技術を使っているからである。前述の日経の記事にも「ログイン画面など一部ではなく、サイト全体で徹底すれば利用者を守れる。この対策を『常時SSL 化』と呼ぶ。」と書かれているが、完全な暗号技術をサイト全体で徹底すれば確かに守れるが、SSL 自体古い不完全な技術でありほとんど役に立たないことには触れられていない。情報漏洩ができる環境であれば、漏洩よりは多少難しいが、情報改竄も可能である。一方、なりすましは最も容易で、対策は最も難しい。例えば、セキュリティレベルの高い最新のビルでは、来館者の1 人1 人に電子的な1 回限りの入館証が発行され、来館者は記号やバーコードをプリントアウトして持参し、ゲートの読取機にかざして許可が出ればゲートが開く仕組となっている。空港における電子航空券とゲートを使った認証と同じ仕組である。一見するとセキュリティが厳重な気がするが、バーコードを入手すれば誰でも入館できる点は見逃されている。バーコードを落とす人もいれば、盗まれる人もいる。現行技術を用いた環境であれば電子的に盗むことはさらに容易である。これをネット上ですべて行う遠隔認証ではその何倍も易しいという事実を見逃してはならない。
その結果、膨大な損失が生じている。2009 年1 月9 日のBBC ニュースによれば、スイスダボス会議で世界有数のセキュリティ関係会社の代表が「Online Theft」が世界で1 兆ドルあることを発表している。その金額は年々増加しており、未だ有効な対策が施されていない。
最近は、日本でもサイバー犯罪が報道されることが多くなり、事の重大さが認識されてきた。警察庁においてもサイバー対策を重視し、各都道府県警ではサイバー対策課を設けて対策にあたるなど、サイバー犯罪への対策が緊急課題となっている。サイバー犯罪とは、主にコンピュータネットワーク上で行われる犯罪の総称であり、ネットワーク上の不法取引やデータの大量配布による著作権侵害、法律に違反するデータの公開などを主として指す。米国をはじめとする諸外国では陸・海・空の三軍に加えて、サイバー軍の設立を開始している。サイバー空間での攻防はすでに国家安全保障上の問題と認識されているのである。一方、我が国では、サイバーセキュリティを包括的に扱う動きがようやく出てきたばかりだ。サイバー空間の攻防は極めて重要だが、他国に先駆けて情報セキュリティ全般を扱い、二度と膨大な損失を被ることの無い有効な対策を打つことを期待したい。なぜなら、国防以前の問題として、産業情報の漏洩は、直接的に国力低下の原因につながる国家安全保障上の重要問題だからだ。一つの工業製品を発売するため日本を含む先進国では、基礎研究から始まり、その応用研究、これらを利用した製品開発(設計図を含む)、製造技術開発(金型や製造ラインなど)に膨大な費用をかけている。これらの費用は、原則としてすべて新製品の付加価値を構成し、最終製品の発売にあたっては、その製品本来の製造コストに加えて、この研究開発に要するコストを上乗せして、新製品の価格が決定されている。そして従来はこの新製品が有する新規性、独自性、利便性ゆえに、類似の従来製品と比較して高価格であっても価格競争力を維持してきた。ところが近年、新製品と同じ付加価値を持つほぼ同等の製品が、発売日までほぼ同じ日に市場に出てくるという不可解な事態が発生するようになっている。そのため我が国の製造業者は、研究開発にかけた膨大なコストを乗せた分だけ価格が高い新製品を市場に供給することを余儀なくされ、いつの間にか日本の経済力は、世界第二位の地位までも奪われるに至ってしまった。その結果、①競争力の低下とシェアの縮小、②技術力が高価格につながらないことによる研究開発費の圧縮、③日本人技術者の減少および技術力の低下、と負の連鎖さえ見られる。
「世界の工場」と称される国々と比べても、日本のほうが製造効率は数倍高いので、製造コストについて日本の競争力が勝っているケースは少なくない。それに加えて、開発コストを適切に上乗せできるのであれば、日本の競争力は以前よりも高くなり得ると言っても良い。そのためそこでは産業情報の漏洩を防止する情報セキュリティ対策が不可欠である。
続きは資料をダウンロード 情報セキュリティの本質と対策 情報セキュリティ上の脅威・攻撃に対する実用的ソリューション (インテリジェンスレポート4月号)