|
孫子の兵法に「敵を知り、己を知らば、百戦危うからず」というくだりがあるが、情報セキュリティ対策も同じである。
まずは敵の正体を見極めねばならない。ただし、実際の戦(いくさ)とは違い、情報セキュリティの敵は目に見えないものの方が多い。しかも、日々、敵は変化をし続けている。
ITの進化と共に、姿・形が変容するのである。今日、最善の防御を取ったとしても、明日は分からないという世界だ。とは言え、放っておくわけにはいかない。
敵を知る一番の方法は、報道されている情報セキュリティ事件・事故の状況を知ることである。敵が暴れ回った結果であり、それを分析することで、どんな敵が、どのような時に姿を現し、またどのような影響(被害・損害)を与えたのかを読みとることができる。
表1は、2005年9月〜2006年8月の1年間に、マスコミで報道された情報セキュリティ事件・事故の月別件数である。
合計679件、月平均57件程であり、毎日のように報道されていることが分かる(報道されていない事件・事故の件数は、この数百倍、数千倍にものぼるかもしれない)。
中には、企業の存続が危ぶまれるような甚大な被害をもたらしたものもあり、しかもその要因は意外と些細なことであったりする。
内容は、個人情報関連(漏えい、紛失など)が圧倒的に多いが、防衛庁の機密データや警察の捜査情報なども漏洩しており、事態は深刻である。
以下に事件・事故の一例を記した。
・通信会社:400万人分の顧客情報流出(委託先社員の不正持ち出し
・金融機関:約17万件の顧客情報のマイクロフィルム紛失
・電力会社:原発情報がWinny(ファイル交換ソフト)でネット上へ流出
・大学:学生の個人情報4万件の入ったPCが盗難
・病院:診療情報が入ったUSBメモリ紛失
・市役所:水道振替口座情報2万人分を紛失
・製薬会社:個人情報2万件の入ったPCが車上荒らしに遭う
・ポータルサイト:不正アクセスででメルマガ登録者個人情報が流出
・物販:メール誤送信で顧客1万2000名のアドレスを流出 |
このように、企業や官公庁、大学、病院と様々なところで事件・事故は発生している。持ち出しや不正アクセス、盗難など犯罪性の強いものもあるが、管理不足や、ちょっとしたミスなど、未然に防ぐことができたと思われるものも多い。
また、ITの進化がアダとなり、いちどきに大量のデータが流出してしまうことも、最近の事件・事故の特徴である。
紙ベースで仕事がなされていた一昔前なら、顧客情報を盗もうとした場合、台帳を一枚一枚コピーして持ち出さねばならなかったが、電子データならば瞬時にコンパクトな磁気媒体へ大量のデータをコピーし、ポケットに忍ばせて盗んでいくことができる時代である。
さらに、個人情報保護法の施行以降、報道機関が過剰反応している面もあるが、たった一枚の顧客からの申込書の紛失でさえも、ニュースとなる時代である。
加えて、個人情報の漏洩は、損害賠償にまで発展するケースも増えてきた。
情報セキュリティ事件・事故が企業経営を揺るがす時代であり、企業としても気を引き締めておかねばならない。
表2は、前述の情報セキュリティ事件・事故の要因別内訳である
一番多いのは「紛失」(39%)だが、そこには様々なケースがある。個人情報が記された書類やCD−ROM、USBメモリなど媒体の紛失、もしくは誤って廃棄したなど、大半は管理不足に起因している。
中には、携帯電話の紛失という起こりがちなケースでも、携帯の中に取引先の個人情報が含まれていて、個人情報漏えいとして報道されることがある。
続いて多いのが「盗難」(23%)である。中でもPCの盗難がとりわけ多く、車上荒らし、事務所荒らし、置き引き、自宅での空き巣被害などだ。ここで注目したいのは、そのほとんどは、PC本体を盗む犯行であり、それを中古ショップで売りさばいて幾ばくかの金を稼ごうというものと思われる。
犯罪者にとっては、PCの中身の情報などほとんど興味がなく、たまたまその中に機密情報が入っていたというケースが多いのではないだろうか。
三番目に多い要因は「人的ミス」(19%)である。
とくに、誤郵送、FAXや電子メールの誤送信等が多い。いわゆるうっかりミスである。中でも、電子メールは便利なコミュニケーション手段であるが、宛先のアドレスをまちがったり、違うファイルを添付してしまったりすると、一瞬にしてメールが送られてしまうので、気づいた時には取り返しがつかない結果となる。
また、CC(カーボン・コピー)とBCC(ブラインド・カーボン・コピー)の使い分けでも、ミスが多発している。CCで送る場合、送った相手全員がそれぞれのメールアドレスを知ることとなり、これまた個人情報の漏洩ということで報道されてしまうこともある。
四番目の要因として、全体の12%を占めるのが「ウイルス」である。
コンピュータウイルスが猛威を振るい始めて久しいが、その防衛策として、ウイルス対策ソフトは必須となっており、ほとんどの企業が導入していると思われる。それでもウイルスの被害が後をたたないのは、未知の新種ウイルスが次から次へと作られているからである。まさにイタチゴッコである。
さらには、「Winny(ウイニー)」などファイル共有ソフトのウイルス感染が昨今急増している。前述の防衛庁の機密データ流出や原発の技術データ流出は、すべてこれが原因である。
とくに、仕事上の機密データを自宅に持ち帰り、ファイル共有ソフトを入れた私物のPCで作業をし、ネット上へと漏れ出してしまうケースが続発している。
これら四つの要因で全体の九割強を占めており、情報セキュリティ上の「敵」の正体と言える。
こうして敵の正体を知ったならば、次は「己を知る」ということである。これについては、次回記す。
| 帝国データバンクネットコミュニケーション 岡崎弘明 |
|
|
| |
| ■筆者紹介 |
早稲田大学卒業後、帝国データバンク入社。調査部、産業調査部、企画部などを経てECビジネス(電子認証、電子文書送信保管サービス)企画立案に携わり、2000年4月、株式会社帝国データバンクネットコミュニケーション代表に就任。
|
| |
|
