年々増加するセキュリティインシデント
筆者は、シンガポールに本拠を置くデータセキュリティ企業SecureAge Technologyのグローバル最高執行責任者(COO)と日本法人の社長を兼任しています。SecureAgeの製品は、シンガポールの政府や軍などで活用されており、データ侵害やマルウェア攻撃をゼロにしてきた実績があります。
また、筆者は過去14年間、日本で暮らしながらエンタープライズ・ソフトウェア企業や暗号化通信を手掛ける企業に所属し、日本企業とも様々な関わりを持ってきました。今回は本連載の第1回として、筆者から見た日本企業のセキュリティ意識について取り上げます。
日本のセキュリティインシデント(情報システムの運用におけるセキュリティ上の問題として捉えられる事象、コンピューターのセキュリティに関わる事件)は、年々増加しています。セキュリティインシデントの報告を受け付けている一般社団法人JPCERT コーディネーションセンターのレポートによれば、2020年度に寄せられた報告件数は46,942 件となっており、前年度から倍以上に増加していることがわかります。
『JPCERT/CC インシデント報告対応レポート』より「図3:年間報告件数の推移(年度比較)」
[画像クリックで拡大]
しかし、こうした数値を目にしても「自分の会社に重要な情報はないから大丈夫」「狙われるのは大量のデータをもっている大企業」と、どこか他人事のように思っている経営者、システム管理者は少なくありません。筆者は、こうした状況について、デジタルリテラシーの課題を感じます。デジタルリテラシーというと、システムやITツールをビジネスに取り入れて正しく使っているかという観点から議論されがちですが、セキュリティに関する意識もデジタルリテラシーの一つです。
企業規模や業種、データ量を問わず、インターネットを介した通信を行っている限り、すべての人にセキュリティリスクが存在します。こうした現状にどう対応していくかが、今後本連載で取り扱うテーマになります。
書類の印刷やデータのコピーにリスクあり
筆者はアメリカ、シンガポールを始め、様々な国での働き方をみてきましたが、とりわけ日本で特徴的だと感じることが紙と印鑑の文化です。最近はDX化が進み、以前に比べれば書類を印刷することは減ったと言われていますが、それでも紙を重視する傾向は変わりません。データのアクセス管理は大事にしても、紙に印刷してしまうとその管理は個々人に任されることが多く、ここにリスクが生まれます。
また他の国では、Googleドライブなど共有できる場所にファイルを置いて、ファイル一つで済ませていることが多いのですが、日本ではファイルをメールに添付して共有し、それぞれPCのローカルディレクトリにファイルが存在するということがあります。一つのファイルで済むものが、多数の人に分散していれば、それだけセキュリティリスクも高まります。
さらに、プリンター類のデバイスにおいてセキュリティリスクがあることも見落とされがちです。プリンターには、印刷したデータが保存されるため、プリンターも悪意のある第三者による攻撃の対象になりえるのです。
