情報漏えいの“先進国”だった韓国が経験し、活かした教訓
日本企業による個人情報漏えいの大規模インシデントは後を絶たない。2023年10月には、大手通信事業者の子会社で、元派遣社員が約900万件もの個人情報を不正に持ち出して第三者に提供していたことが判明した。近年はランサムウェアをはじめとするサイバー攻撃の被害が大きく取りざたされることが多いが、この事件のような内部犯による個人情報漏えいインシデントも相変わらず頻繁に発生している。
振り返れば2015年に発生した日本年金機構の情報漏えいインシデント以降、個人情報保護法をはじめとする各種法令の規制が強化され、各企業・団体とも対策に力を入れてきた。それにもかかわらず、大規模な情報漏えいのニュースは相変わらず頻繁に報じられている。
こうした事態を受けて、企業はどのような対策を講じるべきなのか。これを考える上で大いに参考になりそうなのが、韓国の事例である。韓国は、日本より一足先に国民ID制度の導入や社会のデジタル化を大胆に進め、大きな成果を上げてきた。一方、その副作用として数々の大規模な個人情報漏えい事故を経験してきた「課題先進国」でもあったからだ。
そんな韓国において、独自の暗号化技術を持つセキュリティベンダーとして広く知られるペンタセキュリティのイ・スミン氏は、近年の日本におけるサイバーセキュリティの状況について次のような見解を述べる。
「これからDXの取り組みがますます本格化する日本において、データの重要性は一層高まっていきます。また、AI技術が広く普及していくにつれ、その学習リソースとしてのデータの価値も高まってくるでしょう。それにともない、残念ながらデータを窃取するような犯罪も増えてくることが予想されるため、データ保護の取り組みにはこれまで以上に力を入れていく必要があります」(イ氏)
前述したように韓国では、日本より一足先に大規模な個人情報漏えい事故が相次いで発生し、大きな混乱が生じた歴史を持つ。それらの経験を活かし、現在では企業や政府機関のデータ保護の取り組みに対して、国民の厳しい監視の目が注がれるようになっているという。
「韓国は1960年代に国民ID制度『住民登録番号』を導入しましたが、これを情報システムに取り入れる際、セキュリティ設計への配慮が不十分だったため、大規模な個人情報漏えい事故が相次いで発生しました。その反省から現在では、国民が自らの住民登録番号を預ける企業や政府機関に対して厳格なデータ保護を要求しており、万が一情報が漏えいした際には極めて厳しい罰則が科せられるようになっています」(イ氏)
数々の大規模漏えい事故を経て「データ暗号化」必須へ
では、韓国の企業や政府機関は、具体的にどのような方法でデータ保護の厳しい要件に対応しているのか。イ氏は、その最も重要なポイントの1つとして「データ暗号化」を挙げる。
「どの企業や政府機関も個人情報や機密情報を管理する、サーバーのセキュリティ対策にとても力を入れています。ハードウェアからソフトウェアに至るまで、サーバーを構成するすべての要素でセキュリティ対策に気を配っており、脆弱性診断を必ず行った上で本番環境へ導入することが当たり前なのです。そして、数あるセキュリティ対策の中で最も重要視されているものが『データの暗号化』と言えるでしょう」(イ氏)
近年、マルウェア攻撃の手口が高度化・巧妙化しており、その感染や侵入を100%“完璧に防ぐ”ことは極めて難しい。しかし、あらかじめデータを暗号化しておき、決められたユーザーのみが復号・参照できるようにしておけば、データファイル自体が窃取されて第三者の手に渡ってしまったとしても、その中身まで漏えいするリスクを抑えられる。
そのため重要データを暗号化して管理することは、韓国においては既に要件ではなく、必然ともいえる対策だ。セキュリティ専門家だけでなく、一般国民の間でも当たり前のことだと認識されているという。実際に韓国の法律では、システムで個人識別情報を扱う際に暗号化することが義務付けられている。また、ITシステムを新たに構築する際には、データ暗号化の処理を組み込む前提でソフトウェアやハードウェアを設計することが広く一般的なことになったともイ氏は話す。
「暗号化した個人情報や住民登録番号をキーとしてデータベースの検索処理を行うと、検索のたびにデータの復号化処理が走ることになり、システムパフォーマンスが低下してしまいます。そのため、暗号化された重要情報を用いた検索処理は避けるようにシステムを設計するのです。他にも、暗号化の対象となる情報を1ヵ所で集約管理するなど、韓国では“暗号化を前提とした”システム設計の手法がすっかり定着するようになりました」(イ氏)
パフォーマンス低下はごくわずか「D'Amo KE」はサーバーセキュリティの強化を促す
韓国における情報漏えいの過去、そこから学びを活かして“セキュリティ先進国”へと変わっていった経緯や現状を踏まえた上で、イ氏は日本におけるセキュリティの現況について次のように所感を述べる。
「韓国企業は暗号化をはじめとするサーバーのセキュリティ対策を優先するのに対して、日本企業はクライアント端末のセキュリティ対策に投資を集中させているように見えます。つまり、エンドポイントセキュリティとしてのアンチウイルスやランサムウェア対策には熱心な一方、データ保護にかかわるセキュリティ対策は韓国と比べてあまり普及していない印象を受けます」(イ氏)
韓国が辿ってきた歴史を振り返ると、国民IDに対応する“マイナンバー”が様々な情報と紐づいていき、社会でより広範に使われる状況下、強固な情報漏えい対策が必要だとわかる。イ氏は「日本においても近い将来、『重要データの暗号化』が法律で義務付けられるのではと個人的に予想しています」と見解を述べると、韓国と同様にデータ暗号化に対する社会的要請が高まってくるだろうと語る。
なお、イ氏が所属するペンタセキュリティは、韓国を中心に世界中で長らくデータ暗号化ソリューションを提供している企業だ。実際に多くの大手企業や政府機関で導入されており、2004年に提供を開始したデータベース暗号化製品「D'Amo」を採用する日本企業も多い。
2015年に韓国では、時代の要請に応えるためWindowsファイルを個別に暗号化できる「D'Amo KE」という製品を展開していたが、前述した日本企業を取り巻く環境の変化もあり、2023年9月から日本市場においても提供を開始した。このD'Amo KEにおける最大の特徴として、イ氏は「カーネルレベルの暗号化処理」だと自信を見せる。
「Windows OSのカーネルレベルで自動的に暗号化処理を行うため、アプリケーション側が暗号化処理を意識する必要はありません。既存のアプリケーション処理に一切修正を加えることなく、最小限の手間で暗号化処理を導入できることが最大の特徴です。システムパフォーマンスに与える影響も少なく、暗号化処理を導入してもパフォーマンスの影響はごくわずかに抑えられます」(イ氏)
データ暗号化は「ランサムウェア」対策においても効果を発揮
こうした特徴から、暗号化処理が裏で実行されていることをユーザーが意識するような場面はほとんどないという。
実際にD'Amo KEを使ってファイルを暗号化する際、ユーザーがいちいち対象ファイルを指定して操作を行う必要はなく、あらかじめ設定された「暗号化フォルダ」にファイルを配置するだけで自動的に暗号化が施される。同時に、暗号化ファイルに対するアクセス権限の制御を「ユーザー単位」のみならず、実行プログラムの「プロセス単位」で制御することで、保護すべき重要データの機密性を強固にするセキュリティ性能が評価されているという。
仮にExcelファイルを暗号化した場合には、そのファイルにアクセスして復号できる権限を“Excelのプロセス”だけに限定できる。それ以外のプログラムが暗号化済ファイルにアクセスしようとしても拒否されるため、ランサムウェアをはじめとするマルウェア対策においても大きな効果を発揮するとイ氏は力説する。
「たとえば、マルウェアが不正にファイルを暗号化しようとしても、D'Amo KEが提供するプロセス単位のアクセス制御機能によって自動的にブロックされます。このような仕組みを通じて、個人情報や重要情報が含まれるファイルをランサムウェアの被害からも守ることができるのです」(イ氏)
こうしたセキュリティと導入のしやすさが高く評価された結果、既に韓国では多くの企業・団体がD'Amo KEを導入しているという。特に医療機関での導入例が多く、電子カルテのデータやCT、MRIの写真データといった個人情報が含まれる各種ファイルの暗号化ソリューションとして活用されている。
「医療システムは24時間365日の稼働が求められますから、簡単に導入できてシステムパフォーマンスに影響を与えないD'Amo KEの特徴が高く評価されています。また、D'Amo KEのライセンス価格はサーバースペックに応じて決まるため、小規模な医療機関でも比較的コストを抑えて導入できる点も好評です」(イ氏)
また、金融機関がデータベース・ファイルを暗号化するための手段としてD'Amo KEを導入するケースも多いという。ミッションクリティカルなシステムにおけるファイル暗号化ソリューションとして多くの導入実績があることは、大手企業にとっても安心感につながっているとイ氏は強調する。
「日本でも今後マイナンバーの活用範囲が広がるにつれ、個人情報保護の重要性がクローズアップされることが予想されます。そのとき、過去に韓国が経験したように、データ暗号化に対する社会的要請が高まってくることでしょう。だからこそ、他人事と思わずにデータ暗号化の重要性を考えてほしく、その際にD'Amo KEのような暗号化ソリューションを導入することもぜひご検討いただければと思います」(イ氏)
