2024年は日本のサイバー防御にとって転機となるか? データ暗号化への認知も徐々に拡大
2024年は、日本国内で大規模な情報漏えいインシデントが発生した年として、多くの人の記憶に残ることになりそうだ。特に、6月に発生したKADOKAWAのランサムウェア被害では、大量の個人情報が窃取・公開され、マスメディアやSNSなどで連日話題となり、改めてサイバー攻撃の脅威を世間に広く知らしめることとなった。
また、10月にはタリーズコーヒージャパンにおいて、オンラインストアへの不正アクセスにより最大で9万人以上の個人情報が流出した可能性があると発表され、やはりメディアで大きく取り上げられた。こうした事態を目の当たりにして、多くの企業・組織が情報漏えいリスクに備えたセキュリティ強化を急いでいる。
我が国の隣にある韓国では、約20年前に同じような事態に直面した歴史を持つ。同国は国を挙げて急速にデジタル化を進めた結果、先進デジタル社会を実現したが、その副作用として大規模な情報漏えいインシデントが続発した。そこで、この事態を収めるべく、国が主体となってセキュリティ対策の強化を推進してきた。
韓国に本社を置くセキュリティベンダーであるペンタセキュリティ。その日本法人で代表を務める陳貞喜氏は、かつて韓国がたどった経緯を踏まえ、現在の日本が直面するセキュリティ課題について次のように考察する。
「2024年は、日本でも大規模なインシデントがいくつか発生しましたね。被害に遭われた企業やユーザーの方々にとっては、大変気の毒な出来事でした。しかし、被害を受けた企業が情報を広く公開することで、多くの国民が情報漏えいのリスクを『自分ごと』として捉える契機にもなったと思います。かつての韓国も同じ経緯を経てセキュリティ強化に乗り出しましたから、昨今の日本における情報漏えいインシデントからは、今後の改善に向けたポジティブな面も見出せたのではと思います」(陳氏)
陳 貞喜氏
そんな韓国がたどり着いたのが、2015年に施行された「暗号化」の義務化だ。近年のランサムウェア攻撃における個人情報の暴露、いわゆる“二重脅迫”の被害を未然に防ぐ意味でも、データの暗号化は極めて有効な手段となり得る。
ただし、暗号化の導入を進めるためには超えるべきハードルもあり、日本ではまだ十分に普及しているとは言い難い。また、「データを暗号化すれば、ITシステム全体のパフォーマンスが低下してしまうのではないか」というイメージを持っている方も一定数いることだろう。加えて日本では、「侵入を防ぐための“事前対策”」が優先されがちで、情報漏えいした後の被害拡大を防ぐ“事後対策”の手段である暗号化への投資は、どうしても後回しにされがちだ。
それでも、陳氏は日本の状況が徐々に変わりつつあることを実感しているという。
「2022年4月より施行された改正個人情報保護法の中では、漏えいインシデントがあった際に個人情報委員会に対しての報告が義務化されていますが、高度な暗号化がされている場合には報告義務が免除されると記載されています。個人情報保護の手段として、暗号化の重要性について言及されている部分だと思います。また、日本企業全体においても、徐々に暗号化の重要性が認知されるようになってきたと感じています」(陳氏)
