大震災以降、日本の情報セキュリティは新たなフェーズに突入
2011年11月11日に開催された『IT Initiative Dayメールセキュリティスペシャル~内部からの脅威に備えるベストプラクティス』では、最初に弁護士の牧野二郎氏が登壇。「最近の企業情報漏えいと法的責任~情報ガバナンスの最新の動向について~」と題する基調講演を行った。
内閣官房による日本の情報セキュリティの現状分析ではまず、重大化したサーバー攻撃が問題視されている。パソコンを乗っ取られ、サーバー攻撃の基地になっている人が数多くいる。しかし故意では無いため、法的な責任は問えない。それゆえ、企業がどう防御するかが大きな課題になっている。
また、標的型メール攻撃が増加し、巧妙化している。情報流出の問題も大きい。今後、Wikileaksの日本版が出てくるだろう。ただ、隠すから暴露される。隠さなくていいようにするにはどうするかを考える。もちろん、営業上の秘密を隠すのは良い。問題点はどんどん明らかにし、改善する仕組みを考えなければならない。
牧野氏は「日本の情報セキュリティは、新しいフェーズに入った」と見ている。それは大震災、大津波が発生したからだ。まず、東北に隣接するプレートは歪んだままで、大きな地震が発生する危険性が高まっている。
前回の地震において情報セキュリティの側面から学ぶことは、まず情報の安全確保になる。次に重要情報の徹底確保(事前収集)。また、バックアップから復帰しても、すべての情報をすぐに使うわけではないので、情報のヒエラルキーを明確にしておかなければならない。最後に緊急時連携、情報収集・共有体制の確保。電気がなく、通信が途絶した状態でも企業や社員、その家族を守ることができる仕組みを作っておく。
ここでBCP(事業継続計画)をもう一度、考え直す必要がある。ではBCPにおけるポイントは何か。牧野氏は「会社のノウハウ」と「顧客情報」だと語る。両者が無ければ、事業再生はできないからだ。
