第14回　ITユーザが情報漏えいに備えてやっておくべきこと(前編)

どこまで努力をしても100%の防御はできない

　ただ、残念ながら、現在のところ、こうした情報流出をはじめとするセキュリティ侵害を完全になくす手立てはありません。もちろん、各セキュリティ専門会社やネットワークサービスに関わるプロバイダ、ITベンダ等は、日々、セキュリティ技術を研究してさまざまな製品やサービスを展開していますが、攻撃側の技術も、やはり日進月歩であり、このあたりの攻防は、イタチごっこの感が否めませんね。また、いくら高度なセキュリティを施していても、上述した事件のように、職員が、うっかりメールを開いてしまったためというような事件は、人間が仕事をする以上、どうしても避けられないことかもしれません。

　どこまで努力をしても100%の防御はできない。残念ながら、これが現代のネット社会の姿です。(誤解のないように、申し上げておきますが、私は、最新のセキュリティ技術をむだだと言っているわけではありません。このことは、本論でも次回に述べたいと思いますが、最新のセキュリティ技術について、常に学び、必要に応じて導入していくことが、情報を預かる企業や組織にとって、むしろ義務と言ってもいいくらいであるということは、裁判所の判決からも透けて見えます。)

常識的な対策をしていれば被害者、していなければ加害者

　こうなってくると、次に問題なのは、情報を流出させてしまったユーザの責任です。たとえば、質屋に泥棒が入って、お客さんから預かった質草を盗まれてしまったとします。この場合、質屋は被害者です。世の中の糾弾の矛先は、泥棒に向くことでしょう。ところが、もし、この質屋が、ドアやショーケースに鍵をかけるのを忘れていたとなったらどうでしょうか。質屋の立場は、一気に加害者に寄ることになるでしょう。常識的に見て、なすべき防御策をやっていれば被害者、やっていなければ加害者というわけです。情報を預かる身である企業や組織は、少なくとも自分が加害者にならないために、どんなことを心がけ、どんなことをするべきなのでしょうか。今回と次回は、このあたりについて、あるクレジットカードの情報流出を巡る裁判を例に考えてみたいと思います。まずは、事件の概要からご覧ください。

　 <<個人情報漏えいの責任が争われた裁判の例>>

　「SQLインジェクション」 という言葉が、耳慣れない方もいらっしゃるかもしれませんが、要は、インターネット上の操作者が、直接企業の内部データベースを操作して情報を盗んだり、改ざんしたり、あるいは破壊できてしまう攻撃手法です。これに対する防御法は、すでに、ある程度確立されていて、プロのベンダであれば、こうした攻撃を受けないようなプログラミングをきちんと行っているべきだったのですが、どうも、このベンダは、そこのところができていなかったようです。プロとしては、かなり初歩的なミスと言ってよいでしょう。

　また、クレジットカード情報を暗号化していなかったという点も、あまりに脇が甘かったと言わざるを得ません。”鍵をかけなかった質屋” と言われても仕方がないかもしれません。結果的には、こうした甘さが災いし、ユーザは多大な損失を被ることになりました。

　対策に抜けがあったベンダと提案を無視したユーザ

　こうなると、こんな脆弱なシステムを運営することになったのは、ユーザとベンダのどちらに責任があるのか、ということになります。裁判では、双方が以下のように相手の責任を糾弾しました。

　<<ベンダの債務不履行を訴えるユーザの主張>>

　ユーザの主張は他にもありますが、今回の話題に関連するところはこんなところでしょう。一方ベンダは、ユーザの非を以下のように主張しました。

　<<ユーザが提案を退けたとするベンダの主張>>

　ユーザの主張に比べると、ベンダの主張はシンプルですが、情報漏えいを防ぐために、もっとも効果的な手法ではあります。この提案を受けてユーザが対策を打っていれば、確かに情報漏えいは避けられたかもしれません。脇が甘かったベンダのプログラムと、理由はわかりませんが、ベンダの提案を無視したユーザ、この情報漏えいは、その両方の合わせ技で起きてしまったことなのかも知れません。