SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2015 講演レポート

割れ窓は経営責任――ラック最高技術責任者 西本逸郎氏が解説する「データ経営とサイバーセキュリティ」


 「データ経営」や「ビッグデータの活用」といった、データを重視するビジネスの考え方が一般化するにつれ、情報を狙う犯罪組織やコンペティタなどの脅威に対する「サイバーセキュリティ」への関心も高まっている。はたしてこれまでの対策と何が違うのか。「Security Online Day 2015」の基調講演に登壇したセキュリティソリューションサービス事業を展開する株式会社ラック 取締役 最高技術責任者の西本逸郎氏が、近年のサイバー脅威を解説しつつ、次世代のデジタル社会を生き残る「セキュリティ対策」の考え方を紹介した。

年金機構情報流出事件は、「典型的な割れ窓現象」

 たとえば、いま注目を集める小型無人機「ドローン」。技術的に進化しつつも、まだ発展途上でありながら、新しい活用法が多く提案され、軍事利用の人道的武器としてのあり方やプライバシーの問題など議論が活発だ。しかし、後手に回っているのは、新たな技術によって誕生した新たな脅威に対する「具体的な対策」だ。

株式会社ラック 取締役 最高技術責任者 西本 逸郎氏

 西本氏は「イノベーティブな技術が誕生すると、その活用の是非に決着がつく以前に、活用して恩恵を受ける人、そして悪用する人、損害を受ける人が出てくる」と語り、まさに現在のデジタル社会そのものだと指摘する。「ここへきてようやく日本でも実状に応じて対応しようという空気になってきた」(西本氏)

 たとえば、無意識でもデジタル上では痕跡を残さざるを得ない。それがどう影響するのか、悪用されないのか。されないためにはどうしたらいいのか。現実的な対策を考えなければならない。また「ルールと実態の乖離」の問題も顕在化している。

 たとえば某大手銀行での内部不正事件では、システム運用担当がその権限を悪用したものだった。ルールとして相反する権限を同一人物に渡すことを禁じているが、現場ではコスト削減など他の目的のもと、一人の現場のベテランに権限が集中してしまうことが多い。そうした従来の組織構造のまま、個人情報の価値が上がり、犯罪目的として魅力的になりつつある。「欧米型の組織管理の考え方が導入されるべきでは」と言われる所以だ。

 そうした問題が最も顕在化したのが、「年金機構情報流出事件」だと西本氏はいう。それも「日本で初めて大規模な実害が確認された」事件だ。かつてスパイ活動では実害の内容が不明のまま曖昧にされてきた。それが、たまたまC&Cサーバーが日本国内で、その企業の協力もあって警察の操作が可能になったという。結果、実害が白日にさらされ、対策の不備が明らかになったというわけだ。

 さらに西本氏によると、年金機構情報流出事件の分析では、かなり前から波状的かつ執拗な攻撃を受けたことが分かるという。ところが侵入形跡があったにも関わらず、実害がないことから放置され、その結果、大量の集中攻撃を受けて1台の感染から大量のデータ流出へとつながることとなった。

▲日本年金機構における個人情報流出事案に関する原因究明調査結果(サイバーセキュリティ戦略本部)
出所:Security Online2015/株式会社ラック 西本逸郎氏
講演資料「データ経営とサイバーセキュリティ」より

 これを西本氏は「典型的な割れ窓現象」と指摘する。機構ではファイルにパスワードをかけ、使用後は削除というルールを設定していた。しかし、日常業務の中では守られないことも多く、その現状を誰も把握・指摘していなかった。

 「『ルールはあった、しかし守られていなかった』というのが同機構の言い分だが、もはや弁明になどならない。“割れ窓”が確認されたにも関わらず、塞ぐことも、他にないか調べることも怠り、職員にアラートを出してもいない。まさに経営者が機能せず、非難の対象となるほかない。それは、そのまま企業の経営陣の常識として認識されるべきだろう」(西本氏)

次のページ
データの組み立てによっては、盗み出しても価値のないものに無力化することができる

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2015 講演レポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7247 2015/10/27 19:28

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング