まずは「予備知識」から。冒頭に細川氏は不正アクセス防止法を挙げた。不正アクセス行為に対する罰則や再発防止について定めており、一定の歯止めにはなるだろう。ただし、である。
「アクセス制御が不十分なコンピュータは法律でも守られません」と細川氏はくぎを刺す。
条文を見ると、法律が保護するのは「アクセス制御機能を有する特定電子計算機に」とある。コンピュータがパスワードなり指紋認証なり、アクセスを制御できる仕組みを施していれば保護の対象となるということ。ところがディスプレイにパスワードをメモした付せんが貼られているようなコンピュータでは「アクセスが制御されている」とはみなされない。基本的なことだが、アクセス制御がきちんと機能するような運用状態も大事である。
なかには「不正アクセスは情報を盗むのだから窃盗罪ではないか」と考える人もいる。細川氏によると、この考えは正しくない。なぜなら刑法での窃盗とは所有者の手元から財物が失われることで成立するため、不正アクセスでコピーを取るなど、所有者の手元にデータが残っていれば窃盗とみなされない。
個人情報は1人あたりいくらになるか?
個人情報を流出させると損害賠償を請求されるリスクを抱えることになる。近年では情報漏えいを起こした企業が顧客におわび(お見舞い)として500円程度のプリペイドカードを送付するケースが見られる。しかしどのくらいの金額が適切かは項目にもよる。慰謝料の金額がつり上がった例を見てみよう。
2007年、あるエステティックサロンがアンケートで収集した個人情報をWebから閲覧できる状態になっており、情報が第三者に流出してしまった。流出したのは顧客の身体的な情報だったため、情報流出の被害者らが1人あたり100万円の慰謝料を求めて提訴した。慰謝料の金額が高いのはそれだけ原告らにとって「(女性として)見られてはイヤ」な情報だったからだ。
結果的には「1人当たり3万円の損害賠償を命じる」という判決が下された。この金額が妥当かどうかはさておき、100万円の請求に対して3万円である。原告らが「これっぽっち?」と不満を抱くのは想像に難くない。原告はじめ顧客からの信用を失うことは大きい。実際にこのエステティックサロンは裁判後に顧客が離れ、経営的に大きなダメージを被ったという。
「全て」は無理、「必要」な範囲をタイムリーに
近年では外部からの攻撃であろうと内部不正であろうと、個人情報漏えいを起こした企業は加害者であるかのように批判にさらされてしまう。これもまた大きなリスクである。企業は「うちは被害者なのに」と思うかもしれないが、セキュリティ対策を怠ることは「プライバシー侵害という不法行為」とされることがある。個人情報を預かる企業であれば、情報セキュリティの専門家としてやるべきことをしなくてはならないということだ。
ある裁判では情報漏えいを起こした被告が「セキュリティ対策を全てやるのは(経営的な観点から見て)合理的ではない」と主張した。より乱暴に言えば「あれもこれも全てなんて、やってられない。それではうちの商売が成り立たない」と。
しかし裁判所はこの意見を認めなかった。大ざっぱに言えば「だったら、そんなビジネスするな」と。細川氏は「必要なセキュリティ対策を施すことでビジネスが成り立たなくなるなら、そのビジネスはすでに破綻しています」と厳しく指摘する。ビジネスにおいて個人情報を保有するなら、必要なセキュリティ対策を施したうえで成立するようなビジネスモデルにしなくてはならないということだ。
もちろん「全ての」セキュリティ対策をがちがちに施していたら「商売あがったり」になるのも事実だ。大事なのは「必要な」対策だ。「全て」ではなく「必要」をきちんと見定め、メリハリある対策を施すことが重要になる。
何をどのくらいするべきか。直近では東京地方裁判所 平成25年(2013年)3月19日判決にて「十分なセキュリティ措置」について触れられたことがある(ただしここは争点にはなっていない)。細川氏によると、企業がセキュリティ対策で何をすべきかは「その時点で必要だとされる対策」とされている。同じ事件でも10年前なら「十分すぎる」かもしれないし、10年後なら「不十分」とされるかもしれない。時代によって変わるのだ。
「大切なのはタイムリーな仕組みです」と細川氏。セキュリティ情報提供サイトや各種メディアで周知されている対策を常に把握し、時流に合わせた対策を導入していることが必要とされる。
万が一のために情報のトリアージと方針を定めておくこと
「必要な範囲をタイムリーに」と言われても「そんな曖昧な」と困惑してしまうかもしれない。常にセキュリティのトレンドを追いかけるのも簡単ではない。「うちはセキュリティの専門会社ではない。専任者をアサインできない」という本音もあるだろう。
細川氏は「だからこそ、仕組みが必要なのです。情報のトリアージと、それに応じた情報保護方針が必要です」と説く。
まず着手すべきなのは情報のトリアージ、言い換えると社内にある情報の棚卸しだ。どのような情報があり、どのくらい保護すべきかを分類する。例えば個人情報、取引先の秘密情報、国家機密などは最重要な情報と分類できる。何があっても保護すべき対象だ。ほかに未発表の製品情報、経営戦略情報、社員の個人情報など、影響を考えて分類していく。
分類したなら、重要度に応じてどこまで保護するか方針を定める。例えば最重要なものなら「個人のパソコンに情報を保存しない」「●●のみが閲覧可能とする」「インターネットに接続しない環境で作業する」「●分で自動削除する」「アクセスログを定時ごとに確認する」などだ。これらはあくまで方針の一例で、暗号化、ウィルス対策、認証、ファイアウォールなど基本的な対策は導入済みという前提の上だ。
もうひとつ。万が一の事故を想定し「お金と謝罪についても考えておくべき」と細川氏はアドバイスする。まずは情報の値付けをしておく。もし漏えいしたらどれだけの損失になるか計算しておくということ。次に、漏えいが起きたときに誰が謝り、誰が損金を決済するかを定めておく。アサインされた人物は万が一の時にどう対処すべきか、普段から準備しておく。まとめると金額、役割、対処だ。
担当者のモチベーションを維持するための配慮も重要になる。「ぼくはセキュリティ担当になるためにこの会社に入ったのではない」と失望させないように、セキュリティ担当者向けのキャリアパスを考えるなどジョブローテーションを施す必要もあるだろう。
経営者はセキュリティ対策で何をすべきか
続けて日立システムズの山野浩氏が、経済産業省の「サイバーセキュリティ経営ガイドライン Ver 1.0」を挙げて企業がすべきことを解説した。これは経済産業省が経営者のリーダーシップの下でサイバーセキュリティ対策を進めるために公開しているガイドラインだ。
参考:経済産業省 サイバーセキュリティ経営ガイドライン
ガイドラインでは「はじめに」と冒頭から「サイバー攻撃によるリスクへの対処に係わる判断を行うことは、経営者の役割である」と断じている。次に3原則として、経営者のリーダーシップ、自社だけではなく系列会社やビジネスパートナーも含めること、関係者との適切なコミュニケーションの重要性が指摘されている。ここは経営者が特に意識しておくべきこととなる。
具体的に企業経営者が何をすべきかは「サイバーセキュリティ経営の重要10項目」としてポイントが掲げられている。これを分類すると、リーダーシップと体制、リスクの管理と計画、サイバー攻撃の事前対策、サイバー攻撃の事後対策の4つ。ここをかみ砕いていけば、具体的にやるべきことが見えてくる。
リーダーシップと体制
ここは企業のセキュリティポリシー策定や、CISOからなる管理体制の構築が具体的な施策となる。企業の体制としてサイバーセキュリティのリスクマネジメントを整えておくことにあたり、経営者が主導し責任の所在を明確化しておくこと、体制や方針を社内外に明示できるようにしておくことが重要となる。
リスクの管理と計画
まずは企業が守るべき資産を特定し、リスクを洗い出す。リスクの考え方は情報資産の価値と情報を利用する環境から、現状のセキュリティ対策を加味して現状のセキュリティリスクの全体感と課題をつかむ。加えて対策のPDCAを実施し、経営者と共有することも大事だ。さらに原則で述べられていたように自社以外にもビジネスパートナーも含めて考えることも忘れてはならない。
サイバー攻撃の事前対策
対策に必要なPDCAがきちんと運用できるように人材や予算を確保する。人材は自社だけで確保は難しいため、外部の専門家と協力することも重要だ。もちろん自社の組織力や育成も並行して行う。大事なのは自社対応と外部委託で適切な切り分けができるかどうか。またこの部分は技術的な対策のメインとなる。入口対策や出口対策だけではなく、内部対策など多層に防御して防衛力を高める。
サイバー攻撃の事後対策
実際にサイバー攻撃が発生したことを想定し、被害を最小限に抑えるように初動と体制を整備しておく。言い換えるとCSIRTがきちんと機能するように準備する。加えて外部への情報開示も準備しておく。どのタイミングで誰がどう説明するかなど。
山野氏は経営者を巻き込みながら薦めるためには、「まずはリスクの把握から」と強調する。「全体像を把握してから具体的な対策への落とし込みへと進み、ロードマップを作成して優先度の高いものから段階的に着手していくといいでしょう」とアドバイスした。
経営層を巻き込むにはどうしたらいいか、本音トーク
セミナーの最後には細川氏と山野氏の2人で「最低限のセキュリティ対策」について率直なトークが交わされた。
冒頭、裁判所でのやりとりをよく見ている細川氏がこんな教訓を示した。「裁判所でたまに耳にする言葉があります。それは『(委託先などに)おまかせしていました』です。これはNGワードです」。裁判所でうっかり証言したら足をすくわれかねない言葉だという。
委託先を信頼していたからこそ、素直に「おまかせしていました」という言葉が出てしまうのかもしれない。しかし問題が起きてから裁判所でこう証言してしまうのはよくない。なぜか。「私はなにもしていなかった」と明かすのに等しく、責任を放棄していたとみなされてしまいかねない。だからNGワードというわけだ。
個人情報など重要な情報を扱うのなら、きちんと方針から運用まで把握している必要がある。その過程で専門家に意見を求めたり、作業を委託するのはありだ。しかし「丸投げ」とみなされるような態度を出してしまってはよくないということだ。任せるものと、任せられないものをきちんと区別しておく必要がある。
普段から「任せているのだから、うちは何もしなくても大丈夫」という考え自体がNGと肝に銘じておいたほうがいいだろう。
今回のセミナーでは山野氏が指摘するように、セキュリティ対策における経営層の関与の重要性が大きなテーマとなる。この重要性をいかに経営層に理解してもらうか、どう説得すればいいかは実際とても難しいところだ。
山野氏は難しさについて重々理解を示しつつも「まずはサイバーセキュリティ経営ガイドラインを経営層にインプットするところから」をスタート地点に挙げた。何も手がかりがないと難しいが、このガイドラインなら経営層をターゲットにしておりポイントがまとめてあるので説得するにはいい材料となりうるだろう。
細川氏は「共有する努力が出発点です」と話す。直近で起きたことがらなどを経営層から社員まで共有することで、危機感を共有し意識を高めることにつながる。例えば「昨日は社員のパソコン盗難事件が起きました」と朝礼や掲示板などで共有する。
具体的なインシデントから(被害者を責めるのではなく)、どのような問題に発展する可能性があるか意見を出し合うことは危機感を共有し、意識を高めていくことに効果があるという。セキュリティ対策は日々気を緩めることなく、改善を積み重ねていくことが重要であることがあらためて示された。