EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

第2回 情報資産価値、昔からわかっちゃいるけど…

  2013/07/30 10:00

過去のセキュリティに関する本を紐解き、基本に立ち返って情報セキュリティを考える「まるちゃんと読む、セキュリティ古文書の世界」、略して「まる古(こ)」。第2回目は「情報資産」について考えてみましょう。情報セキュリティで企業の何を守るのかを考える上でも重要な問題です。なお、文中意見に関わる部分については、執筆者の私見であり、その属する法人等の公式見解ではありません。

堅い文章ですが読んでください

 今回、紹介するのは、1986年(昭和61年)4月30日に発行された「システム監査人のための情報セキュリティ入門 バリーJ・ウイクキンス原著 渡辺一元、宇佐美博、富山茂訳」のからの引用です。

 ちょっと堅苦しくて読みづらいですよ。少しずつ読み進めていくのでがんばってついてきてください。書いている内容は今でもそのまま通用するような話です。ちなみに、システム監査のための言葉が堅苦しくて読みづらいというのも、今でも通用する話です。

 (1) 情報の漏洩による報酬は、現金、貴金属などの盗用による利得をはるかに上回ることが多い。新製品の設計仕様には、競争会社から相当な報酬が出る。競走会社は、多額の設計費用を節約でき、また市場に参入するリードタイムを短縮できる。新しい武器の設計図によって、外国から膨大な報酬を受け取ることができる。

 「情報の漏洩による報酬」
 報酬…

 「現金、貴金属などの盗用による利得」
 盗用による利得…

 犯罪者視点でしょうか。そうそうに不穏な雰囲気です。原著は1985年の出版ですから、約30年前、つまり四半世紀以上前の話ですが、すでに情報の資産価値が認識されていることがわかります。

 それはいいのですが、

 「新しい武器の設計図によって、外国から膨大な報酬を受け取ることができる」
 受け取ることができる…

 なぜ、こうも犯罪者サイドに立った書き方になるのでしょうか。ここだけ読むと、コンピュータ犯罪のための入門書といわれてもおかしくありません。しかし、守る側も攻撃する側、つまり犯罪者サイドを意識することが重要といえます。

 さて、次にいきましょう。

 (2) 報酬は高く、逮捕されても窃盗罪で告発される危険性が低い。情報は物理的には現状のままで、形跡もなく盗むことができる。また、ドキュメントは記憶され、複写され、秘密裏にフィルム化されることも多い。ほかの方法による盗みと異なり、情報の窃盗は瞬間的に実行できる。長年にわたり、帳簿を改ざんして行為を隠すことも必要でない。情報セキュリティは比較的新しいテーマなので、情報の漏洩を防止、発見する統制は広くは行われていない。この統制は、情報処理技術に伴って変化する。これは情報の漏洩が他の場合と比較して、もっとも発見されにくい主な理由であろう。

 「報酬は高く、逮捕されても窃盗罪で告発される危険性が低い」
 告発される危険性…

 またしても犯罪者視点での記述が続きます。要は、最近のサイバー犯罪といっている内容は同じですね。情報は物の占有する必要性が必ずしもないので、跡形も無く盗むことができるということです。マイクロフィルムに残すことが多かった当時と比べると、USBメモリー、SDカードなど同じ大きさの媒体に記憶できる情報量は格段に増大しています。もっとも光学的(例えば、写真など)による情報窃盗に比べると、コンピュータ経由による情報窃盗はアクセスログが残るという点で発見が容易になっているかもしれません。

 情報セキュリティの本質を端的に表しているようでもあり、大変興味深い記述であります。

 次にいきましょう。

 (3) 企業の“機密情報”の漏洩は、数億円の給料支払いの不正よりも厳しい結果をもたらすこともある。新製品の設計仕様、販売戦略、顧客満足度調査、顧客マスターリストなどへの無権限のアクセスは、企業を重大な危険にさらし、時には破産させるほとの自体をもたらす。政府の機密情報に対する無権限のアクセスは、国家の防衛を脅かす。

 ちょっと中立的な視点になってきました。これも情報資産価値の話ですね。「国家の防衛を脅かす」とあります。この頃からすでに、国防としての情報セキュリティという概念がちゃんとあったこともわかります。ただ、そもそも情報セキュリティ技術が軍事技術から生まれていることを考えるとあたりまえのこととも言えます。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 丸山 満彦(マルヤマ ミツヒコ)

    デロイトトーマツリスクサービス株式会社 取締役執行役員 1992年、監査法人トーマツ入社。1998年から2000年にかけてアメリカ合衆国のDeloitte&Touche LLPデトロイト事務所に勤務。大手自動車製造業グループ他、米国企業のシステム監査を実施。帰国後、リスクマネジメント、コンプライアンス、社会的責任、情報セキュリティ、個人情報保護関連の監査およびコンサルティングを実施して現在に至る。

バックナンバー

連載:まるちゃんと読む、セキュリティ古文書の世界
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5