Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

割れ窓は経営責任――ラック最高技術責任者 西本逸郎氏が解説する「データ経営とサイバーセキュリティ」

  2015/10/14 06:00

 「データ経営」や「ビッグデータの活用」といった、データを重視するビジネスの考え方が一般化するにつれ、情報を狙う犯罪組織やコンペティタなどの脅威に対する「サイバーセキュリティ」への関心も高まっている。はたしてこれまでの対策と何が違うのか。「Security Online Day 2015」の基調講演に登壇したセキュリティソリューションサービス事業を展開する株式会社ラック 取締役 最高技術責任者の西本逸郎氏が、近年のサイバー脅威を解説しつつ、次世代のデジタル社会を生き残る「セキュリティ対策」の考え方を紹介した。

年金機構情報流出事件は、「典型的な割れ窓現象」

 たとえば、いま注目を集める小型無人機「ドローン」。技術的に進化しつつも、まだ発展途上でありながら、新しい活用法が多く提案され、軍事利用の人道的武器としてのあり方やプライバシーの問題など議論が活発だ。しかし、後手に回っているのは、新たな技術によって誕生した新たな脅威に対する「具体的な対策」だ。

株式会社ラック 取締役 最高技術責任者 西本 逸郎氏

 西本氏は「イノベーティブな技術が誕生すると、その活用の是非に決着がつく以前に、活用して恩恵を受ける人、そして悪用する人、損害を受ける人が出てくる」と語り、まさに現在のデジタル社会そのものだと指摘する。「ここへきてようやく日本でも実状に応じて対応しようという空気になってきた」(西本氏)

 たとえば、無意識でもデジタル上では痕跡を残さざるを得ない。それがどう影響するのか、悪用されないのか。されないためにはどうしたらいいのか。現実的な対策を考えなければならない。また「ルールと実態の乖離」の問題も顕在化している。

 たとえば某大手銀行での内部不正事件では、システム運用担当がその権限を悪用したものだった。ルールとして相反する権限を同一人物に渡すことを禁じているが、現場ではコスト削減など他の目的のもと、一人の現場のベテランに権限が集中してしまうことが多い。そうした従来の組織構造のまま、個人情報の価値が上がり、犯罪目的として魅力的になりつつある。「欧米型の組織管理の考え方が導入されるべきでは」と言われる所以だ。

 そうした問題が最も顕在化したのが、「年金機構情報流出事件」だと西本氏はいう。それも「日本で初めて大規模な実害が確認された」事件だ。かつてスパイ活動では実害の内容が不明のまま曖昧にされてきた。それが、たまたまC&Cサーバーが日本国内で、その企業の協力もあって警察の操作が可能になったという。結果、実害が白日にさらされ、対策の不備が明らかになったというわけだ。

 さらに西本氏によると、年金機構情報流出事件の分析では、かなり前から波状的かつ執拗な攻撃を受けたことが分かるという。ところが侵入形跡があったにも関わらず、実害がないことから放置され、その結果、大量の集中攻撃を受けて1台の感染から大量のデータ流出へとつながることとなった。

▲日本年金機構における個人情報流出事案に関する原因究明調査結果(サイバーセキュリティ戦略本部)
出所:Security Online2015/株式会社ラック 西本逸郎氏
講演資料「データ経営とサイバーセキュリティ」より

 これを西本氏は「典型的な割れ窓現象」と指摘する。機構ではファイルにパスワードをかけ、使用後は削除というルールを設定していた。しかし、日常業務の中では守られないことも多く、その現状を誰も把握・指摘していなかった。

 「『ルールはあった、しかし守られていなかった』というのが同機構の言い分だが、もはや弁明になどならない。“割れ窓”が確認されたにも関わらず、塞ぐことも、他にないか調べることも怠り、職員にアラートを出してもいない。まさに経営者が機能せず、非難の対象となるほかない。それは、そのまま企業の経営陣の常識として認識されるべきだろう」(西本氏)

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 渡黒 亮(編集部)(ワタグロ リョウ)

    翔泳社 EnterpriseZine(Security Online/DB Online/Operation Online) 編集長 大学院を卒業後(社会学修士、中学・高校教諭専修免許状取得)、デジタルマーケティング企業にてデータアナリストとしてCRM分析・コンサルティング業務に従事。2007年4...

  • 伊藤真美(イトウ マミ)

    フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

バックナンバー

連載:Security Online Day 2015 講演レポート

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5