情報セキュリティを再考する / 柏原 秀明

■はじめに
 今日,多くの企業・団体・機関では,インターネット,Webシステム,Cloudシステム,ビジネスシステム,電子メール,SNS(Social Network System)などの情報通信技術(ICT: Information Communication Technology)を活用しその効用を享受している。いまやICTなしには,1日たりとも円滑な活動ができないといっても過言ではない。一方,このICTを利用する上で,決して忘れてはならないことに“情報セキュリティの対策”がある。ここでは,最近発生した情報流出事件を参考にし,情報流出が発覚すれば,その発生元の企業のみならず様々な方面に多大な迷惑と甚大な物心両面の被害が発生することを踏まえて,“情報セキュリティの対策”の重要性について再考する。

■情報セキュリティ・機能および対策 [1],[2]
 情報セキュリティとは,不正行為・災害・障害等を防ぎ,次の3項目を確保することとしている。
・「機密性」 権限のない者への重要な情報の漏えいを防止すること
・「完全性」 情報の改ざん,破壊による被害を防止すること
・「可用性」 権限のある者に,いつでも情報の利用を可能にすること

情報セキュリティ機能とは,上述の3要件にしたがう次の4項目を基本としている。
・「抑止機能」 不正行為に代表される脅威の発生を抑える機能
・「防止機能」 脅威の発生を直接的に防止する機能
・「検出機能」 不正行為や過失等の既に発生した脅威を発見する機能
・「回復機能」 発生した脅威に対処した後,システムの処理を平常に戻す機能

 情報セキュリティ対策とは,情報セキュリティ機能を実現するための具体的な対策である。
その対策として次の4項目を具体的に策定し運用することとしている。
・「物理的対策」 情報資産に対する物理的な不正アクセス,災害,盗難,損傷,妨害などを防止するためのセキュリティ対策
・「技術的対策」 ICTを利用した情報資産を保護する対策
・「人的セキュリティ対策」 人による過誤,盗難,不正行為,システムの誤操作・誤用など,人に起因する事故・事件を防止するためのセキュリティ対策
・「組織的セキュリティ対策」 技術的セキュリティ対策,物理的セキュリティ対策,人的セキュリティ対策を体系化し運用・維持管理するためのセキュリティ対策

■情報流出事件例
 情報セキュリティに関する情報流出事件は,過去から頻繁に発生している。
例えば,最近の事例では,顧客データベース管理を依頼された外部の会社へ派遣されていた元システムエンジニア(SE)が,最低750万件の顧客情報の複製をおこない外部業者へ250万円で売った事件である。この被害を受けた会社は,200億円の補償費用を準備し顧客への対応をおこなうとのことである[3]。
このような顧客情報や住民基本台帳の個人情報の大量流出事件は枚挙に暇がない。

■顧客の被害と会社の損失および元SEの意識
 大量の顧客個人情報が一度流出すると,その消去は100%不可能といっても過言ではない。その情報は,ねずみ算式に拡散され覗き見られる可能性が十分にある。
何処でどのように使い回しされているかを知るよしもない。万が一,悪意をもって使われた場合は大変な被害になる。一方,会社は,このような事件を起こしたことによる社会的責任とビジネス上の有形・無形の多大な損失を覚悟しなければならない。また,事件を起こした元SEは,発覚前には,顧客と会社へ甚大な損害を与えるという大罪になるとは予想すらしなかっただろう。大きな問題である。

■人的セキュリティの対策例
 今回の事件は,人的セキュリティ対策の隙間を狙った犯行である。
情報セキュリティ事件(事故)の約70%が,人に起因するといわれている。人に起因する事件(事故)の未然防止対策は,初歩的ではあるが“情報の保管・アクセス場所への立入はポケットのない作業服の着用“,”営業機密情報などの不許可の持ち出し厳禁“,”私物の持ち込み・持ち出し厳禁:スマートホン・携帯電話・デジカメ・USBメモリ・ノートPC・紙メディアなど“,”検査機器・身体検査による不許可品のチェック“および”従業員の定期的な移動・交替・過去の業務内容のチェック“,”奇妙な行動の察知“など容易に気づき対策できるものが多くあるであろう。また,ISMS(Information Security Management System)の構築・運用・管理を正しく実施していれば未然防止に繋がったはずである。

■おわりに
 人的セキュリティ事件(事故)の対策は,技術的に難しいものはそれほど多くない。確実に運用・管理を徹底すれば未然防止できる。しかし,“喉元過ぎれば熱さを忘れる”の如く継続的におこなうことには難しい側面がある。なぜなら,地道な活動をおこない事件(事故)が起こらなければ100点であり,一度起これば,0点いやマイナス100点かもしれないからである。基本は決められたルールを徹底的に遵守することである。
 一方,デジタル機器がインターネットに繋がっている限り様々な情報セキュリティの脅威に常時さらされている。その脅威には,“スパイウエア・DOS攻撃・ハッキング・クラッキング・情報漏洩・改ざんなど”の様々な手口がある。また,新手の脅威が分単位で出現しているといわれている。外部からの操作・侵入で,今や情報が外部に流出していることすら分からない状況である。インターネットに接続している限り100%の防御は不可能であると強く認識しその対策を図るべきである。以上のことから,一度,このような事件(事故)が発生すると経営・組織に及ぼす物理的・精神的ダメージは予想を遙かに超えるものになる。
是非とも事件(事故)を想定したイメージトレーニングをお勧めする。

参考引用文献

[1] 日経BP社:“情報セキュリティマネジメント”,
http://ec.nikkeibp.co.jp/item/contents/brouse/t_P84260.pdf

[2] CANADA, BRITISH COLUMBIA: “Information Security Policy Version 2.2
October 2012”,
http://www.cio.gov.bc.ca/local/cio/informationsecurity/policy/isp.pdf

[3] 朝日新聞(朝刊),pp.1 -2,p.6,p,33, 2014年7月17日

————————————————————————
■執筆者プロフィール

柏原 秀明 (Hideaki KASHIHARA)
NPO法人ITC京都 理事
博士(工学),ITコーディネータ,技術士(情報工学・総合技術監理部門),EMF国際エンジニア,APECエンジニア