もはやネットワークの
入り口だけでは守りきれない

 私は8月に渡米して各地を回りました。そこで感じたのは、サイバーセキュリティに対する社会の受け止め方が大きく変わってきたことです。

 以前のようなクレジットカード番号の流出だけなら、盗まれたカード番号を利用停止にして再発行すれば何とかなる話。面倒ですが、あまり実害はありません。

 しかし、最近は単に情報が盗まれたというだけでは収まらない状況になっています。取引先とのメールの内容や社員・顧客の住所、社会保障番号、電話番号など、重要な情報が流れれば、その被害たるや、甚だしいものになってしまうからです。

 今年6月には、安全だと思われていた米国の信用調査用書式を管理するサーバが攻撃され、およそ1900万人分の個人情報が盗まれていたことが発覚しました。最も多く使われている書式は「スタンダード・フォーム86」と呼ばれるもので、重要な情報を扱う政府の職に採用される前に作成・提出します。ここには日本では考えられないようなディープなプライバシー情報(本人や家族の精神的な健康状態、過去の薬物使用など)も含まれていますから、恐喝などに使われる可能性も指摘されています。

 さらに、不倫を奨励する出会い系サイト「アシュレイ・マディソン」がハッカー攻撃を受け、利用者の個人情報の一部がインターネット上に公開されました。それが原因とみられる自殺者が出たほか、訴訟も起きています。

 こうしたハッカー攻撃、情報流出は後を絶たず、サイバーセキュリティそのものが社会全体の重要な課題になりつつあります。

 企業においても、社内は安全だという考えからネットワークの入り口だけにセキュリティ対策を講じる従来の対策では、情報を守りきれません。実際、過去にも、社内ネットワークの中に不審なデータがあったにもかかわらず、発見できず、甚大な被害を被った事件は数多くあります。

 このため、現在では、社内も信用できないという前提の下、常に検証をし続ける「ゼロ・トラスト」の発想で、セキュリティに取り組むことが世界の潮流となっているのです。