クレジットカード情報等の個人情報や
営業秘密情報がなぜ狙われるのか
民間における企業は、営利を目的として一定の計画に従って経済活動を行う経済主体(経済単位)であるため、第三者にとって有益な情報を内部に保有している。そのため、経済的利得を目的としたサイバー攻撃の被害に遭いやすい。
特に、ブラックマーケットでの売買や他のサイバー攻撃に利用することができる「クレジットカード情報及びID/パスワード等の個人情報」や「知的財産等の営業秘密情報」の窃取を狙ったサイバー攻撃が突出して目立つ。
このような攻撃による被害が続いていくと、民間分野の事業活動に重大な影響を与えるため、政府機関は、2003年に個人情報保護法及び関連ガイドラインを整備し、民間企業にその遵守を強く求めた。具体的には、プライバシーマーク制度やISMS(情報セキュリティマネジメント)適合性評価制度を社会全体に浸透させ、「その認証を取得することで、適切な管理策が実現し、情報セキュリティインシデントの発生可能性やインシデントが顕在化したときの損害を減らすことができる」という、情報セキュリティ対策により企業価値が向上するという文化を醸成していった。
この結果、2014年の国際標準化機構(International Organization for Standardization)の統計によると、日本におけるISMS(ISO27001)の認証取得企業は7,181社となり、全世界の30%を占めるようになった。また、認証取得を目的とせずセキュリティ管理のための枠組み(フレームワーク)としてISMSを活用する日本企業も多くなった。これにより、日本の情報セキュリティレベルを向上させるという点では、一定の成果が得られた。
個人情報流出事故は
どこに問題があったのか
ところが、2006年ごろから相次いで民間企業からの情報流出事故が急増し、情報セキュリティの認証を取得した企業でさえ、数百万件ほどの個人情報流出事故を起こすようになった。これは、認証取得時における想定脅威を「技術を誇示する愉快犯」や「金銭搾取を狙う犯罪」としていたが、その後に大きく変化したサイバー脅威に積極的な関心を向けていなかったことに大きな問題があった。
つまり、民間企業は、無自覚(自分の責任や義務などを自覚せず)に想定脅威が変化しないものと捉えて、防御策を固定的なものとしてしまい、変化する脅威に対する防衛策を動的に変更管理していなかったのである。見方を変えて言うならば、民間企業の経営層が、継続的に変化をしていくサイバー空間における状況認識を怠ったことにより、経営層自らの危機意識やリスク感覚が欠如し、組織を危険な状況に置いてしまったということができる。
(アーバーネットワークス/ASERT Japan名誉アドバイザー・名和利男)
