クラウドストレージの利用がもたらす脅威

佐藤 日本におけるDXは、2018年に経済産業省が「デジタルトランスフォーメーションを推進するためのガイドライン」を公表したことを契機に、企業の理解が少しずつ進んでいました。ところが新型コロナウイルスのパンデミックにより、準備が整わないうちにDX対応を迫られた印象です。セキュリティの専門家の立場から見て、上原先生は、特にIT人材が不足しがちな中小企業にはどのようなリスクがあるとお考えですか。

上原 中小企業は「境界線防衛」(自社内ネットワークと外部ネットワークの境界線で脅威を阻止する仕組み)と呼ばれるセキュリティモデルをずっと使ってきました。ところがコロナ禍によって、使い慣れないものを使わざるを得なくなりました。一番大きなリスクになったのは、テレワークのために遠隔で社内のPCを操作するリモートデスクトップです。急場しのぎのデザインや不適切な設定のまま使っている例が散見されました。

コロナ前から使われていたクラウドストレージも脅威となりました。クラウドのように境界線防衛がされてないところへのアクセス権限の設定は難しく、設定を間違えたままリモートでファイル共有をした結果、情報が流出したケースがありました。ある自治体で発生したコロナ陽性者に関する個人情報流出が一例です。今まで通りの境界線防衛であれば安全だったのですが、急にやり方を変えたためにうまくいかなくなった事例が多いように感じています。

立命館大学・上原哲太郎教授が提言。全世界に展開するネットワークインフラの知見を生かして中小企業や地方自治体のセキュリティをサポートするには立命館大学情報理工学部
上原哲太郎教授
京都大学工学部情報工学科卒。京都大学博士(工学)。同大学工学研究科助手、京都大学学術情報メディアセンター准教授などを歴任し現職。芦屋市最高情報統括責任者補佐官、京都府警察サイバーセキュリティ戦略アドバイザーなど自治体の情報セキュリティにかかわる傍ら、東京電機大学客員教授、放送大学・大阪大学非常勤講師なども兼任。

また企業は、自宅で作業している社員に対して、情報セキュリティポリシー(情報セキュリティ対策の方針や行動指針を明文化したもの)を理解させ、必要なテクニカルサポートをすべきですが、企業によっては、それがほとんどない状態で始まりました。仕事用のパソコンの支給が間に合わないままリモートワークが始まってしまい、私物のパソコンでつなぐしかなかったケースもあります。一方で、DXが半ば強制されたことで、企業のデジタル対応が進んだというプラス面もあると思います。

佐藤 日本のデジタル化はコロナ禍という背景があったにせよ、この数年で非常に進化してきました。インターネットを活用することにより、自宅でも会社と同じ作業ができるようになったわけですが、その利便性の高い仕組みに対して何らかの障害を発生させようとする意図的な勢力もいるわけです。このような悪意を持った勢力の攻撃は、社会基盤や国の機能を低下させようという意志を持って実行しているので、対象は企業規模の大小を問いません。また、学校や医療関係、エネルギー供給インフラなど多岐にわたっています。