今回は先月発表された米データ・セキュリティ会社SafeNetによる企業における情報漏洩についての調査結果と対比して、日本企業のセキュリティに対する意識の現状と課題について、専門家としての私見を述べたい。なお、調査内容についてのComputerworldによる記事はこちら、日本法人によるリリースはこちらにあるので、参考にされたい。
31%が
「過去にネットワークセキュリティ侵害が発生したことがある」
この調査の対象は「米国企業で働くセキュリティ専門家230人」で、その31%は「過去にネットワークセキュリティ侵害が発生したことがある」と回答している。10年以上ネット犯罪防止に携わってきた筆者の経験からすると、この数字は妥当な数字だと思われる。
日本も同様な状況と推測しているが、日本国内において圧倒的に多い中小、零細企業では、この「ネットワークセキュリティの侵害が発生」という認知すらできていない場合が圧倒的に多い。米国調査でも20%が、「過去にセキュリティ侵害が発生したかどうかはっきりわからない」と答えているが、この最悪とも言える回答が日本の中小企業では本音部分で9割を超えるだろう。
残念ながら、それがこれまでの経験を通じて実感してきた日本企業の現状だ。よくて「ログは取っています」というレベル。確かに「ログ(履歴)」は重要だが、それって「取っていればいいのか?」ということになるが、実は全く違うのである。
「監督官庁がうるさいのでいつでも提出できるようにしています」。とある製造業の情報セキュリティ担当管理職の弁だ。……この考えこそ全くおかしい。
例えて言えば、企業の経理部にある大きな金庫に監視カメラをつけた、というのがログを採取するのと同じことだ。でも……ログを取っているだけで、記録したものがそのまま別メディアに移され、圧縮され、10年保管の貸倉庫に入れておくことで何の役に立つだろうか?
確かに監督官庁の指示に対応するということは速やかにできるだろう。しかし、金庫が不正に開けられ、たまたま現金が入ってなかったので、何も盗まれなかった場合、その行為自体は、画像をチェックするまで分からないままということでは問題だ。10年経って記録が廃棄されればそれっきりだ。
ネットワークで「盗まれる」のは現金以上に貴重な「情報」(特許情報DB、顧客マスター、売上明細DBなど)だ。盗まれてもそれだけでは盗まれたという事実すら気が付かないものである。ログを日々分析していれば、少なくとも「盗まれた」という事実は分かる。また、ログ解析は結果として内部へ侵入した形跡やその試みを行なったということも分かってくる。だからログは「分析してなんぼ」の世界であり、決して「採取してなんぼ」の世界ではないのだ。