セキュリティ対策に完璧はないとよくいわれる。それを頭で理解するのと、実際の行動に反映させるのは別ものだ。情報システムへの不正侵入やミスを前提に、多重的な防御の仕組みを整えている企業は少ない。こうした現状をいかに変革すべきか。その考え方や道筋について、内閣府本府参与として政府の科学技術・IT戦略に携わる齋藤ウィリアム浩幸氏に聞いた。
今や、インターネットはビジネスに不可欠なインフラである。しかし、最初からそうだったわけではない。米国でサイバーセキュリティ関連の企業を起こし、現在は東京を拠点に活動する齋藤ウィリアム浩幸氏は次のように語る。
「インターネットはもともと少数の研究者たちがコミュニケーションを行う場でしたが、1990年代にビジネスのインフラになりました。それが可能になったのは、ITセキュリティが実装されたからです。ただし、あくまでもインターネットに“後付け”されたセキュリティです」
ハックされている企業
それに気付かない企業
科学技術・IT戦略担当
齋藤ウィリアム浩幸氏
1971年ロサンゼルス生まれの日系二世。16歳でカリフォルニア大学リバーサイド校に合格。同大学ロサンゼルス校(UCLA)医学部卒業。高校時代に起業し、指紋認証など生体認証暗号システムの開発で成功。2004年に会社をマイクロソフトに売却してからは日本に拠点を移し、ベンチャー支援のインテカーを設立。有望なスタートアップ企業を育成している。12年には、総理大臣直属の国家戦略会議で委員を拝命し、また日本の憲政史上初めて国会に設置された、東京電力福島原子力発電所事故調査委員会(NAIIC)では、ITなどのインフラ設備構築で手腕を発揮した。著書に『ザ・チーム』(日経BP社)、『その考え方は、「世界標準」ですか?』(大和書房)。
インターネットの設計思想の中に、確固としたセキュリティが埋め込まれていたわけではない。サイバー犯罪と対策との“いたちごっこ”は、ある意味で必然だ。ビジネスにインターネットを利用するのであれば、セキュリティ対策も継続的に進化させなければならない。
その際、「セキュリティ対策に完璧はない。まず、それを理解する必要があります」と齋藤氏は強調する。「セキュリティに関していえば、企業には2種類しかありません。ハック(不正侵入)されていることに気付いている企業と、気付いていない企業。『ウチは絶対に大丈夫』という企業が、実は一番危ない」。
不正侵入やミスは起こり得る。それを前提に、ルールや仕組みをつくる必要がある。齋藤氏は2011年末、国会に設置された東京電力福島原子力発電所事故調査委員会(国会事故調)に加わり、多くのメンバーが日常的に利用するITインフラの構築を任された。メンバーのITリテラシーはさまざまであり、全員が使いやすく、しかもセキュアな仕組みづくりは大きな課題だったという。
「ITのトレーニングをしている暇はありませんでした。そこで、各メンバーが日ごろ使っているツールを、そのまま使ってもらうことにしました。PCに差し込んでデータをやりとりするUSBメモリも使い放題です。セキュリティ対策の要は暗号化。普段通りにPCを使っていれば、自動的に暗号化される仕組みを導入しました」
メンバーは多数おり、福島県などに出張する機会も多い。そこで、齋藤氏は「PCは4台、USBは15個紛失するだろう」との前提で、情報インフラを構築。メンバーに対しては「紛失したら、すぐに報告する」というルールを徹底させた。報告があれば、即座に暗号の鍵を無効化してデータ流出を防ぐという対策だ。
「これだけ人数がいれば、紛失は必ず起こります。『絶対になくすな』と言えば、紛失を隠そうとする人が出てくるかもしれない。それが、より重大なリスクにつながります。大事なことはデータの流出防止であり、PCやUSBというハードウエア紛失は二義的な問題です」
実際、紛失の報告は何件かあったが、その都度適切に対応することでデータが外部に漏れることはなかった。