ベネッセの顧客情報漏洩事件が発覚した7月以降、セキュリティ対策への問い合わせは一気に増えた。しかし、単に「対策を進めるように」と担当者に指示をするだけでは、問題は何も解決しない。サイバーセキュリティの最前線で起きていることを今一度おさらいし、経営者がどう考えるべきかをまとめてみよう。

顧客への補償だけで200億円超!
ベネッセ事件に見るサイバー犯罪の恐ろしさ

 漏洩した顧客情報数は2000万件超。2人の取締役の引責辞任に加え、被害者への補償で200億円以上の出費となったベネッセ事件は、多くの経営者たちにサイバー犯罪の恐ろしさを印象づけたようだ。当社でも7月以降、セキュリティ対策に関する問い合わせが増えている。

「万全な対策をしておくように」では防げない <br />経営者が持つべきセキュリティ対策ポリシーとは礒田優一(いそだ・ゆういち)
ガートナー リサーチ部門 ITインフラストラクチャ&セキュリティ 主席アナリスト 

 一口にサイバー関連の被害と言っても、さまざまなパターンがある。脅威を大きくは4つのジャンルに分けて考えることができる。

 まずはベネッセのケースに見られるインサイダー。つまり内部の人間による犯行だ。欧米では、インサイダーへの警戒はもはや当たり前。ベネッセの犯人は、情報管理を委託していた外部業者の派遣社員だったが、「外部業者への丸投げ委託は避けるべき」「性善説はだめ。アクセス管理を徹底すべき」などといったことは、欧米では常識なのだ。この点、ベネッセ事件に驚いた多くの日本企業は、まだまだインサイダーへの考え方が甘いと言わざるを得ない。

 例えばデータベースを監視したり、暗号化して持ち出せないようにする技術があるが、欧米企業に比べ、日本企業にはまだまだ浸透していないのが現状だ。

 一方、欧米でインサイダーによる情報漏洩で意識が高まったのは、2013年に起きたスノーデン事件のような、特権を持つ人間による犯行だ。こうした事件を契機に、それを防止・発見する対策は再注目された。