情報セキュリティと言えば耳にたこが出来るほどうんざりしている話かと思いますが、少しお付き合いください。私たちの会社で情報セキュリティを取り扱いだして、12年以上が経過しました。その間、お客様に一貫して言われ続けていることがあります。「昔のコンピュータはそんなことを意識しなくてよかった」「何故、コンピュータの利用者がセキュリティを意識しなければならないのか?」「そんなことは提供者側でしっかりやってくれ」などです。
セキュリティ屋として、皆さんが安心してコンピュータやネットワークを利活用できる環境を目指して今後も努力してまいりますが、考えてみると、似たことは過去にもあったように思います。
私が思いつく、代表的な先例は自動車の問題です。20世紀の科学技術の結晶として、社会変革をもたらした大きなものは、自動車に代表される新しい移動・運送手段の登場ではないかと思います。特に自動車は、従前の船舶や鉄道と比べ、大量輸送には向かないものの自律的・機動的に動けるという特徴のため、単に産業に利用されるだけではなく、生活様式の変化にも大きく貢献しました。いわゆる、自動車社会の形成です。一方、一時は交通戦争と呼ばれるほどの多くの犠牲者を出し、大きな社会問題にもなりました。その後、多くの関係者の方々の努力の結果、少なくなったとはいえ現在も毎年多くの犠牲者が出ています。
自動車の安全を考えた場合、受動的な(事故のダメージを無くしたり軽減する)対策では、シートベルト、エアバック、自動車の構造考慮などによる内部と外部の人間の保護やダメージの軽減など、また、保険による経済的損失の肩代わりなどの方法で、安心な自動車社会形成へ大きく貢献しています。一方、能動的な(事故が起こらないようにする)対策は、「急制動でもコントロールを失わない機能(運転テクニック不足を補う)」などありますが、簡単に解決できる決定打はまだ出ていません。「そもそも注意深く運転する」「法整備と違反摘発により違反行為抑止を行い事故を減少させる」など、どちらかというと制度や人間系の対策によっているところが大きいのが実情です。つまり、このことは自動車社会のセキュリティ対策はまだ万全ではないことを表しています。
前置きが少々長くなりましたがこれからが本題となります。情報セキュリティを考える場合、いくつのキーワードがあります。
1.「電算機からサイバースペースへの変化」
コンピュータは昔「電算機」と呼ばれていました、文字通り電子計算機です。自動車で言えば、自動車社会形成前の、一部の人のための単独の便利な道具の頃と似ていると思います。現在は、コンピュータが情報システムとして稼動し、それがネットワークでつながれ、ある「社会」を形成していると言っても過言ではありません。ある人はこの「社会」のことを「サイバースペース 電脳空間」と呼びました。インターネットとは無縁の人であっても、実は大半の人が既にこのサイバースペースのお世話になっています。例えば、日々利用するコンビニエンスストアや、一見サイバースペースと無縁に思われる農業や漁業でも、天気の現状や予測あるいは需要予測や出荷・販売にかかわることなど、サイバースペースの存在を無視できなくなっています。金融機関で「お金」は「情報」としてサイバースペース上で管理されているのは周知の事実です。
電算機の時代では「情報」の流通は極めて限定的でした。専門のパンチャーやオペレータのみが電算機と会話していました。それが、情報通信技術の普及に伴い組織内に広まり、現在はインターネットを経由して世界中に広がっています。つまりインターネットに直接つながってなくても、ホームページなどを経由して「情報」が電子的に受け渡しされる状態となったことで、結果的に「サイバースペース」なるものが形成されるに至ったと思います。ある人は携帯電話にてサイバースペースを歩き、ブログを通じて情報を発信し、コミュニティを形成したりします。また、ある企業はホームページを通じてサイバースペースに店舗や展示場を持ち、他の取引先との業務を行い、メールで日常の業務連絡を行います。
昨年、全日空の情報システムが故障したことで、130便が欠航し約7万人の足に影響したトラブルがありました。これは、航空機を安全に飛行させるための機能に障害が起こったわけではありません。最近は予約・発券・搭乗が高度にシステム化されたことで、私たちもその便利さを享受していたのですが、それが停止することで、誰を飛行機に乗せればよいか分からず、結果、飛行機を飛ばせなかったのです。それも、電算機そのものの故障ではなく通信機器の故障が原因だと言われています。つまり、航空業界においてはもはやサイバースペースの存在なくして企業活動が出来ないことを意味しています。今後、ますますビジネスのサイバースペース依存は進行していくと思います。
一方、多くの犯罪者もサイバースペースが「ビジネス」上、必須となっています。この社会で身を隠し、窃盗や詐欺あるいは不正な取引などを行い、彼らにとっても無くてはならない存在になっているのです。逆に言えば、犯罪者もサイバースペースを破壊するようなテロ行為には及ばないであろうことも、このことから想像できます。
2.「情報セキュリティは確信犯の想定が必須」
つい最近、輸入加工食品での中毒事件が社会問題となりました。顛(てん)末はこのコラム執筆時には不明ですが、あのような事件報道を耳にすると、少なくとも従来の品質管理や衛生管理の領域だけでは、対応できないのではないかと思います。不幸なことに、あの事件が、ミスや不注意あるいは文化の違いなどからの「毒物の混入や残留」ではなく、誰かが何らかの目的を持って「確信的」に実施したものならば、ある面、テロ行為に近く、対抗手段は別なものになります。
情報セキュリティが取り扱う原因は、不注意、不慣れ、ミスなどだけではなく、確信的行為への対策がむしろ主であることが重要な点です。そのため、「何かをやればそれで安心」とはいかないのです。
個人情報保護法という法律がありますが、この法律で要求されているのは「保護」ではなく「適切な管理(取り扱い)」です。つまり、この法律では個人情報が流出しても適切な管理を行っていれば罰則の対象とはならないのです。しかし、実際には「適切な管理」を行っていたにもかかわらず、確信犯などから狙われ個人情報の流出につながった場合、当然のことながら、さらなる強固な「適切な管理」が要求されるのが実態です。力のある企業の場合は、それでしのげるかもしれませんが、中小の場合、事業を継続することが困難な状況に陥ってしまうことも十分に想定されます。
それはある面、交通事故と似ていて、法律を守っていても「結果責任」がついて回ることになります。つまり、単に「管理責任」を果たせば良いのではなく、「結果責任」を意識し、行動し続けるということが重要になります。
現在、サイバースペースの信頼性を守るため、暗号などの様々な技術が使用されています。しかし、運用を適切にやらないと狙った効果を出すことが出来なくなります。例えば最近普及著しいEdyやSUICAなどに代表される電子マネーも高度な技術で守られているため、実際のお金とは違いにせ金を作ることは事実上不可能です。しかし、運用に問題があると、不正に入手したクレジットカード情報からの換金方法に悪用されるようなことや、実社会と同様、うっかり「紛失」や悪意のある人にだまし取られることも有り得ます。それは、交差点の信号機が正しく機能していても、運用が適切でないと渋滞や事故は発生するのと同じです。信号機を守って直進していても、車の陰からバイクが飛び出してくることもあり、ルールを守って運転するだけでなく、様々なことを想定し注意して運転するのは必須のことと同様に、情報セキュリティは、施政者や技術提供者が考慮する安全技術だけでは不十分です。
利用者も情報セキュリティという必須の作法を身に付け向上させることで、最低限の費用でサイバースペースの特徴を最大限に活かせるのです。
西本逸郎(にしもと いつろう)氏のプロフィール
1958年北九州市生まれ、84年熊本大学工 学部土木工学科中退、情報技術開発株式会社入社、86年株式会社ラック入社、現在、同社取締役執行役員、サイバーリスク総合研究所長、ラックホールディングス執行役員。特定非営利法人「日本ネットワークセキュリティ協会」理事、同「日本セキュリティ監査協会」理事、「データベースセキュリティコンソーシアム」理事、事務局長なども。通信系ソフトウェアやミドルウェアの開発に従事、2000年からセキュリティ事業に転じ、02年24時間のリモートセキュリティ監視センター「JSOC(Japan Security Operation Center)」の構築と立ち上げを行 う。IT社会の新たな脅威である情報セキュリティ対策の重要性や具体策を提言する講演や新聞・雑誌などへの寄稿多数。