深刻な脆弱性はアナログな部分に生まれる

── サイバー攻撃への対処は、セキュリティソフトを導入すれば、それで万全というわけにはいかないのですね。

その通りです。ところが、日本の行政機関も民間組織も、防御手段となる技術を導入すれば、それで安心だと考えがちです。これは幻想に過ぎません。システムの脆弱性は、セキュリティソフトで防御できるITやデジタル技術に関わる部分にだけ生まれるわけではありません。もっとアナログな部分に生まれることが多いのです。

例えば、機密情報を扱う人の近親者から漏れる可能性はないか、帰宅後に家族と交わす会話の中に出てきた仕事の話を家族がSNSに書き込む可能性がないのか、といった点にまで配慮する必要があります。実際に、母親が、勤務している銀行に芸能人が来たことを家で話し、その家族がSNSでその情報を漏らして大問題になったという事例があります。また、多くの会社にはネットワークプリンタがありますが、その中には機密情報が残っています。メンテナンスをする人はそれを取り出すことができますが、その人の素性は確認していますでしょうか。ほかにも、重要なパスワードを忘れないようにシールに記してパソコンのモニタに貼っている会社役員もいますが、清掃作業員にそれをカメラで撮影されていないでしょうか。攻撃者は、こうした一見ささいな糸口からヒントを見つけ、アカウントを乗っ取ってシステムに侵入してくるのです。

── 高度な情報システムの脆弱性が、思いの外アナログな部分で生まれることに驚きました。

情報を守り切れる時代は、十数年前に終わっていると考えるべきなのです。防御技術が役に立たないわけではありませんが、それによって万全の防御ができるわけではありません。

確かに、プログラムに内在する脆弱性はパッチを当てればなくせるかも知れません。しかし、脆弱性の半分以上は人間の行動から生まれます。そして、例えセキュリティを高める教育を施しても、人が完璧に動いてくれることはまずありません。防御技術の導入や社員教育だけで対策していると思っているのなら、会社として怠惰であるとしか言えません。

しかも、情報システムを活用する業務や人は年々増え、そこで扱う情報もより機密性の高いものになっています。このため、サイバー攻撃をする動機も高まり、脆弱性も生まれやすくなっています。

脅威が感じられなくても、リスクは確実に存在する

── サイバー攻撃の脅威は、日々の生活やビジネスの中で、なかなかピンとこないものです。

街や家の防犯対策は、暗い夜道やその中に潜む不審者など脅威がイメージしやすいため、状況に応じた対策が比較的取りやすいと思います。ところがサイバー攻撃の脅威は、どの程度のリスクがあるのか五感で感じることが難しいため、どうしても軽視されがちです。しかも、リスクを感じず旧態依然とした防御技術の効能を過信している間に、実際の脅威はどんどん深刻化しています。

── 感じにくい脅威を的確に認識して対処することが大切だということですね。

企業の経営者にサイバー攻撃への対処法を進言すると、その費用対効果を問われることがよくあります。家への不審者の侵入を防ぎ、家族を守ろうとする防犯システムを導入するとき、費用対効果を考える人がいるのでしょうか。企業にとっては、サイバー攻撃によって顧客情報が漏れたり、事業がストップしたりするような事態に陥れば、風評被害も含めて致命的なダメージを受けることになります。

サイバー攻撃への対処は経営問題であると認識すべきなのです。ITについて詳しくないからといって脅威を直視せず、対策も部下に丸投げする役員が少なからずいます。しかし、もはやそれではビジネスについて語る資格はなく、不祥事が起きたときの謝罪役くらいにしかならないでしょう。