記事

サイバーセキュリティには現代版「国家総動員法」が必要である

ブログでは本業についてほとんど書かない(書けない?)のですが、本日は少しだけコメントさせていただきます。6月初めから約3カ月、本業(危機対応)として日本年金機構の個人情報流出事案に関与させていただき、昨日も当局側と検討協議をさせていただきました(なお、私がどのような立場で関わっているのかがわからないように、以下では専門用語は使用しておりませんので、若干不正確な表現がありましたらご容赦ください)。

ご承知のとおり、日本年金機構による情報流出事案について、先週末に3つの報告書が公表されまして(NISC、年金機構、検証委員会)、なかでもNISCさんの報告書は(指揮命令系統が異なるためか)他の報告書とは「公開」の基準が違うので非常に興味深いです。よく読むと、ほかの報告書ではわからない情報が出てきています。なお、マスコミでは主に厚労省や年金機構の組織上の問題点が批判されており、国民の重要な個人情報を管理する立場として責任感があまりにも欠けている・・・といった主張は妥当なものだと思います。しかし行政がしっかりするだけではなく、以下の課題における民間の意識向上を含め「国家総動員」でサイバーセキュリティのレベルを上げなければ同様の事故の再発防止は不可能だと確信いたします。

まずは情報セキュリティ関連会社の能力の有無を(委託する民間事業者にもわかるように)明確にすべきです。医療過誤、弁護過誤と同じく「情報セキュリティ過誤」についてもう少し世間の関心を高めるべきです。経産省の指針等に従って注意義務を尽くしていたかどうか、裁判で問われる例も出てきています。委託者側にも、WEBサーバーの構築や管理をどこの企業に委託するか、その委託責任まで問われる時代がやってくると思います。

つぎにサーバーを提供する企業のセキュリティレベルの向上です。サーバー提供会社は固い契約によって「どんなウィルスによる損害についても責任を負わない」とされています。このことによって、提供会社のリスク対策が後手に回り、サーバーの脆弱性を突いた攻撃が後を絶ちません。先日(8月22日)、産経新聞にようやく(たぶん情報セキュリティ会社、またはセキュリティ診断事業者による内部告発かと思いますが)この点に関する批判記事が出ました。

そして最後に自社の保有情報を漏えいされたり、他社への攻撃の道具にされないための民間企業の自己管理の必要性です。率直に申し上げて、マルウェアによる攻撃に対する未然防止及び「検出」や「感染」の早期発見のためのツールはお金がかかります。しかし、このたびの事案によって、情報セキュリティの甘さは、もはや自社の損失を超えて、国家レベル・国民レベルでの損失につながるほどの大問題に発展することが明らかになりました。つまり企業としての信用を大きく毀損するリスクといえます。これまでのリスク管理であれば「重大性のレベル3」だったものが「レベル1」くらいに上がっているのではないでしょうか。

日本年金機構の事件を契機に「サイバーセキュリティ基本法」が改正されるそうですが、企業としても「費用対効果」の「効果」には、自社の情報管理上の安全だけでなく、国民や国家の情報の安全(もしくはこれを毀損したときの多大な風評被害からの予防)も含むものである、といった意識が必要だと考えます。フォレンジックによって標的型ウィルスによる攻撃の全容を明らかにするためには断片的に残された情報だけでは不十分です(これは超一流の日本の情報セキュリティ会社の能力をもってしても困難だということがよくわかりました)。早期に重要情報の流出を阻止するためには、多くの情報を多くの組織から集めることが必要です。そのためには行政、専門業者、大手通信会社、そして民間事業者が協働してクライシスマネジメントに努める以外にはないと考える次第です。

あわせて読みたい

「サイバーセキュリティ」の記事一覧へ

トピックス

ランキング

  1. 1

    再々委託も 電通・パソナに疑惑

    田中龍作

  2. 2

    ブルーインパルス 文字を描いた?

    河野太郎

  3. 3

    米で広がる分断 アジア人も下層

    WEDGE Infinity

  4. 4

    抗体簡易検査は「お金をドブに」

    中村ゆきつぐ

  5. 5

    コロナ後の日本は失業者増えるか

    ヒロ

  6. 6

    渋谷で「一揆」補償巡りデモ行進

    田中龍作

  7. 7

    若者に届け TV局がYouTubeに本腰

    放送作家の徹夜は2日まで

  8. 8

    香港民主化の女神「すごく怖い」

    NEWSポストセブン

  9. 9

    コロナでトランプ惨敗説が急浮上

    WEDGE Infinity

  10. 10

    給付金寄付の強制は「責任転嫁」

    非国民通信

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。