2012年の情報セキュリティを総括する（後編）：“迷探偵”ハギーのテクノロジー裏話（1/2 ページ）

情報セキュリティを脅かすさまざまな出来後に明け暮れた2012年。後編では「情報セキュリティ」というものの本質について考えながら、企業や組織で心掛けてほしい点をご紹介したい。

[萩原栄幸，ITmedia]

　2012年の総括の後編は、基本に立ち戻って「情報セキュリティ」というものが何かについて考えてみたい。自称「専門家」の方や大学で専門に学んでいる方でも漠然とこの用語を使うことがあり、筆者が議論をしても、かみ合わないことがある。

情報セキュリティ業界への誘い

　筆者がこの世界に足を踏み入れた経緯をご紹介したい。

　筆者は大学を卒業後、コンピュータソフトやメーカー、商社を経て当時の三菱銀行に入行した。第三次オンラインを構築している最中、「知的野人を求む！」という大胆なキャッチフレーズで人材を募集していたのだ。配属先のシステム部で設計手法やプログラミングの標準化技法など、1980年代後半において世界でダントツであったIBMの考えを必死に吸収した。その頃からごく一部の人たちの間では「プログラムソースから侵入できるソースの改ざんをどう防御すべきなのか」、また、これに派生する問題としてのシステム内部の不正（会計上も諸問題を含む）や情報漏えいに関する対応が話題になった。この分野では専門の外資系コンサルティング会社の力を借りてさまざまな対応策を施した。

　その後、先端技術の調査・研究の責任者となり、銀行認証局や営業店システムの基礎的な研究などを行った。昔の銀行員は「会社にPCを持ち込むな、遊びと仕事を混在するな」などと平気で叱られたものだ。そのうちに役員の依頼により内部犯罪の捜査をサポートしたのをきっかけに、この情報セキュリティの分野に踏み込むようになった。ある時は警察に協力し、ある時は対峙する。フォレンジックの導入でも、CSIRT（Computer Security Incident Response Team）の検討でも、当時はどの銀行にもそうした考え方が無く、全く理解してもらえなかった。日銀本店で月1回行なわれる「情報セキュリティ会議」でも金融機関のWebサイトがあまりに脆弱なので、個別具体的に「○○銀行ではCSRFの脆弱性がある」と話題になったこともある。遠隔操作ウイルス事件でもCSRFの脆弱性が突かれたというが、これは「最新技術」ではなく、数年近く前から知られた脆弱性なのである。

　こういう環境だったので、今では企業や組織レベルから個人レベルにいたるまで情報セキュリティの大切さをお伝えするようになっている。情報セキュリティが広く受け入れられるようになるためには現場がいかに大事であるかを、身を持って体験してきた。

情報セキュリティの犯罪とその他の犯罪は何が違うのか？

　まず言えることは、「被害者が被害者として自覚するケースは少ない」ということだ。例えば、金庫からお金が盗まれた、包丁で腹を刺された――こういう事件では被害者は「自分が被害者」ということを自覚できる（殺されたなら別だが）。しかし、「情報の盗難」という事件は異なる。ITの世界はデジタル情報なので、コピーさえすれば原本と同じ複製物を幾らでも作れてしまう。ログなどでその行為が発覚しなければ、被害者は「私は被害者です」と自覚できない。

　最近のサイバー攻撃も同じような兆候が見え隠れしている。筆者の経験則では「わが社の重要情報が盗まれたらしい」と気が付く企業は半数も無い。つまり、多くの貴重な情報が既に「盗まれている」といっても過言ではないだろう。犯罪者は見つかるまでずっと情報を入手し、こっそり外部へ持ち出しているという話をある関係者から聞いたこともあるし、実際にニュースでは「どうやら半年前から盗まれていた形跡がある」などという表現がいつも登場している。それは言い方を変えると、半年前には全く気が付いておらず、情報が勝手に持ち出されていたと気が付くのに半年もかかった、ということになる。

　情報セキュリティの犯罪の先進国（？）でもある米国からは、さまざまな警告が発せされている。「企業は再度自前のシステムを点検すべきだ。予想を超える漏えいが起きていることが明らかになる企業もある」という。経営層の方には、システム管理者の報告を真に受けず、第三者によるチェックを一度でも受けてみることをお勧めする。「気が付いたら、わが社の機密情報は全て競業他社に渡っていた」という事態はくれぐれも避けてほしい。