2012年の情報セキュリティを総括する（後編）：“迷探偵”ハギーのテクノロジー裏話（2/2 ページ）

[萩原栄幸，ITmedia]

内部犯罪と外部犯罪、実は内部犯罪の方が危険

　情報セキュリティというと、経営者や管理者の対応策はどうしても「侵入」「攻撃」、つまりは、外部からの攻撃に目を奪われがちである。しかし被害件数や被害金額でみると、実は圧倒的に組織内部の不正や犯罪の方が多い。

　内部犯罪は「表面化しない」「事実があっても分からない」「分かっても報告しない」「報告しても企業としては認めていない」といったさまざまな理由から、統計上の数値は低い。情報処理推進機構（IPA）が内部犯罪に関する調査報告書を公開したが、そこに記載されていることは筆者も20年近く前から体験してきた。米国では新人の内部不正のために銀行が倒産している。日本でも共同経営者の間や親族間の紛争といった要因で大変な企業が急増しているが、そのほとんどは表面化していない。

　表面化した時には既に遅いというケースもある。しかし、現場に近い担当者はそこまで指摘できる材料も権限も持ち合わせていないのが実情だ。ましてや、倒産して初めてその事実が分かるということもある。一度は外部の専門家（情報の統制管理を検査する）によるチェックを受けてはいかがだろうか。恐ろしい数字が役員会議で報告されるかもしれない。その段階ならまだ打つ手はあるだろう。

情報セキュリティはガンの早期発見と同じ

　経営者は情報セキュリティを軽視しがちである。製造業や商業、エネルギー業……多くの業種業態において、情報セキュリティは本業には直結しないものと考えられてきた。業績が悪ければ真っ先に予算を削られ、景気が上昇しても最後に予算が承認されるというとても悲しい存在かもしれない。海外ではそうでは無いところもあるが、日本においては「その通り」といってもおかしくないものになっている。

　しかし、本当は全く違う。見えないガンを早期発見するのと同じように、毎年きちんと予算化して対応すべき経営上の重要な作業だ。情報セキュリティとは、競業他社を引き離す、あるいは、追いつくための極めて有効な経営戦略の一つである。企業を内部の不正や外部の攻撃から防御し、時に市場で自社の強みを発揮する武器になる。しかし、何もしなければ自覚症状のない「ガン」として、いつの間にか企業の生命を脅かす存在になる可能性を秘めたものであることを認識していただきたい。

　日本の法律には、明確な「情報盗難罪」が存在せず、ごく一部で認められているに過ぎない。このため人々の間には罪悪感がさほど無く、また、目に見えない「モノ」にはお金を出したがらないという民族性も相まって、情報セキュリティの意識が乏しいのではないかと思う時がある。欧米では「情報」を、ある意味で「モノ」より価値が高いというように幼い頃から教育され、民族性にも埋め込まれている。

　また、内部犯罪による金銭的な被害の規模は「時間軸」と相関する。最初は1円、10円の小銭、もしくは1件、10件の個人情報といった具合だ。それがだんだんと加速度的に増して大きくなっていく。最初の犯行から1年を超えてくると、企業規模によるが、中小企業でも1000万円を超える相当の被害になることもある。そして、2年も経過すると企業規模によっては経営そのものが傾く場合もある。内部犯罪対策は、犯罪に手を染める前の予防策と、犯行に気が付く期間をいかに短く（できれば3カ月以内）できるかに重点を置いて講じるのが、最も費用対効果が高い。

セキュリティレベルに差をつけろ

　これはよく言われる文書ファイルなどの内容を「機密」「重要」「社外秘」「通達」「一般」などに分類して管理しましょう、というものではない（これはこれで極めて大切だが）。「肩書」「部署」「アクセス権限」などのマトリックスによって「個人」に差をつけて管理すれば、経営資源を有効に使えるという意味である。

　以前にある企業で、経営管理部門の協力を得てその企業の全従業員と役員に偽メールを配布したことがある。「リンク先をクリックはしない」「添付ファイルは開かない」という行動を厳守できているかチェックした。その結果、約6％の人が添付ファイルを開いた。ここで重要なのは「6％」という数字ではなく、「誰が開いたのか？」である。

　一般社員が開いてしまった場合の経営リスクと、役員が開いてしまった経営リスクでは、圧倒的に役員が開いてしまうケースの方が危ない。しかし、中高年以上の役員の多くはプライドが高く、全社が対象のセキュリティの啓蒙教育なども受けない。「俺には自信がある」という役員ほど添付ファイルを開いてしまう事実を示しても、耳も貸さない。

　最後には、「一般従業員の開封率は6％ですが、実は12人しかいない役員の開封率は40％です！　しかも、役員の半数はわが社の特許データベースに全てアクセスできる権限を持っています！　この事実は『わが社の最大リスク』といっても過言ではありません！」という口を酸っぱくして説明しなければならない。企業にとって最も大きな経営リスクは、「社長」かもしれない。創業者と言われる立場の人ほどこういう点に気を使っている。上の立場にある人が「わが社の最大リスク」となるのは大手企業なのかもしれない。

　ここで記載した事は「情報セキュリティ」の基本中の基本である。本来は体系立てて全てを解説すべきだが、それでは時間が足りないだろう。またの機会に続きをお伝えしたい。

編集部より……次回は2013年1月11日の掲載です。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。