日本のセキュリティはなぜ米国に劣るのか？：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

2014年に注目すべきものは？

　筆者が注目したのは次の記事だ。

• 「2012〜13年度のセキュリティ被害額、日本は83％増も米国では50％減に」

　この記事はT「ツイート」が14件、「いいね！」が41件とある。だが、もっと注目される記事だ。MM総研がニュースソースとなったもので、同社の調査ではサイバー犯罪の手口別の被害額も掲載されている。

　日米におけるセキュリティの被害額を2012年と2013年を比較すると、そこに驚愕な事実が見えてくる。

手口	米国	日本
「なりすまし」	72％減	141％増
「ウイルス感染」	56％減	108％増
「標的型攻撃」	35％減	75％増

これはいったいどういうことだろうか。日米のセキュリティの技術は、まだ若干米国の方が優れていると思えるが、これほどの差は全くの想定外であった。しかも内部犯罪系の事象でみると、この差がもっと広がる。例えば、「従業員・協力会社員の悪意による被害」（つまり狭義の内部犯罪）は、米国は36％減少したが、日本では179％増となった。

　これについては記事でも記載されているが、「米国では特に外部攻撃の対策に成功しつつあり、従業員によるデータ紛失や盗難のような内部関係者が係わるセキュリティ対策が今後の課題になっていると分析。日本は外部攻撃の一部を除いて、多くの主要な手口で被害が拡大傾向にあり、早急に有効な対策を実施する必要がある」ということを意味している。

　セキュリティへの投資総額も2014年計画比でみると、米国の32億9400万円に対して日本は23億6400万円（1000人以上のユーザー企業600社の平均）と相当の差がある。

　つまり、情報セキュリティ対策はその品質の差やカルチャーによる差の以前に、「実弾（お金）」の大きな差によって、その効果が日本と米国でほぼ真逆になっているということだ。これはまさしく「安物買いの銭失い」に当たるのではないだろうか。

　企業経営者はこの数字を見て、よく考えていただきたい。せめて費用対効果の高いセキュリティの事象から対策への資本の集中投下、大幅な増額を経営判断してほしいと思う。

　日本人の悪い性質の1つに「形のないもの（情報など）にお金をかけたがらない」というものがある。目に見えるもの、それは外部攻撃対策としてのハードウェアへの投資や、マスコミに自慢できる対策システムの開発とリリースなどだ。この方面について日本が米国並みのリソースを投じるにしても、そもそも基本となる投資額がまだまだ脆弱であるということだ。

　情報セキュリティ投資の根幹は、「人への投資」が重要だ。つまり、啓蒙活動やスキル、モラルの向上が前提条件であり、それによって各種の防衛システムが本当の意味で有効となるのだが、最も基本的な投資が米国に比べまだまだ不足している。これはまさしく「仏作って魂入れず」の典型である。

　経営者は2015年に、これらの数字の裏付けによる反省から経営判断を大きく変化させ、ぜひ投資すべき事象には惜しむことなく投資を増額させ、結果として大きな成果につなげることを実践していただきたい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。