「情報漏えいやサイバー攻撃はバレなきゃ平気」という企業が増えるとどうなるか？：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

一見すると何気ないことでも、冷静になると実に不穏な感じがする出来事が身近で幾つも起きている。それはいったい、何の前触れだろうか――。

[萩原栄幸，ITmedia]

米国防総省の関係者いわく

　氏名や時期は明かせないが、今年にある関係から来日された米国防総省の元関係者とお会いすることができた。その際、その方が私見して述べたのだが、何と日本の政府や企業の情報漏えいにおける損失額は、公表されて数字以外に少なくとも1000億円以上にもなるだろうということであった。換算方法やその根拠については聞けなかったが、「とても控えめにみての数字だ」と話していた。

　これまで本連載でも触れてきたように、組織の内部犯罪の一部は、その事案が表面化しなかったり、同僚が被疑者でも周辺はほとんどその事案を知らないこと、刑事事件とすることに大きな葛藤を経験する経営者が多かったりすることなどがある。そのため、事案が世間に知られることは少なかった。この「公開されることが少ない」というセキュリティ事件における事実は、外部犯罪（サイバー攻撃やネット上の改ざんなど）にも通じる。

　筆者は企業にコンサルタントを行っている中で、その企業が「気が付いているはず」と思われる外部からの攻撃に対し、ベンダーやSIerなどに依頼をしている場面に遭遇することがある。筆者も相談があれば仕事として受けるが、こうした対応を“何となく”出入りの業者に依頼する企業が圧倒的に多いのだ。多分、昔からの慣習なのだろう。

　それでもきちんと対処していればいいのだが、一部の業者の行動はどう見ても疑問を感じる。詳細には触れないが、筆者がこの道30年の経験としてセミナーなどでお伝えしていることは、外部からの攻撃については大手企業を除き次の通りである。

• 表面化するまで公開しない
• 攻撃にあっても（多分圧倒的に）気が付かない

　こういう事実が目前にあるということだ。中小企業、零細企業が日本の企業数の9割を超えるが、ここでのセキュリティの運用、管理は一部の企業を除き、とても信じられないほどあまりに「おざなり」である。システムの担当者、ネットワークの担当者も「名前だけ決まっている」例が多く、専門的なスキルを習得する場がない。従業員の中から「PCに詳しい」と思われている従業員を指定して対応している例が多いのだ。

　筆者は、銀行員時代に営業店や融資部、調査部の依頼で「その企業が融資に相応しいか」「技術的にその融資を受けるべきか」「上場に協力できるか」などに関する「技術評価書」なるものを作成していた時期があった。その企業（大部分が設立10年以内のベンチャー企業）に出向き、社長や技術担当役員と面談をするが、ほとんどの経営者はセキュリティを「装飾品」の一つとして扱っていたのが印象的であった。

　例えば、入退室管理は相当に厳しくしているし、監視カメラ（ダミーも多い）にIDカードや指紋認証と、いかにも「弊社はセキュリティが万全です」と金融機関に見せたい雰囲気がまん延している。そこを通ると会議室に通され、名刺に「工学博士」と印刷された方が、技術的な解説をされる。そこは企業秘密である場合がほとんどだが、さすがにその技術で企業が成り立っているという自負もあり、当人は熱弁をふるってくれる。

　筆者もそこは真剣に聞いているが、面談では同席している支店長向けに貸借対照表（B/S）や損益計算書（P/L）などを解説する場面もあり、その時に筆者は「トイレをお借りします」と断わってその企業の従業員の作業やデスクを見て回る。すると、セキュリティの視点から多くの問題点が浮かび上がってくる。

　例えば、従業員が席を離れたばかりのデスクを見ると、機能仕様書が放り出されていたり、PCの画面も作業途中のままだったりしている。周辺の従業員もその多くは中途採用されたばかりの人々なので、筆者が部外者だとは気が付かず、とがめる人はいない。デスクトップ上に重要と思われる名前のファイルが表示されたままで、誰でも簡単に開けてしまう状態である。ネットワークの構成を調査すると、サーバまで丸見え、共有フォルダでは管理者権限の設定すらない。その気になれば、近く特許申請をするであろう中核の技術情報まで簡単にコピーできるだろう。

　こうした企業に同情する面もある。ベンチャーでがんばっているので、ある程度は製品に関係の無い領域のことには手薄になるのだろう。だが、最低レベルのセキュリティくらいはきちんと確保してほしい。これは現在もそのまま言えることだが、セキュリティの脅威は10年前に比べると、もはや比較にならないほど巨大になっている。

　ここまで解説したのは、現在のベンチャー企業にもセキュリティの大切さを認識してほしいという気持ちもあるが、実は「日本人の本質」が情報セキュリティにとって問題になることを指摘したいためだ。仕事柄、筆者は外国人と接する機会も多く、そこで気が付くのは、日本人は「情報」という目に見えないものを軽視するという本質である。

　「情報」という極めて重要な商品について、日本の企業は「漏えいされているという事実すら知らない」ということが実は最も多い。しかも、こんなことがあった。ある中堅企業の社長（サラリーマン社長）にそのことを伝え、「監視に少しでも投資すべきだ」とご提案したら、「そんなことより、株主が気付かなければそのままでいい。来年で任期が切れるから、わざわざ自ら騒ぎ立てることもないだろう」というのだ。もはや、絶句するしかなかなかった。この経営者の意識が“例外中の例外”であることを願いたいものだ。もしこういう経営者ばかりなら、日本の技術は上場企業から中小零細企業までことごとく盗まれ、気が付いた時には既に手遅れになっている。こうなるのも時間の問題かもしれない。