サイバー攻撃に遭わない会社は価値がない？ セキュリティを真剣に考えてほしい理由：ハギーのデジタル道しるべ（2/3 ページ）

[萩原栄幸，ITmedia]

「モノありき」の感性

　日本人が持つさまざまな感性は、とてもすばらしいものだと思う。しかし、中には「まずい」と思うものがある。その1つが、有体物を最優先にする感性だ。

　日本人は「情報」のような無体物に対する感性がとても低い。今まで日本には「情報窃盗罪」という概念がなく、裁判でも「会社所有のUSBメモリを盗んだ」という有体物の窃盗を切り口に展開している有様である。最近は民法などの改正によって、一部条件付で情報窃盗が成立するケースはあるものの、米国のように裁判の証拠物件として、フォレンジックによる完全複製物（ハッシュ値が完全に一致する）といった観点から無体物が有体物と同等であると認められることはほとんどない。

　かつて銀行員だった頃、ある海外の現地スタッフに「我が国では紙切れ1枚、100文字にも満たない情報を守るために100億円でも投入するが、日本人はその感性が希薄だ」といわれたことがあった。筆者も30年以上の経験からそう感じる。

　いまもこうした感性を持ち続けていることによって、現在のさまざまなサイバー犯罪に対して自社に直撃しない限りは他人事であり、まるで絵本の中の出来事として考えている経営者が多い。だからサイバー犯罪に対抗できる有能な技術者を育てようとしないし、技術者が苦労して順調にインターネットを利用できる環境を整備しても、経営者は「それは当たり前」としか考えない。

　ついには、「情報セキュリティ技術者に金を出すのはもったいない。作業が見えないし、サボっているのかも分からない」と言い出す。真剣に作業をしている大多数の技術者は、「もう、ここにはいたくない。自分を評価してくれる場所に移りたい」と考えてしまう。

　あまり言いたくはないが、多くの技術者は自らの技術を「所詮は仕事の1つ」として提供しているに過ぎない。しかし、犯罪や攻撃を仕掛ける側は違う。彼らは、数学者などのドクター修了者を多数雇用し、多額の報酬（一説には1500万〜4000万円ほど）を支払う。雇用された技術者はもし成果がなければ数日で解雇されるか、場合によっては機関銃を構えた組織に監視され、それこそ生死を賭けて作業しているともいわれる。これでは、狙われる側がかなう訳がない。

　それにも関わらず、狙われる側の対策にも何かズレた感性がみられる。例えば、標的型攻撃の訓練で「怪しいメールの見分け方」がもてはやされることだ。一部では、「能天気なの？　見分け方なんて周知させたら、機密情報を盗む技術者は別な方法で仕掛けるだけだよ」といった陰口すらささやかれている。

　“怪しいメール”のほとんどはジャンクメールであり、それは10万通に1通でも引っかかる「お客様」がいればペイするアダルト系ばかり。最近実際に遭遇した標的型攻撃に使われるメールメールをみても、職員が見て気が付くことはまず不可能だと感じる。数ある対策方法の最後の砦として人間に委ねざるを得ないなら理解できるが、技術的対策だけも有効性の高い方法は他にいくらでもあるのに、なぜか対策を提案する側も、実施する側も「怪しいメールが来たら」というシナリオから始めてしまう。

　現在はこれらが複雑に絡み合い、「形式上はきちんとガードしています」「監督官庁の○○ガイドラインの通り実施しています」という建前だけが闊歩（かっぽ）している。そして、スキルの低い技術者でも、独学で相当な高いスキルを持っている技術者も同じように評価されてしまっているのではないだろうか。

　そのため被害に遭った企業で「怪しい」と気が付くのは、ネットワーク技術者でも情報セキュリティ技術者でもなく、経営者が多いと聞く。外部セミナーなどを聞いた経営者が、「うちは大丈夫か？　きな臭い感じがする」といって外部の専門会社に調査させると、まず間違いなくサイバー攻撃に遭っているか、攻撃のためのバックドアが仕掛けられていたか、もしくは内部犯罪者がいた痕跡が見つかるという。

“建前”でセキュリティ対策をしても実態は？（画像はイメージです）