「情報セキュリティーの話はうんざり」。表立っては誰も言わないものの、これが多くの経営者の本音である。とかく後ろ向きの施策とみなされがちな情報セキュリティー対策を企業経営の中にどう位置づけていくべきか。デジタル・フォレンジック研究会の向井徹理事に寄稿してもらった。

 「結局、君たちは新しい英単語を並べ立てて、我々経営者を脅かしているだけではないのかね」

 ある大企業の経営トップを訪問し、情報セキュリティーの1テーマであるデジタル・フォレンジックについて説明しようとした時、こう言われてしまった。何度かお目にかかっている方だけに、あえて本音をおっしゃったと理解している。

 筆者は、NPO(特定非営利活動法人)であるデジタル・フォレンジック研究会の理事を務めており、デジタル・フォレンジックの経営に与える意味を経営者の方々に説明しようと試みているが、なかなか難しい。経営者が情報セキュリティーに関心がないわけではない。むしろ、関心を持ち過ぎたためか、いささかうっとうしく思っている、というのが実情と言える。

 情報のセキュリティーの話はもううんざり。分かりにくいし、対策にかなりの費用がかかる。しかもせっかく対策を講じたにもかかわらず、現場は「使いにくい」「面倒だ」と不平を言ってくる…。表立っては言えないものの、これが大方の経営トップの感想と思われる。さらに言えば、現場の社員の間においても、セキュリティーに関する“うんざり感”がある。

規制だらけのパソコンに疑問

 情報セキュリティーに対する経営トップや社員の不快感を決定的なものにしたのは、やはり、個人情報保護対策であろう。管理措置として、オフィスで使用するパソコンの機能を大幅に制限する企業が少なからずある。まず手元のパソコンから、検索できる先が制限される。内部の個人情報を保護するために、社員の個人認証や個人情報データの参照は、厳重に管理する必要がある。

 その一方で、パソコン本体の機能制限、携帯に便利な記憶装置「USBメモリー」の全面使用禁止、さらにインターネットのWebサイトの閲覧禁止や電子メールの内容確認など、様々な対策が講じられている。これらの機能をパソコンに実装するために、パソコンに専用のソフトを入れなければならない。例えば、USBメモリーを使えなくするソフト、電子メールの転送を制限するソフト、Webサイト上のデータを切り取れないようにするソフト、といった具合である。

 ソフトを入れるのは面倒だということで、通常のパソコンではない「シンクライアント」を利用すべきという声もある。シンクライアントは、パソコン上にソフトをほとんど搭載せず、データを持ち出す機器も接続できない端末である。

過剰防衛もまずいが無防備もまずい

 当然のことだが、こうした対策にはすべてカネがかかる。コストをかけて、豊富なパソコンの機能を一生懸命殺すわけである。当然のように「個人情報の保護は重要だろうが、いくら何でも対策が過剰なのでは」という反発が出る。もちろん、組織の事情やセキュリティー管理ポリシーによって管理方針はそれぞれ異なり、一概には語れない。どの企業もこうすべし、という画一的な対策があるわけではない。しかも列挙した対策は皆、情報漏洩に関してそれなりの効果がある。

 ただし、個人情報保護すなわちパソコンの利用制限と考えるのは、いささか短絡的ではないだろうか。長年にわたって進化してきたパソコンは、企業活動におけるオフィスワーカーの生産性を向上させる強力なツールとなり、その使いこなしが企業間競争の要になっている。パソコンの機能を大幅に制限することになると、本来の目的を失いかねない。

 といって、無防備のままでは許されない。結局、無防備の状態が生むリスクをできるだけ軽減する、しかも利用者の利便性を損なわない形でセキュリティーを改善する、という二兎を追う必要がある。

フォレンジックとは何か

 さらに厄介なことに、情報を安全に守るだけではなく、「ちゃんと守っている」ことを証明しなければならない時がある。また英単語を持ち出してしまうが、フォレンジック(Forensic)というキーワードを紹介したいので、しばしおつき合いいただきたい。

 ある企業に、顧客から「私の個人情報が流出しているようだ」とクレームの電話があったとする。その際に、自社の情報システムから顧客情報が漏洩した可能性を調査するための技術や一連の手法が必要になる。これがフォレンジックである。

 また、例えば行政に対して、「公共事業の発注に公平性を欠く疑惑がある」と住民が訴訟を起こしたとする。このような場合、米国の法廷は、関係職員の電子メールやパソコン本体を証拠物として提出させる。ここで客観的な証拠を取り揃えるために、デジタルデータを科学的に調査・解析する技術が必要になる。これもフォレンジックである。

個人情報漏洩事故がきっかけに

 もともと、フォレンジックとは「法廷」や「討論」などを意味し、欧米では「Forensic Analysis(裁判分析)」「Forensic Science(科学捜査法)」といった形で認知された言葉である。現在では、「電磁的な証拠に関する科学的な捜査手法・技術」を「デジタル・フォレンジック」と称している。

 米国では、犯罪捜査の分野だけではなく、法的紛争の際にデジタルデータを基にフォレンジックの視点で討論することが常識になってきている。相手側から訴訟された場合は、電子メールの履歴やパソコンの提出を求められる。論理的かつ科学的な根拠がないままに、提出要求を拒否することはできない。

 法廷では陪審員に技術的な内容を分りやすくプレゼンテーションすることも重要になり、専門能力を持つ技術者が活躍している。このような背景から、いくつかの大学ではフォレンジック・サイエンスのコースを設けて技術者の養成と教育を進めている。

 日本でもかなり前から言葉は上陸していたが、これまであまり関心が持たれなかった。その理由は簡単で「特に必要がなかった」のである。しかし、ここに来て事情が変わってきている。ネット犯罪やハイテク機器を使用した犯罪増加も関係しているだろうが、やはり「個人情報漏洩事件」の頻発による影響が大きいと考えられる。

 デジタルデータの形で重要情報が流出した場合、「外部からの不正なコンピューターアクセスか?」、はたまた、内部の関係者が「電子メールにファイルを添付して外部へ送信したのか?」「ノートパソコンやUSBメモリーなどで持ち出したのか?」といったように、事故原因を調べ、犯人を特定し、デジタルデータの形態をとる証拠を見つけ出す必要がある。

 実際の事件・事故の例では、事故原因や流出経路が不明というケースが少なからずある。不正行為の痕跡や証拠を見つけることができない場合、顧客や関係先に対する説明責任を果たせないばかりか、どのような「再発防止対策」を行うべきか、的確な判断が難しくなる。これはまずい。つまり、無防備のリスクを減らし、利用者の利便性を維持し、そしていざという時は証拠を出せるようにする必要がある。実に難題である。ではどうしたらよいだろうか。