誰が、機密データや顧客の個人情報を保護する責任を持つのか。2014年2月に横浜銀行で発覚したカード偽造事件は、そのことを全ての企業に問う大事件だった(関連記事:今度は横浜銀行でカード偽造事件、問われる多重委託下の運用・管理体制)。
「社内ネットワークの中は安全」「我が社の社員は内部犯行など起こさない」――。こうした根拠のない信頼は、世界で多発するセキュリティ事件をみれば、根本から見直す必要があるのは明らかだ(図1)。日本マイクロソフトでチーフセキュリティアドバイザーを務める高橋正和氏は「古い業務システムには、社員や社内ネットを過度に信頼し、秘密情報のマスク処理やパスワードポリシー設定などの基本を守っていない仕様のものが多くある」と警鐘を鳴らす。
標的型攻撃という言葉もなかった牧歌的な時代に、社内外の狡猾な敵を想定せずにセキュリティ仕様を決めた情報システムの負の遺産「セキュリティレガシー」が今、企業を危険にさらしている(図2)。