日本を狙ったサイバー攻撃が急増している。2015年に発生した日本年金機構に対する標的型攻撃では、100万件超の個人情報が流出した。政府はサイバーセキュリティ戦略本部の創設やサイバーセキュリティ基本法の制定など、サイバーセキュリティの強化を急ぐが、「攻撃者優位」の現状は変わっていない。

 2016年10月19日、東京ビッグサイトで開催中の「ITpro EXPO 2016」(開催期間は2016年10月19日~10月21日)では、サイバー脅威に対して、企業が組織としてどのように立ち向かうべきかを考えるパネル討論「サイバー攻撃の脅威からの企業防衛を考える」が開かれた。

 パネリストとして登壇したのは、内閣官房の内閣サイバーセキュリティセンター(NISC)で副センター長を務める三角育生内閣審議官、サイバー攻撃者の「無力化」を目的とする産官学連携のサイバー犯罪対策組織である「日本サイバー犯罪対策センター(JC3)」の坂明理事だ。モデレータは、日経BPイノベーションICT研究所の井出一仁上席研究員が務めた。

内閣官房の内閣サイバーセキュリティセンター(NISC)で副センター長を務める三角育生内閣審議官
内閣官房の内閣サイバーセキュリティセンター(NISC)で副センター長を務める三角育生内閣審議官
[画像のクリックで拡大表示]

 三角氏は、日本年金機構での情報流出事案の際、対応の最前線に立った経験を持つ。日本年金機構における情報流出の直接原因は標的型攻撃であると指摘したうえで、根本原因を次のように話した。

 「流出した情報は、個人情報の保管が禁じられていた作業用のファイルサーバーに置かれていた。なぜ、そのようなことが起きたのか。それは、日本年金機構のシステムが使いにくく、現場が効率的に作業できなかったからだ。(ルールに反した)現場だけでなく、使いにくいシステムを提供していた年金機構側にも問題がある」。

 使いにくいシステムが現場でのルール違反を生み、それが情報流出につながる危険性をはらむことを強調した三角氏は、「企業において経営者は、現場が使いやすく、かつ堅牢なシステムを構築する責任がある」と指摘した。

日本サイバー犯罪対策センター(JC3)の坂明理事
日本サイバー犯罪対策センター(JC3)の坂明理事
[画像のクリックで拡大表示]

 坂氏も「標的型攻撃メールを開封した現場が悪いという考えは成り立たない」と同調。「2016年6月に発生したジェイティービー(JTB)の個人情報流出可能性事案の引き金になった標的型メールは、全日本空輸(ANA)グループ会社のメールアドレスを偽装していたといわれる。現在はターゲットを絞った用意周到な標的型攻撃が急増している。これを現場で食い止めるのは困難だ」と警鐘を鳴らした。

 両氏は「情報漏洩は経営上のダメージが大きい」と口をそろえる。三角氏は「経営者はセキュリティを維持するための対策費を『費用(コスト)』ではなく『投資の対象』と認識すべきだ」と話した。「顧客情報や機密情報を流出させてしまえば、企業の信用は失墜する。サイバー攻撃の脅威がビジネスに与えるインパクトを考え、対策を講じる必要がある」と続け、経営層の意識改革の必要性を強調した。