今年で19年目となる夏の研究会旅行を8月初めに行った。場所は4年ぶりの松山である。いつも10人ほど参加するのだが、開催通知が直前になってしまったため筆者を含め5人となった。人数が少ないと密な交流が出来て、それはそれで楽しいことが分かった。

 目玉は松山城二の丸にある勝山亭で行った句会である(写真1)。櫟(くぬぎ)俳句会の杉山望先生が丁寧に指導してくれた。俳句以外にも、とても興味深い話を聞かせていただいたのだが、それについては最後に紹介する。

写真1●松山城で行った句会の様子
写真1●松山城で行った句会の様子
右から杉山先生、筆者、日野崇さん(元テレビ愛媛)、門屋宏尚さん(フィナンシャルプランナー)。撮影は吉田豊範さん(三菱電機情報ネットワーク)
[画像のクリックで拡大表示]

 さて、本論に入ろう。企業の経営者にとって、セキュリティ対策をどこまでやれば合格点なのかは重大な関心事である。先日、筆者のプロジェクトでセキュリティ対策の提案書のレビューを行った。筆者は冒頭でセキュリティ専門のSEに尋ねた。「この業態、この規模の会社だと、何をどこまでやって、費用はどの程度かければいいの?」。のっけから結論を聞いたのだ。

 SEによればセキュリティ対策として企業が採るべき施策は、経済産業省が2015年12月に公開した「サイバーセキュリティ経営ガイドライン」が参考になるという。

役に立たないガイドライン

 レビューの後、勉強のためにとガイドラインをダウンロードしてがっかりした。知りたいことが書いてないのである。経営者が認識すべき原則の一つに「経営者がリーダーシップを取れ」といったことが示されている。経営者がセキュリティ責任者に指示すべき重要10項目として、セキュリティポリシーの策定やCSIRTの整備、被害発覚後の対処への備えなどが挙げられている。抽象的で具体性がないため実行に結び付けにくい。

 致命的なのはサイバー攻撃を防ぐために何をやるべきか書いていないことだ。一般にサイバー攻撃は完全に防げないのだから、事故が起こった場合に迅速に対処し被害を最小限にすることが重要だと言われる。だが、もっと大事なのは「防げる攻撃は確実に防ぐこと」である。このガイドラインには防げる攻撃を防ぐために企業が使うべきセキュリティ製品やそのために必要な費用の目安が示されていない。

 2016年6月14日にジェイティービー(JTB)が公表した約793万人の個人情報流出の可能性がある事故は、防げる攻撃を防がなかった典型である。事故発生時点でセキュリティ対策の組織がなく、発覚後の社内・社外への対応のお粗末さもあった。しかし、それ以前に防ぐ対策をしていなかったのだ。

 JTBの事故からちょうど1年前、2015年6月に日本年金機構が標的型メールにより、約125万件の年金情報の流出事故を起こした。この事故を契機に個人情報を扱う企業では、未知のマルウエアを含む標的型メールを排除できるサンドボックスを備えたセキュリティ製品の導入が進んだ。だが、JTBではそのような製品を導入していなかった。日本年金機構の事故を他山の石としなかったのだ。

 JTBが被害を受けたマルウエアの一つはPlugXという遠隔操作型マルウエアの亜種であり、よく知られたマルウエアだそうだ。セキュリティベンダーは標的型メールに対応した製品を使っていれば防げた可能性が高いという。標的型メールを開いたオペレーターが責められるべきではなく、防ぐツールを備えなかった経営者が責められるべきなのだ。