日本年金機構の大規模な個人情報の漏洩事故は、サイバー攻撃の脅威を一般の人々に伝えてセキュリティの議論を喚起する上で、エポックメイキングな事件になった。8月下旬には内閣官房のサイバーセキュリティ戦略本部などによる調査報告書も公開され、事故の全貌が明らかになりつつある。この事件は今後のセキュリティ対策にどういう影響をもたらすか。セキュリティ技術の第一人者で、内閣官房で初代の情報セキュリティ補佐官を務めた、奈良先端科学技術大学院大学の山口英教授に話を聞いた(聞き手は山田 剛良=日経NETWORK編集長)

日本年金機構の事件で、標的型攻撃の恐ろしさがようやく一般企業などにも知れ渡ったように感じています。サイバー攻撃に対する今の国内の認識をどう見ておられますか?

 政府の責任者や企業の経営者の人たちが、セキュリティ事故のリスクに気付くのが遅すぎたと感じている。サイバー攻撃などで起こるセキュリティ事故はとっくの昔に、いつでも起こりえて、大きな被害を組織や企業にもたらす重大なリスクになっていた。彼らの多くはそれを見逃し続けていた。

写真1●奈良先端科学技術大学院大学 山口英教授
[画像のクリックで拡大表示]
写真1●奈良先端科学技術大学院大学 山口英教授

 年金機構の事件の約1年前にはベネッセコーポレーションの個人情報漏洩事故があった。ベネッセの組織的なセキュリティ対策自体は、年金機構よりはるかにちゃんとしていたけれども、その後の対応の失敗で被害が大きくなってしまった。

 そうなった理由は経営者が、セキュリティ事故を現実の危機と捉えておらず、準備を怠っていたからだ。今は、セキュリティ事故自体の発生を防ぐ準備だけでなく、事故発生を前提に、どう対応して被害の拡大を防ぐかといった事後対応の準備が大事。そのためには経営者の意識改革が必要になる。

 ベネッセはセキュリティ事故を未然に防ぐための対応はしていたが、事後処理に関しては適切な準備ができていなかった。だから経営者が、場当たり的な対応を繰り返し、むしろ被害者の怒りを買う結果を招いた。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。