本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
筆者は、サイバーセキュリティに従事する者として、これまでビジネスにおけるサイバーセキュリティの問題を広く訴求すべくさまざまな取り組みをしてきた。一昔前までは、サイバー攻撃による被害が新聞の一面を飾ることなど想像もできなかったが、近年は「サイバー攻撃によって顧客データが漏えい」といった報道が決して珍しいものではなくなった。
時代の流れとテクノロジーの進化とともに、サイバーリスクがビジネスにとって持つ意味合いや位置付けはどのように変化してきているのであろうか。全てのサイバーインシデントやリスクを網羅することは難しい上、海外と日本ではそのタイミングが必ずしも同時期ではないが、今回は、時代ごとの代表的な脅威を取り上げながら、サイバーリスクの変遷を見てみることにする。
広範に影響を及ぼすサイバーリスクが少なかった時代
筆者が今でいう「サイバーセキュリティ」の世界に足を踏み入れたのは、1990年代中頃のことであった。今となっては、日常的にビジネスにも個人でも利用するPCやインターネットが、世界中で本格的に広く普及し始めた時期と重なる。企業間や部門間でのコミュニケーション、データのやりとりにウェブやメールが活用され始めたが、依然として「フロッピーディスク」と呼ばれる記録媒体も使われていた。一度に処理できるデータ量は今では考えられないくらいに微量であったため、メールの送受信やウェブでのデータ転送も退社時に始めてPCを起動したままにし、翌朝の出社時までに終わっていればいいといった感覚で行っていた方々も多かったのではないだろうか。
この頃は、実に多種多様なネットワークや汎用コンピューター、PCが企業で活用されていたこともあり、インターネットの普及度合いや旧来の業務システムとの互換性の観点から、現実的に広範に脅威をもたらすサイバーリスクは、決して多くはなかった。企業内ネットワーク全体のサイバーリスクを考える上でも、自社や取引先といったIT環境を「信頼あるネットワーク」と定義し、それ以外の不明な環境を「信頼できないネットワーク」とし、大きく2つのグループに分けてセキュリティ対策を考えることが当時は一般的だった。
その一方、「感染」「増殖」といった生物学的ウイルスと同様の特性を持つことから、「コンピューターウイルス(以下、ウイルス)」と呼ばれる、いわゆる不正なプログラムが問題になり始める。しかし当時は、フロッピーディスクなどの記録媒体が主な感染経路だったため、企業間で被害が広範に及ぶことは比較的考えにくかった。この頃のウイルスは、Windowsの前身であるMS-DOS端末に感染して不快な絵を表示したり表示される文字を画面上で崩したりして、端末利用者の不快感や混乱を醸成するものやジョーク的なものが主流であった。業務データを使用不能にした上で、修復名目で高額の金銭を要求する「ランサムウェア」が近年問題になっているが、2019年はこの脅威が初めて登場してからちょうど30年目に当たる。当時は、フロッピーディスクに保存されたランサムウェアが郵送されるというもので、幸いにも広く影響を与えるリスクには程遠く、かつ極めて例外的な脅威だった。
