本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
世界中には、ウェブサービスを運営している事業者が数多く存在する。企業や学校などのように所属先で必ず利用しなければならないもの、InstagramやFacebookなどのSNSに毎日のように利用するサービスだけでも、片手に収まることの方が少ないだろう。さらに、旅行や宿泊施設の予約サイトなど月に数回、場合によっては年に1回使うかどうかというサービスも少なくない。登録しているメールアドレスに時折メールが届き、「このサービスにも加入していたのか!」と気づくことも珍しくないだろう。
今回は、このようなウェブサイトの利用とそれによって発生するパスワードの使い回しがどのようなリスクを生むことになるかを述べていきたい。
情報漏えいについて
つい先日、大規模の個人情報の漏えい事件がメディアをにぎわせたが、個人情報の漏えい事件などは、よほど大規模なものや政府が管理するような国民生活に重大な影響が出るような事件でないと、一般のニュースでは報道すらされなくなってきている。
その理由は非常に単純だ。個人情報の漏えいが高頻度に発生するので、ニュース性が無くなっているからである。一般の人に「サイバー攻撃の脅威」などと言っても、感覚的にはハリウッド映画のように、人間が宇宙人やゾンビなどに襲われるようなストーリーのものと本質的にあまり変わらないのだろう。しかしながら現実は、ニュースにもならないほど数多くの情報漏えい事件が発生している。
情報漏えいとインシデント件数の推移(出典:日本ネットワーク・セキュリティ協会、「2017年 情報セキュリティインシデントに関する調査報告書」)
上図は、日本ネットワーク・セキュリティ協会(JNSA)の調査結果(レポートPDF)を時系列で示したものだ。これによると、情報漏えいの原因は「誤操作」「紛失・置き忘れ」などで半数近くを占め、外部からの不正アクセスは17.4%に過ぎないという。しかし、上記の統計グラフでは、国内の情報漏えいの被害人数は過去10年の累計では1億人を大きく超えている状況だ。
この被害者は、ある程度の割合で重複すると思われる。その漏えいリストの名寄せは現実問題として難しく、その実態がどうなのかは何とも言えない部分も多いが、考えようによっては、「日本国民のほとんどの個人情報が何らかの形で漏えいしている」という予測もあながち的外れとは言えないだろう。
筆者自身も年間数百枚の名刺(という個人情報)をばらまいている。その相手の管理が厳重かどうかを都度確認して渡しているわけではないので、漏えいされた個人情報のどこかに筆者の名前が確実に存在すると思って良いだろう。さらに、検索サイトで筆者の名前を検索すれば、過去の執筆記事や講演、説明した資料はもちろん、プロフィールなどの情報も嫌というほど出てくる。SNSなどでは、ほとんどフリー素材のように扱われることも少なくない。
そのような状況なので、いまさら筆者個人の情報漏えいは全く気にしない。そもそも、実害と言えば見知らぬ企業からダイレクトメールが送られてくる程度であり、憂慮するようなことではないのかもしれない。
