本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
今回は前編に引き続き、時代の流れとテクノロジーの進化とともに、2000年代以降のサイバーリスクがビジネスにとって持つ意味合いや、位置付けがどのように変化してきたのかを見ていく。
インターネットを経由したサイバーリスクの深刻化
2000年代に入り、eコマースをはじめとしたインタラクティブなウェブサイトの活用が一層進むと同時に、ウェブサイトから個人データや決済情報を窃取するサイバー攻撃が台頭している。単に、企業が対外的に発信したい情報だけが載っている静的なウェブサイトとは異なり、動的な機能やサービスを活用するスタイルが普及したことで、利用者登録や発注、取引などのために、個人データや決済情報が取得され始めたことが背景にある。
ビジネス上、顧客満足の向上や販売チャネルの拡大を可能にするITの仕組みが不可欠であるが、その仕組みを構成するウェブアプリケーションなどに脆弱性などのセキュリティ上の不備がある場合、悪意ある第三者が不正に利用者情報を取得することが可能なプラットフォームと化してしまうリスクを抱えてしまうようにもなった。このことは、一時的か中長期的かを問わず、ウェブサイトやウェブサービスなどの事業そのものの停止というビジネスリスクにつながる危険性を伴い、特にインターネットを主戦場とする企業にとっては死活問題である。しかし、闇市場でデータが売買され、さまざまな犯罪で悪用されるようになった近年と比較すると、2000年代初頭は、個人データを脅かすリスク自体がまだ低い上に、世の中の認知自体も低かったといえる。
同じ頃、インスタントメッセージやファイル共有など、従業員による利用が許可されているか否かにかかわらず、インターネットを経由するさまざまなアプリケーションが企業内でも利用されるようになった。結果的に、従業員の生産性低下からウイルス感染、情報漏えいなどのリスクとなり得る経路が増大し、アプリケーションやインターネット通信の制御に頭を悩ませた意思決定者やネットワーク管理者、端末管理者も多かったことだろう。特に、ファイル共有ソフトを介したサイバーリスクは世界的にも問題となり、国内では「暴露ウイルス」とも呼ばれる脅威によって、企業や官公庁・自治体の保有するさまざまな情報がインターネット経由で外部に流出する事態に陥った。
企業や個人の「信用」が悪用される時代に
2009年前後を境に、特に国内では、ビジネスにおいて情報発信に活用するウェブサイトを脅かす「ウェブ改ざん」のリスクが大きく変貌した。その一例が、「ガンブラー攻撃」とも呼ばれるサイバー攻撃である。
この脅威は、従来の主義主張を広く訴えること目的とする「ハクティビズム」とは異なり、正規のウェブサイトを悪用して、訪問者の利用端末をウイルスに感染させるなどの目的で、国内での被害が次々に拡大していった。当然ながら、自社の既存顧客や取引先、見込み客であろうサイト訪問者をサイバーリスクにさらしてしまう脅威である。企業のウェブサイトは、サイバー攻撃をより広範に成功させるための手段、犯罪の踏み台として、本格的にサイバー犯罪者に利用されるようになった。企業や団体が持つ「信用」がサイバー攻撃に悪用され始めた一つの大きな転換期ともいえる。
日本の多くの法人組織を震撼させたサイバーセキュリティの転換期は、間違いなく国益とも密接に関係する重要インフラ企業や官公庁自治体を中心に、さまざまな組織からの情報漏えいが発生した2011年と2015年だといえる。いずれの年も、標的型攻撃による企業や団体、官公庁・自治体からの情報漏えいが連日のように報道されたり、発表されたりした。
これらの事件によって、企業が所有する知的財産や利用される個人データ、官公庁・自治体が所有する政治的、地政学的な情報など、いわゆる情報資産が、悪意を持つ第三者にとっても価値が高いものとして、脅かされていることが広く認知された。情報資産が組織から目に見えない形で窃取されることにより、従業員や顧客、取引先が詐欺にあったり、産業スパイによって企業自身の市場競争力や収益の低下につながったりするなど、目に見えない形でさまざまなリスクにつながっていく。実在する組織や人物がメールでのなりすましに使われるなどの形で、ここでも「信用」がサイバー攻撃に悪用されることになる。
