将来、データを“売り渡す”可能性があるDB管理者の割合“10%”の衝撃
ラック チーフエバンジェリスト 兼 担当部長 川口洋氏
ZDNet Japan 副編集長 田中好伸
企業が大規模な情報漏えい事故を起こしたり、サイバー攻撃に遭うなどの事件が後を絶たない。ここまでは標的型攻撃※など、外部に起因するリスクへの備えが論議の中心だったが、2014年以降は「従業員の過失」「悪意の内部者」といった内在するリスクが、懸念事項として改めて意識された。IT側の問題だけにとどまらず、企業としてガバナンスをどのように効かせ、かつテクノロジーと同調して情報を守るべきか--。その方策を皆が再検討せざるを得ない状況が現れたのである。そこで本稿は、セキュリティ対策を手がける株式会社ラックのチーフエバンジェリスト・川口洋氏と、ZDNet Japan 副編集長の田中好伸が対談。現状を整理しつつ、企業が取り得る現実解を探った。
※不特定多数ではなく、攻撃者が入手したい情報を持つ「特定少数」を狙い撃ちするサイバー攻撃
川口氏は、ラックが運営するネットワーク監視サービスであるJSOC(ジェイソック:Japan Security Operation Center)に十余年にわたり従事してきた経歴を持つ。監視活動の現場から契約企業に対するコンサルティングまで幅広い経験領域を持ち、現在はITインフラへのリスクに関する情報提供、啓発活動も行っている。この分野の「第一人者」ともいえる存在だ。
「日本だからこそ情報が守られている」という状況を意識していない
田中この1年で企業を狙うサイバー犯罪がさらに増加していますが、ターゲットを含めて印象に残っていることはありますか?
ラック チーフエバンジェリスト 兼 担当部長
川口洋氏
川口一般的には大手教育サービスの事件が注目を集めていますが、実はそれだけではない。あまり報道されていない、報道されているけれど皆さんが気にしていない、といった事件にも非常に深刻なものが多いのが気になります。例えば、報道によると総合金融サービス企業の米J.P. Morganは、昨年末に8300万件もの情報漏えいを起こしています。
こうしたなか発表された「日本のDB管理者1000名に対するアンケート結果」は衝撃的でした。データベース・セキュリティ・コンソーシアム(DBSC)が2014年に発表したものですが、その中に「いま自分が関わっている情報を将来的に売るかもしれないと思いますか?」という設問がありまして、その回答をみると、「売ると思う」が3%、「少し思う」が7%もいるわけです。あわせて10%の管理者は、状況しだいでは情報を売ってしまうかも、そんなマインドを持っている。一般的に「真面目」とされる日本人の10%、ですからね。
田中なら海外はどうなんだ、と。
川口そういう話です。日本人もしくは日本企業的な感覚では、仕事で得た情報は会社のものと認識しており、それを他社に持って行くのはタブーといえます。そんな日本でも稀に盗用した情報で新規事業を立ち上げて問題になった事件があるくらいですから、海外ならそれでは済みません。自分が営業で集めたデータは自分のもの、と思っている文化圏もある。日本で情報がある程度守られている企業でも、国民性や文化圏が違う場所では、そのまま日本の常識を通用させるのは難しいでしょう。
最低限の備えとして求められるログの取得
田中企業はセキュリティレベルを上げればそれだけ予算がかかりますし、運用も複雑化します。IT部門の上層部は経営者層に対して、実際に行えるセキュリティ対策以上の部分が常にリスクとして存在することを理解してもらうしかないのでしょうか。
川口少なくともログだけは、しっかりと取得・分析するべきだと思います。しかし現実的には、そこまで余裕のある企業はほとんどありません。予算も時間も人材も足りませんから、本当に対応できるのは金融機関と一部の意識の高い企業くらいでしょう。それでも最低限の備えとして、ログの取得はお願いしたいところです。
田中内部・外部の犯行かは別として、被害に遭っていることを検知できないのは最悪のパターンですね。
川口最近は表面化していなくても、そのような案件が非常に増えています。たとえばウェブサイトの改ざんが見つかれば企業に連絡しますが、いざ調べて見るとウイルス配布などの踏み台にされていた証拠がどっさり出てくる、といったケースが多くなっています。ですが残念な現実として、外部の組織から連絡が届いたにも関わらず、謝罪どころか調査すら行っていない企業も、かなりの数に上ります。