バランスが重要な情報セキュリティ対策

インターネットが発展して以来、世の中は計り知れないほど便利になった。出張のプランを立てるにも、インターネットの時刻表で都合のよい飛行機や列車を見つけて予約し、自分にあった宿も見つけて予約する。何かの調べ物をするにも、キーワードでサーチをかければ情報は瞬時にして得られる。図書館で時間をかけて調べ物をする、ということが随分少なくなった。情報がありすぎて逆に困る、情報の信頼性に不安があるなど、別の問題が起こっているということはあるが、情報を見つけるのに、これほど便利な世の中は、いままでになかっただろう。

しかし、この世の中を便利にしたインターネットを使うために、気をつけなければならないのがセキュリティだ。昔は、コンピューター・ウィルスなどを作る人たちも、単にいたずら心で他人を困らせたり、自分の持っている技術を誇示するために、他人のコンピューターに侵入したり、ウェブサイトを書き換えたりしていたが、今は違う。今の情報セキュリティ問題は、そのほとんどが、お金目当てに行われている、れっきとした犯罪だ。

だから、政府も、企業も、個人ユーザーも、自分の資産を守るために、情報セキュリティの知識を持ち、しかるべき対応をしておかなければならない。これは、インターネットを使う最低限の条件となっている。インターネットを使わなくても、機密情報をパソコンなどに入れていた場合、そのパソコンが盗まれたり、置き忘れられたりしたら、その情報が誰の手に渡るかわからない。

このため、インターネットに接続して使用するパソコン等には、アンチウィルス、アンチスパイウェアをはじめ、いろいろなツールを入れて、防御する。また、これらのツールのファイルは、常に最新の状態にしておかないと、新しく発見されたウィルスやスパイウェアに対応できないので、注意しなければならない。

近年は、フィッシングという手法で、例えば、あたかも大手銀行からのEメールかのように見せかけて、個人情報を盗もうとするような動きもさかんで、インターネットを使う場合は、たとえEメールやウェブサイトを検索するだけでも、十分な注意が必要だ。

企業においては、さらにファイヤーウォール、侵入検知/防止、など、さまざまなツールや外部サービスを活用して、情報セキュリティ対策に努めている。そして、技術的なツールやサービスだけでなく、セキュリティは「人」の問題、という部分も大きいので、情報セキュリティ・ポリシーの確立と、その実践が重要だ。また、Windows OSなどのソフトウェアのセキュリティ・ホール(脆弱性)が見つかった場合は、急いでそのパッチ(修正)を当てる必要がある。例えば、Microsoftが毎月第二火曜日に出すパッチのどれを企業内のパソコンに、いつ当てるか、というのは、企業内で情報セキュリティに責任を持つ人間としては、頭の痛い問題だ。

インターネットを使ったり、パソコンに機密情報等を入れる場合に、情報セキュリティに細心の注意をはらうことは重要だが、しかし、情報を取られる心配があるからといって、究極のセキュリティである、パソコンを使わない、インターネットを使わない、ということにはならないだろう。パソコンの便利さ、インターネットの便利さを考えると、とてもそれなしでは、もはや仕事ができないし、生活も不便になってしまうからだ。ただ、パソコンやインターネットを使う以上、100%のセキュリティというものは、基本的にあり得ないということも、理解しておく必要がある。

日本では、数年前に施行された個人情報保護法のため、企業が個人情報保護に過敏になり、その面での情報セキュリティを厳しくし過ぎて、業務活動に支障をきたしている場合も出ているようだ。今までの日本は、情報セキュリティに無頓着な傾向が強かったので、そんな状態よりは、よほどましだが、業務に支障をきたすほどになっては、やはり大きな問題と言える。

例えば、パソコンが万一盗まれても、その中の情報が取られないように暗号化しておく、というのは適切なやり方だが、それでも暗号解読キーが見つけられたら結局その情報は盗まれてしまうから、情報を暗号化しただけでもだめで、テレビや映画でおなじみの「スパイ大作戦(Mission Impossible)」のように、機密情報を含むパソコンが盗まれたとわかったら、煙を出しながら情報が完全に消えてしまうようにしてほしい(煙は出なくてもいいのかもしれないが)などというのは、少々行き過ぎではないだろうか。このようなことを、実際に日本のある会社の人が言ったというが、本当にそのようなことが必要かどうか、考える必要がある。

そもそも、パソコンが盗まれたとわかったとして、その時点で情報をすべて消すことができたとしても、その前に犯人が情報を盗み出す可能性は十分あり、それを防ぐことはできない。また、仮にパスワードを間違えたら自動的に情報を消す、ということも技術的には可能だろうが、それでは、本当のユーザーがうっかりパスワードを間違えてしまった場合、情報が消えてしまうことになり、これまた大変な不便をきたすことになってしまう。

もちろん国家機密のようなものであれば、特別な対策を講じる必要がある。しかし、情報セキュリティは、厳しくすればするほど費用もかかり、本来の仕事がやり難くなり、情報セキュリティを厳しくし過ぎると、ルールを守らない、あるいは抜け道を見つける人が出てくる場合もある。したがって、あくまでその情報を失った場合にどれだけの損失があるか、また、その情報が意図的に盗まれる可能性がどれくらいあるか、を考えた上で、それに見合ったバランスのとれた情報セキュリティ対策を考えることが重要だ。誰しも自分の家に泥棒に入ってほしくはないが、だからと言って、何百万円もかかるようなセキュリティ・システムを設置し、鍵を4重、5重にかける必要がある人は、ごく一部のお金持ちを除いて、殆どいないだろう。それと全く同じである。

情報セキュリティ対策は、守るべき情報の価値と、それを守るためにかける情報セキュリティ・コスト、さらには、その対策をとることによる不便さなどのバランスを総合的に考えて対応する必要がある。情報セキュリティで遅れていた日本が、個人情報保護法を契機に、個人情報保護に関して、やや過剰反応しているのに対し、情報セキュリティで先進的な米国では、バランス感覚をもった現実的な対応をしている。情報セキュリティにおける先進的な技術だけでなく、このバランス感覚も、米国に学ぶところは多い。

  黒田 豊

(2008年5月)

ご感想をお待ちしています。送り先はここ

戻る