サイバー戦争の幕開け ! 第4篇
加盟店が直面するセキュリティ対策の難しさとは ?
殺到する4000件以上の問い合わせメールと、お客様からの無数の電話。これだけでもサウンドハウスの社員にとっては、想像を絶する精神的、肉体的負担となりました。昼夜を徹して皆でメールの返事を必死に書き、それを互いに校正して返信する作業を続けている内に、いつしか社内は異様な雰囲気に包まれ、体調を崩す社員が続出したのです。それでも、皆があきらめずに一致団結して、顧客対応に尽力することができたことに、スタッフの情熱と、結束力を感じずにはいられません。
個人情報の流出から得た教訓
連日、顧客対応に追われる中、痛切に感じたことはセキュリティ対策というものは決して他人に頼るものではなく、自己の責任においてまず、真剣に取り組まなければならない重要事項であるということです。自分が運営するサイトの防衛手段が堅固なものであることを自ら確認するということは、ごく当たり前のことのように聞こえますが、実際はそれが難しいのです。どうも日本人はセキュリティという生死をかけた重大な問題に対して甘えがあるようです。例えばセキュリティという言葉自体、その言語の意味を上手く表現できる日本語がありません。ごく一般的に「セキュリティ」は警備、安全、防衛、保安、等に訳されます。しかし安全はSafety、警備はGuard、防衛はDefenseという英語がありますから、およそセキュリティに直接該当する日本語は保安かもしれません。しかし日本語における保安とは、社会の秩序を維持する保安官のようなイメージが強く、自ら何かを守り、保つという考えには至らず、どちらかというと、他人任せの思いに終始してしまうように思えます。しかし、ここで言う「セキュリティ」とは、あらゆる権利や資産に対する総括的な安全対策です。そして企業においては自社システムを守るために、必要不可欠な対策を率先して導入し、それを能動的に講じてトラブルを未然に防ぐ、前向きな姿勢を意味します。つまりセキュリティ対策とは、本来決して人任せにせず、自らが深い関心をもって関わり続けなければならない大切な案件なのです。
この教訓を機に、セキュリティに対する認識を新たにしたサウンドハウスは、流出事件発覚から、ほんの僅かな期間に、業界でも最高のセキュリティレベルを誇る対策を実現することができました。例えば、ファイアウォールの大幅増設、IDS/IPS検知システムの導入、及び24時間体制でのアクセスログの監視、新サーバープラットホームの構築、WEBアプリケーション脆弱性詳細検証と不正プログラムの除去、パスワードの暗号化、入退室管理システムを含めた新サーバールームの設置とセキュリティ対策委員会の設置など、矢継ぎ早に対策を講じました。それと同時に、国内でも有数のセキュリティ企業であるラック社に高レベルの特殊業務を依頼することにより、格段にレベルの高いセキュリティ対策を短期間で実現することができました。
もう一つの大切な教訓は、未だに実現はできていませんが、被害を受けた企業同士が、お互いに情報交換をする必要があるということです。そしてどのような対策を講じたら、もっと効果的なセキュリティ対策を実現できるかということを、話し合うべきです。セキュリティ関連の課題は日々変化し、ハッカーの手口も進化しています。だからこそ、その脅威を受けた被害企業は、その実態をこれまでのように隠蔽するのではなく、むしろ包み隠さず公表して、他の企業と積極的に情報を交換しながら、今後の対策を協議し、社会に対して警告を発するべきです。
道路事情でも、交差点で事故が3度おきれば、事故の再発を防ぐために信号機が立てられると良く言われています。ところがサイバー社会においては、被害が報告されずに隠蔽される傾向がある為、同様の事故が継続して発生しています。ここは企業が勇気をもって事故の詳細を明言し、その結果、今後の事故を未然に回避することができればと願ってやみません。今回の一連の事件から、これらの教訓を得られたことは、大きなプラスであったと言えます。
セキュリティ対策のハードル
ところが、実際にセキュリティ対策を検討し始めると、そこには幾つもの障壁があることに気がつきます。まず、あまりにも高いコストです。セキュリティ対策は必須であっても予算には限りがあります。これまで実際に見聞してきた金額は、1000万円単位のものが複数あり、当初は驚きを隠せませんでした。また、セキュリティ対策については相場があるようで無く、数字そのものがどんぶり、つまり大雑把に見積もられている傾向が見受けられます。これでは一部優良企業でしか、そのサービスを活用することができません。セキュリティ対策が国内でもっと普及するためには、中小企業でも導入できるような安価なコスト設定をする事で敷居を低くし、利用者の裾野を広げていかなければなりません。
また、どのようなセキュリティ対策が必要か、という具体例が明文化されていないことも問題です。ソフトやハードウェアの導入やプログラムの検証だけに限らず、社内監査や、社内マニュアルの導入、社内研修なども含めた総合的な対策が必要ですが、どういう事業形態の企業が、最低限どのような対策をとるべきか、というガイドラインが存在しません。そのため、各企業がそれぞれ独自の判断でセキュリティ対策を実施しているのが現状です。これでは、一貫性がないだけでなく、基準に満たない脆弱性を抱えたままの企業が、狙い撃ちされてしまう結果となってしまいます。
アメリカではクレジットカード情報を保持する為に、クレジットカード業界が提言したPCIDSSという基準があり、クレジットカードを扱う大手企業の殆どが、この認証を受けています。また、クレジットカード会社も率先してその普及に努め、カードユーザーを犯罪から守る努力をしています。しかし日本では、そのPCIDSSの取得に掛かる費用が1000万円とも言われ、内容のハードルも大変高い為、クレジットカード会社も加盟店に対してその認証を求めることをためらってしまうようです。結果として、大半の加盟店は、当初から何らセキュリティ対策に関する基準を持ち合わせず、カードの取扱いを始めてしまいます。これでは、被害が増大しても、なんら不思議ではありません。
今後の課題を見据える!
総体的に見ると、やはりセキュリティ対策のハードルはかなり高く、そう簡単に普及できないのが現実です。その最たる原因は、前述した通り、被害の実態が公表されないため、周囲の企業が同じ落とし穴に何度も陥ってしまうことです。確かに、水面下に潜む膨大な事故の詳細を公表してしまったら、社会不安を煽ることになりかねません。しかし、サイバー犯罪を減らす為には有効な対策を打つ必要があり、その対策を打つ為には、事故情報が隠蔽されずに公開され、その情報の中から有効な手段をピンポイントで見極めることができれば、これまで後手に回っていた対策も、前進するはずです。
また、エンジニアが大変不足しているということも深刻な問題です。いざ、加盟店企業がセキュリティ対策を実施して、24時間監視をコアとした新体制を構築しようとしたとしても、実際には十分なサービスを提供できるセキュリティ会社が少ないのです。その上、セキュリティ対策を熟知しているエンジニアの絶対数が未だに少ないという現実問題があります。その為、時間をかけてまずエンジニアを育成する、というステップを踏まずしては、委託先が見つからないという問題が生じるでしょう。
本来ならばこれらの問題を解決するための一石を投じるために、各種産業団体が影響力をもって機能しているはずです。例えば日本クレジット産業協会は、クレジットカード犯罪未然防止対策などの産業基盤整備に関する研究を推進することを、目標の一つとして掲げています。クレジットカード会社の殆どがメンバーとなっているこの社団法人は、経産省商務情報製作局取引信用課の管轄下におかれており、重要な存在です。またJIPDEC(日本情報処理開発協会)と呼ばれる財団法人もあり、こちらはISMSと呼ばれる認証基準や、Pマークとも呼ばれるプライバシーマークに重点を置いて、企業が内部監査体制を整備し、個人情報がきちんと管理されるように改善していくことを目指しています。そしてIPA(情報処理推進機構)という独立行政法人は、誰もが安心してITを利用できる経済社会を目指した未然防御策等を提供するために存在します。しかし現実には、サイバー犯罪の未然防御策の普及は全く推進されていないと言わざるを得ず、結論として、これまではあまり功を奏さなかったのです。
サイバー戦争に打ち勝つために
サイバー戦争とは実戦装備を不可欠とする、本当の意味での戦争です。今や、連日のように多くの日本企業が国際サイバーテロ組織の餌食となって狙撃され(SQLインジェクション)、血を流し(情報の流出)、犠牲になっています(余儀なく廃業)。この戦争に打ち勝つためには、隠蔽体質と相互間の慣れ合いの体質に浸ってしまっている現状を打破して、お互いが情報を提供しあいながら、有効な対策をタイムリーに講じていくことが不可欠です。その為にも、まず、正直にありのままを語っても恥ずかしくない、損をしない、バッシングされない、守られた対話の場所を設けるべきでしょう。そして真実を語ることがむしろ、褒められるような環境を作ることです。その上で、企業レベルにおいては社内管理体制を強化し、ハッキング攻撃に立ち向かうための防衛対策を実装するという観点から、海外で主流となっているPCIDSSに準じた対策を実現することも大切です。サイバー戦争に勝つためには、PCIDSSのような実践的な対策基準の導入が不可欠なのです。
サイバー戦争の現実は、正にジャングルでの抗争であり、勝利する道程は長く、まだまだ険しいです。この戦いに勝つためには、敵が一致団結して攻撃してくる以上に、企業同士がまず、国益と市民全般の利益を考えて、惜しむことなく協力することに徹し、一緒に戦おう、という強い意識が芽生えることが大事です。このような献身的な思いと団結心を持って立ち上がる企業が現れない限り、私たちのサイバー社会は、世界中から標的にされ続けるのです。
(文・中島尚彦)
