三菱重工業、トヨタ自動車、ソニー、ＮＴＴコミュニケーションズなど日本の有力企業がサイバー攻撃にあっていることが次々に確認され、情報流出が起きたことはたびたび報道されている。こうしたサイバー攻撃事件についての情報集積と防衛対策の相談に乗り、攻撃元の国などが推定されれば交渉の窓口にもなってくれる機関としてＪＰＣＥＲＴコーディネーションセンターがある。このＪＰＣＥＲＴに報告されるインシデント（攻撃事象）の数は年々増加の一途である。

情報流出する情報の中には、顧客や社員などの大量の個人情報が含まれ個人情報保護にとっても、サイバー攻撃は十分な関心を持って見守らなければならないものであるが、多くの企業の情報システムを預かる専門の大手コンピューター企業やＩＴサービス会社の被害件数を聞くと驚かされる。全世界にグローバル拠点を設けるある企業の経営トップからは、2012年段階で、１日に受けるサイバー攻撃の数が平均で1200万件を超えると聞いた。年間でも月間でもない。1日の平均である。3月の報道では、グローバルに情報拠点を展開する日本の有力コンピューター企業では、1日平均で数億回の攻撃を受けている、と発表している。

2012年に開催されたロンドンオリンピックでは、期間中に延べ2億件を上回るサイバー攻撃が行われたと言われる。これは北京オリンピックの時の3倍らしい。次回リオデジャネイロ五輪、東京五輪と3倍ずつ増えると東京五輪では200億回ものサイバー攻撃を覚悟しなければならないかもしれない。

もちろん、これは攻撃を受けた証拠があるということで、そのほとんどは防御システムや防御ソフトによってシステム内部への侵入を防いでいる。その中でも、防ぎきれずに侵入した後、被害が広がらないうちに対策を講じたものは、上記の経営トップの話では、1日平均で7件以上はある、ということである。ここはシステムを監視し、防御サービスを外部に提供している会社なので数字が分かる。十分に管理が行き届き、攻撃を受けている状況、防御の状況、侵入を防ぎきれずに非常事態になった状況などをきっちり把握している。

しかし、こういう攻撃を受けていることを把握している会社は優秀で、例外である。
実態は悲惨である。まだ、日本の有力企業ですら、サイバー攻撃の状況を管理していないところが圧倒的に多い。管理していない会社では、システムに侵入され、重要情報が盗まれている可能性があるが、まずいことに、これらの会社では盗まれた、ということにも気が付かない状況だろう。どこにアクセスされ、どの情報が盗まれたか。モノならば盗まれるとなくなってしまうので、数を数えれば被害の有無が分かる。しかし、情報はコピーして流出しても、原本が残っているので気づかないケースがほとんどである。

サイバー攻撃の監視、管理システムのサービスを受けていなければ、被害があったどうかも分からない。調査にかかるお金を惜しんでいるため、被害実態を知り、その責任を追及されるのがもっと恐ろしい、と、「見て見ぬふり」をする情報システム担当者も多いと言われる。

経営トップもその重大なリスクを認識していないので、前向きでないセキュリティ分野への投資を惜しんでいる。どうやって、経営トップ層にこの危険な実態を認識してもらうのか。その打開策に政府も頭をひねってきた。

企業の内部統制、コンプライアンスで迫る、というのが、政府の情報セキュリティ政策会議の妙案である。「情報セキュリティ法案」などでサイバー攻撃から情報システムを守れない企業に罰則を与える制度を新設するなどの提案もあったが、罰則を盛り込む法案を創設するのは立法的にはなかなか大変らしい。それよりも金融商品取引法の中の内部統制義務の中に差し込むのが立法的には容易だという判断だろう。それもただちに義務として取り込むのではなく、まずは推奨策として、その後に義務化する、という手順かもしれない。
企業を狙うサイバー攻撃は今後、ますます激烈になることが予想される。早く手を打たなければならい。


【筆者＝JAPiCO理事長　中島洋】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization