リスクは「見えない」ことが一番怖い。これはシステムのセキュリティにも当てはまる。ここ最近、IT犯罪者は攻撃を見えにくくするための工夫を凝らしている。特にウイルスを使った攻撃はその傾向が強い。企業は気付かないうちに攻撃を受け、発覚したときには大事に至っている可能性がある。対策を取るには、敵であるIT犯罪者の最新動向を知ることが重要だ。
(白井 良)
本記事は日経コンピュータ7月7日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「Close UP」の全文をお読みいただける【無料】サンプル版を差し上げます。お申込みはこちらでお受けしています。
なお本号のご購入はバックナンバーをご利用ください。
「IT犯罪の『見えない化』が進んでいる」。セキュリティベンチャーであるフォティーンフォティ技術研究所の鵜飼裕司社長は指摘する。例えば、最近のウイルスは感染しているかどうかに気付きづらくなっているのだ。
実際、IPA(情報処理推進機構)が企業や個人から集めているウイルスの検出数は減り続け、2010年の検出数は2008年の5分の1の水準である(図)。「目立つこと」を目的にする愉快犯は減り、気付かれないように情報を盗み出すIT犯罪者が増えている。
この結果、セキュリティにかかわる不祥事が、大きな事件として明るみになる頻度は減少するかもしれない。それでも、企業を狙うIT犯罪者が減っているわけではない。突然、事件が顕在化し、甚大な被害を被るリスクはむしろ高まっている。
「セキュリティにおいて『見えない』『気付かない』ことは最も危険だ」。ラックの西本逸郎取締役常務執行役員は警告する。
被害の総額は見当も付かない
「見えない」ことの怖さを端的に表すのが、個人情報漏洩の金銭的なリスクだ。ここ最近の目立った例としては、2009年に起こったアリコジャパンの大規模なクレジットカード情報の漏洩がある。現在もまだ犯人逮捕には至っていないこの事件では、約3万人分の情報が流出した。
同社は漏洩被害者に1万円の商品券を、それ以外の顧客10万人に対しても3000円の商品券を送付した。直接的な謝罪だけで6億円以上を費やしたことになる。これだけでもかなりの損害だが「漏洩被害者が訴訟に踏み切ると、さらに高額の賠償金を支払わなければならなくなる可能性もあった」(ビジネスアシュアランスの山崎文明社長)という。
訴訟沙汰になった例としては、エステティックサロンのTBCが2002年に引き起こした個人情報漏洩事件がある。情報漏洩の被害者のうち14人が同社を訴え、東京高裁は2007年、13人に対して1人当たり3万5000円、1人に2万2000円の支払いを命じた。流出した情報に身体の悩みなどプライバシーにかかわるものを含んでいたことから、1万円を超える損害賠償命令につながった。
直接的な謝罪金や賠償金以外に、原因調査のための人件費なども無視できない。アリコの場合、個人情報漏洩事件によって、総額67億5700万円の特別損失を計上する羽目になった。
情報漏洩が企業の信用を傷つけ、間接的な損害を受けることもあるだろう。流出した情報が詐欺犯や窃盗犯の手に渡り、利用される場合も考えられる。
このように、セキュリティ事件の被害に遭った場合、その損害額は容易には想定できない。2010年以降、こうした状況に加えて「そもそも被害に遭ったかどうかが分かりにくい」という課題が上乗せされそうだ。セキュリティを取り巻く状況は、過去に経験したことのない“危険水域”に入っている。
続きは日経コンピュータ7月7日号をお読み下さい。この号のご購入はバックナンバーをご利用ください。
