PR

インターネットを舞台にしたテロ活動。企業や団体のインターネット関連システムに不正アクセスする行為全般を指す。具体的には、ホームページを書き換えたり、メールサーバーを不正利用して偽のメールを送信する行為や、社内のネットワークに侵入してデータを破壊・改ざんする行動などがサイバーテロである。

 インターネットの浸透は、企業にとって新たなビジネスチャンスを生み出すとともに、従来はなかった脅威を生み出すことになりました。インターネットに接続された企業はいずれも、「サイバーテロ」と呼ばれる新しいテロ活動の恐怖にさらされるようになったのです。

 サイバーテロには、さまざまな活動が含まれます。例えば、いまから約1年前の2000年1月に、政府関係のホームページが相次いで書き換えられるという事件が起こったことを覚えている方も多いでしょう。これもサイバーテロの一種です。このほか、インターネットから社内のネットワークに侵入してデータを破壊する活動、他人のメールを盗み読む行為、一度に大量のアクセスを実施してホームページを参照できなくする行為??このような行為全般がサイバーテロに含まれます。

◆脅威
テロを受けたという話だけでも信用低下へ

 サイバーテロを大きく分けると、(1)社内のネットワークへ侵入して破壊や窃盗を行う「不正侵入」、(2)他人の振りをして本来はアクセス権限がないシステム資源を利用する「成りすまし」、(3)インターネット上でやり取りされるデータを不正に参照する「盗聴」??の3つになります。

 これらの不正行為を受けた企業・団体には、膨大なコストの被害が発生する可能性があります。直接的な被害を受けるデータの破壊・改ざんや窃盗はもちろんのこと、偽りのメールによって、例えば商品を発注するといったケースでも大きな被害に発展するでしょう。このほか、サイバーテロを受けたという話が広がるだけでも、企業としての信用低下につながりかねません。

◆対策
セキュリティポリシーの作成が不可欠

 サイバーテロから自社を防衛するには、万全なセキュリティ対策が欠かせません。見つかった「穴」を場当たり的に防ぐのではなく、どのような資源に対してどのようなレベルの運用管理を実施するのかといった基本方針を決める必要があります。こうした方針は「セキュリティポリシー」と呼ばれます。セキュリティポリシーを作成しておかないと、必要以上のコストを投じることになったり、重大な欠陥を放置したままになるような事態が起こります。

 日本は欧米に比べて、セキュリティ対策の面で大きく後れをとっています。しかし、インターネットの世界では、国や地域といった壁は存在しないので、欧米並みに対策を強化する必要があります。このような状況のなかで、ようやく日本でも政府が重い腰を上げようとしています。政府が設置したIT戦略本部が2000年12月に「重要インフラのサイバーテロ対策に係る特別行動計画」を公表しました。このなかには、セキュリティポリシーのガイドラインも含まれています。企業のセキュリティ担当者は一度、目を通しておいたほうがよいでしょう。URLは、http://www.kantei.go.jp/jp/it/security/です。

吉川 和宏 kyoshika@nikkeibp.co.jp