頻発するネット情報流出、あなたは大丈夫? 2014年は臨界点を超えた年だった
これだけのデータ量をインターネット回線経由で抜き出すには、転送時間だけでも相当な長さとなることが想像される。ここまで大量のデータが継続的にインターネットに送信されていれば、どんなに脆弱なシステムであったとしても気づいたはず……ということで、情報が流出発覚直後には、ソニー・ピクチャーズに対する批判も集まっていた。しかし、よく考えて欲しい。彼らが特別にセキュリティの甘い社内システムを使っていたか……というと、それはあり得ないだろう。
ソニー・ピクチャーズのネットセキュリティ担当者が、侵入されたシステムについて具体的に語ることは今のところなさそうだが、こうしたメディア企業は一般に、情報システムに対して強固なセキュリティを要求する。人の出入りなど、物理的な検問も厳しい。
しかし、一方でセキュリティ管理の厳しいシステムを持つ企業は、とかく“運用面”の管理が甘くなる傾向がある。テクノロジーからはある意味遠いところにあるコンテンツ企業であるソニー・ピクチャーズならばなおさらだろう。
厳しいセキュリティシステムは、運用ルールが煩雑になりがちなためだ。煩雑なシステム運用を嫌って、ずさんな運用を許容する空気が生まれてしまうのだ。実際、ソニー・ピクチャーズが流出したファイルの中には、社内で使う文書ファイル暗号化用パスワードの一覧を示すファイルが多数見つかっている。
ソニー・ピクチャーズ幹部に本件に関して尋ねたところ、こうしたパスワードをリスト化して文書に保存すると言った運用を会社ぐるみで推奨していた事実はなく、実際に使ってもいないとのことだった。しかし、あまりに多くの”ルール”やパスワードにより、情報の運用管理が煩雑になった結果、良くないこととではあるが致し方ないと半ば黙認されていた可能性はあるだろう。
今回の事件では、さまざまなセキュリティ研究者が調査に関わっていると言うが、各種報道では「どんな企業でも今回のような攻撃が行われれば耐えられない」との声も出ている。システムのセキュリティレベルを上げればいいという単純なものではなく、あらゆる情報がコンピュータで管理される現代社会や、パスワードを中心にしたセキュリティ管理の限界を示している。
大量のID流出が目立った日本
一方、日本で今年もっとも印象に残ったネットセキュリティ関連の事件と言えば、ベネッセの個人情報流出事件だろう。実に2260万件以上の情報が流出した。
ベネッセに関しては、以前より指摘されてきたショッピングモールでのスタンプラリーなどイベントを通じた情報収集など、個人情報の集め方に対する批判がくすぶっていたこともあり、同社への批判は強い口調のものが多かった。流出経路は、外注先エンジニアによるデータ持ち出し、個人情報の販売事業者を通じたもので、個々の問題は新しい切り口のものではなかった。2260万件という流出規模は、文字通り前代未聞であるが、事件の成り立ちそのものは珍しいものではない。
ログインはこちら