日本人はネットセキュリティ意識が低すぎる 情報を盗まれっぱなしという恐ろしい現実

実は企業などの組織についていえば、諸外国も日本と似たりよったりの状況だ。例えば、独立行政法人情報処理推進機構（IPA）の報告書「企業のCISOやCSIRTに関する実態調査2016」によれば、日本企業のセキュリティ体制は欧米に比べても遜色はないように見える数字が並ぶ。

しかし、問題はその中身。各国の国民性や組織文化の違いが、人材や経験といった観点で色濃く出てしまうようである。実際、本報告書においても、欧米はプロのCISOが存在するのに対し、日本企業の多くは、CISOの候補者を社内で選出し、育成する必要があるとしている。ちなみに、報告書でのプロのCISOとは、自身の知見・ノウハウを駆使し、情報セキュリティの取り組みを推進ができ、ある程度改善できた段階で他の組織を渡り歩くような、その道を極めた人物像をイメージしている。

つまりは政府の音頭でセキュリティ体制を突貫で構築してはみたが、やっぱりハリボテが多かった、ということだ。

起きているのは「ネットワークへの強盗」

いつの頃からか、「○○社の情報が流出」「○○機構が情報漏洩」などのタイトルがしばしば新聞紙面を飾るようになった。サイバー攻撃被害による事故報告によるものだ。コトバの表現は様々であるが、同様のケースにおいて海外記事で目にするのは「hacked」「breach」「theft」といった単語である。

記事がどの視点で書かれたものであるかにもよるが、サイバー攻撃に対しての認識が国々によって異なるのは興味深い。欧州や米国の記事での表現は、悪いのは犯罪者らであるといったニュアンスに感じとれる。その背景には、それぞれの国家の考え方が色濃くあるものと推測される。例えば米国の場合は、サイバー空間を陸海空と宇宙に続く「第5の戦場」と表現している通り、国防の側面を持っている。

また、欧州の場合はデジタル・フォレンジックの対象がパソコンやサーバー、スマートデバイス、携帯電話だけに限らず、航空機の事故調査も対象に含まれているなどテロ対策の延長上として捉えられることもある。このことは報道での表現にも表れている。リアル空間の住居に侵入され物品等が盗まれた場合は「侵入強盗」、サイバー空間のデータが盗まれた場合は「情報流出」と表現しているのを目にする。

今一度、再認識してもらいたいのは、サイバー攻撃被害における機微情報は「流出した（＝出ていってしまった）」のではなく、「盗まれてしまった」のだ。情報の窃取に対しても、強奪行為であることを意識しなければならないのである。