サイバー空間は見えない場だから、きちんと認知・対応もされていないことが多い。僕がいつも強調しているのは、データや情報は「漏れる」のではなく「盗まれる」ということ。
まれに誰でも見られる状態になっているような事例もあるが、それでもサーバーから水のようにダラダラ漏れるものではない。悪意のある人が、明確な意図で盗みにくるもの。それが見えにくいので、どうしてもディフェンスがおろそかになりがちだ。
これはある意味、デジタル化が進む中での「不都合な真実」だが、そこにきちんと向き合うことが重要。犯罪者はつねに次のマーケットを探している。世界的に新型コロナウイルスが大変になっているが、サイバー空間でも同じようなことが起こるということ。ウイルスは一気に広まる。リアルの世界で脅かされるのが命なら、サイバー空間で盗られるのはお金だ。
使う側の自主管理にも限界
――今後は5GやIoT機器の普及で、サイバー空間が広がっていきます。
カメラやセンサー、ルーターと、ネットにつながるものの数が全然変わってくる。今、総務省はNICT(情報通信研究機構)と組んでIoT機器のセキュリティーをチェックしている。ID・パスワードが「admin」「1234」のような簡単なものになっていないかとか。結局あるわけですけど(笑)。
で、冒頭に言ったとおり可用性、つながっていることが前提の価値提供になるので、「攻撃を受けてつながらなくなる=サービス不能」になる。それって、犯罪者からすれば脅しに使って「データ身代金」を盗れるポイントになる。
イギリスでは国として「ネットワーク機器をつなげる際はID・パスワードをすべて違う番号にしないと出荷できない」というルールを設けることで、不正をしにくい仕組みづくりを行っている。
使う側で自主管理してくださいというのも悪くはないが、物量、規模感が激増している中では限界がある。ここに関しては欧州が進んでいて、プロセスが回り始めている。サイバーセキュリティーを製品にビルトインする思想だ。日本にはまだ浸透していない。
