情報セキュリティ基盤論：リスク管理と対策

従来、グローバル企業は、ファイアウォール(FW)などのアクセス制御によって自社内に情報資産を囲い込むことでセキュリティを確保しようとしてきました。しかし、この方法は、情報資産の規模が拡大し、ビジネスのグローバル化が進むにつれて現実的ではなくなっています。全ての情報資産を自社で管理し、アクセスを厳格に制御することは、膨大なコストと労力を要し、もはや持続可能な方法とは言えません。このため、クラウドサービスの台頭は、情報セキュリティの在り方を変える大きな転換点となりました。 AmazonやGoogleといったICTインフラ巨大企業の台頭も、この状況を複雑にしています。これらの企業は、莫大な情報資産を管理し、高度なセキュリティ技術を駆使することで、独自のエコシステムを構築しています。しかし、一方で、これらの企業が持つ情報へのアクセスや管理に関するリスク、そして個人のプライバシー保護という点において新たな課題が生じています。

2010年以降、サイバー攻撃の手法は目覚ましく高度化しており、従来型のセキュリティ対策では対応困難な状況になっています。標的型攻撃(Targeted attack)や高度な持続的脅威(Advanced Persistent Threat: APT)といった、組織の内部システムに長期的に潜伏し、重要な情報を窃取する攻撃が急増しています。年金機構や東京大学の事件が示すように、これらの攻撃は、国家レベルの機関や主要な研究機関でさえも被害を受ける可能性があることを示しています。FlameやGaussといった、政治的または経済的な意図を持つ高度なサイバー攻撃も増加傾向にあり、これらの攻撃は、高度な技術と莫大な資源を必要とするため、防御が非常に困難です。さらに、個人の端末の高度化やIoTの普及により、情報ソースの多様化と詳細化が進んでおり、攻撃の標的となる範囲が広がっています。BYOD(Bring Your Own Device)の増加も、セキュリティリスクを増大させる一因となっています。

情報資産に対する意識も変化しており、企業の評判(reputation)への影響が重視されるようになってきました。サイバー空間での活動が企業の存続に直接影響を与えるという認識が高まり、情報セキュリティ対策への投資も増加傾向にあります。しかし、セキュリティベンダーの努力や、統制・規制・法制度の整備努力にも関わらず、攻撃の高度化はセキュリティ対策を凌駕しつつあります。メールやWebブラウザを介した攻撃、持続的で執拗な攻撃、組織の成熟度が低い箇所を狙うソーシャルエンジニアリングなど、多様な攻撃手法が用いられています。これらの攻撃は、単なるデータの流出にとどまらず、企業の信用失墜や経済的損失など、多大な被害をもたらす可能性があります。そのため、従来型の情報セキュリティ対策では不十分であり、新たな対策が求められています。 クラウド環境においては、従来のセキュリティ対策の限界が顕著になっています。クラシックなリスク分析手法では、クラウド環境特有のリスクを十分に評価することができません。さらに、ICTインフラ巨大企業がアイデンティティを握ることで生じるリスク、IoTによる情報ネットワーク構築に伴うプライバシーの問題なども、新たな課題となっています。

クラウドサービスは情報セキュリティ上、いくつかの問題点を抱えています。従来型の、組織が自らの情報資産を完全に管理・制御するモデルとは異なり、クラウド環境では、情報資産の管理・制御の一部をクラウドプロバイダーに委ねる必要が生じます。これにより、情報資産の保護に関する責任の所在が曖昧になり、セキュリティリスクが増大する可能性があります。特に、巨大ICTインフラ企業(例：Amazon、Google)は、ユーザーのアイデンティティを管理・制御する立場にあるため、その企業のセキュリティ対策の不備や、意図しない情報漏洩などが発生した場合、甚大な被害をもたらす可能性があります。 さらに、IoTによる情報ネットワークの構築は、膨大な量のデータが収集・利用される環境を生み出し、プライバシー侵害のリスクを高めています。これらの問題に対処するためには、クラウド環境におけるセキュリティ対策の強化、個人の権利保護のための法的枠組みの整備、そして、企業における責任あるデータ管理体制の構築が不可欠です。 情報産業の振興と情報セキュリティの確保という相反する課題への対応も、重要な論点です。

現状のクラウドサービスにおいては、セキュリティに関するサービスレベルの規定が不十分であることが指摘されています。多くのクラウドベンダーは、サービスレベルを主に稼働率で定義しており、セキュリティに関する具体的な指標や保証は不足しています。 対アタック耐性など、真に重要なセキュリティ指標は、サービスレベルに明確に含まれていないのが現状です。Cloud Controls Matrix (CCM) が Cloud Security Alliance (CSA) によって策定されているものの、サービスレベルとして何が規定されるべきかについては、更なる議論が必要となります。 従来、情報セキュリティの中心的な課題は、物理的手法、人的手法、ネットワークセキュリティ、ソフトウェアシステムセキュリティ、認証といった側面にありました。しかし、クラウド環境では、これらの従来の対策だけでは不十分であり、新たなサービスレベルの定義と、それに基づいたセキュリティ保証の仕組みが必要不可欠です。

組織が自社の資産をクラウドに移行した場合、その資産のセキュリティを誰が保証するのかという点が大きな問題となっています。従来は、組織が自らの統制下に資産を置くことで保護していましたが、クラウド環境では、その責任の一部をクラウドプロバイダーに委ねることになります。このため、ステークホルダーに対して、情報資産のセキュリティをどのように確保しているのかを説明する責任が企業にはあります。 クラウドサービスの停止や、令状なしのデータ押収といった事例も発生しており、クラウド環境におけるセキュリティリスクは従来型のものとは質的に異なります。これらのリスクは、企業のビジネスに致命的となる可能性があり、適切なリスク管理と、ステークホルダーへの透明性のある説明が不可欠です。 Snowden事件やNSAのデータ監視の暴露は、国家機関によるデータ監視の現実を示し、情報セキュリティへの懸念を改めて浮き彫りにしています。特に、アメリカとヨーロッパの法制度の違い（例えば、Patriot Actと「忘れられる権利」）は、クラウド環境におけるデータ保護の難しさを示しています。 Safe Harbor Agreement の廃止も、データ移転に関する国際的な合意形成の困難さを示す象徴的な出来事です。

インターネット広告の世界では、パーソナライズド広告が効果的であると考えられており、GoogleやFacebookなどの企業が積極的に採用しています。これらの広告は、ユーザーの属性や行動履歴（プロファイル情報）を収集・解析することで、ユーザーの購買意欲を高める広告をターゲット広告として配信する仕組みです。このパーソナライゼーションを実現するために、ユーザーの閲覧履歴などのデータが収集・解析されています。Google Adjustなどのツールやスパイウェアも利用されている可能性があります。 しかし、これらのデータ収集と利用は、個人のプライバシー侵害につながる可能性があり、大きな議論を呼んでいます。広告主自身が直接個人のプライバシーを侵害しているわけではないとしても、インフラ企業がどのようなデータ収集・利用を行っているのかについては、透明性と説明責任が問われています。インターネット上に存在する個人のデジタルフットプリントは、個人を特定するのに十分な情報量を含んでおり、その取り扱いには細心の注意が必要です。

ビッグデータの活用や名寄せ技術の高度化により、従来の理解を超えたデータの収集と活用が行われています。これは、非常に大きな経済規模を持つ市場であり、個人のアイデンティティに関する情報を提供することでサービスが提供されるというビジネスモデルが、多くの企業で採用されています。 しかし、このデータ活用の進展は、プライバシー保護の観点から新たな課題を提起しています。ユーザーが自らの情報を提供する際に、その情報がどのように利用されるのかを理解しているかどうか、そして、その利用に同意しているかどうかが重要なポイントとなります。 オプトアウトという仕組みがありますが、ユーザーが積極的に中止を申し出ない限り、データ利用が許されていると解釈される曖昧さも存在します。そのため、プライバシー情報を利用・活用するための適正なビジネスモデルの構築が急務となっています。

GoogleアカウントやGmailの利用、Facebookアカウントによる様々なサービスの利用など、ユーザーはインフラ企業と直接的に関わり合いを持ちながら、インターネットサービスを利用しています。この直接的な関係性によって、パーソナライゼーションに伴うプライバシー問題が顕在化してきました。 従来は、組織が与えたIDやメールアドレスを用いて組織の一員として活動する「organizational identities」が主流でした。しかし、現在では、FacebookやGoogleなどのインフラ企業が提供するアカウントを用いて様々なサービスを利用する「social identities」が一般的になり、プライバシーの問題が複雑化しています。企業は提供された情報に応じてサービスを提供するというビジネスモデルを採用しており、Googleアカウントでログインして検索をすることやGmailを利用することも、その一例です。企業が持つ情報資産を対象とした情報セキュリティ技術の重要性は、以前にも増して高まっています。

パーソナライゼーションされたサービスを受けるためには、ユーザーは自身の情報を企業に提供する必要があります。しかし、この情報提供は、プライバシーの侵害とトレードオフの関係にあります。ユーザーは、自分の情報を提供することによって得られる利便性と、プライバシー侵害のリスクを比較検討する必要があります。 情報提供に対する「同意」の意味を正しく理解することが重要です。単にチェックボックスにチェックを入れるだけでなく、提供する情報の内容、その利用目的、そしてリスクを十分に理解した上で同意する必要があります。かたくなに情報提供を拒否すれば、ネット上の生活は不便になる可能性があります。そのため、ユーザーは情報提供とプライバシー保護のバランスを適切に取れるように、情報リテラシーを高める必要があります。 企業側も、提供された情報に責任を持って対応し、プライバシー保護のための適切な対策を講じる必要があります。

リスクは、資産価値、脆弱性、脅威の3つの要素によって決定されると考えられています。リスク分析を行う際には、まず対象となる情報やサービスの資産価値を評価する必要があります。これは、その情報が失われた場合にどれだけの損失が発生するかを定量的に、あるいは定性的に評価することを意味します。次に、その情報やサービスが持つ脆弱性を洗い出す必要があります。これは、システムやネットワークのセキュリティホール、人為的なミスなど、様々な要因を考慮する必要があります。最後に、その情報やサービスに対してどのような脅威が存在するのかを分析する必要があります。これは、標的型攻撃、ランサムウェア攻撃、内部不正など、様々な脅威を考慮する必要があります。 リスク分析は、組織のセキュリティレベルを高めるためだけに行われるものではありません。リスクを適切に評価し、現実的な対策を講じるために必要なプロセスです。 FTPにおけるパスワードの平文での送信や、電子文書のコピーの容易さといった具体的な脆弱性も例として挙げられています。

メールやWebブラウジングを通じて行われる攻撃は、現代において非常に一般的であり、組織はこれらの攻撃に対抗するための対策を講じる必要があります。組織内の人間の統制を完璧にすることは不可能なため、攻撃を受けた場合でも、それを早期に検知し、迅速に適切な対策を取る体制が不可欠です。 リスクへの対応能力を高めることで、組織はより利便性を追求したシステムを構築することが可能になります。例えば、個々のアカウントの権限をコントロールできるようになれば、ゲストアカウントを発行できるようになりますし、SAMLなどの安全なプロトコルを導入することで、組織内外にSSOを導入できます。 これらの技術的な対策に加えて、ネットワークセキュリティ、システムセキュリティといった他のセキュリティ技術の導入も重要です。暗号化、電子署名、認証などの技術も、情報セキュリティ対策の中核を担っています。 さらに、社会全体としてセキュリティ基盤を構築していく動きも重要です。セキュリティの品質を第三者機関が保証するような認定制度の整備などが、その一例として挙げられています。

具体的な脅威として、匿名によるネット上の誹謗中傷、対策情報の公開に伴う脆弱性の悪用増加、ウェブサービスからの個人情報の窃取、ランサムウェアを使った詐欺・恐喝、情報モラル不足によるサイバー犯罪の低年齢化、インターネットバンキングやクレジットカード情報の不正利用、巧妙・悪質化するワンクリック請求、サービス妨害攻撃によるサービス停止、ウェブサービスへの不正ログイン、ウェブサイトの改ざんなどが挙げられています。 これらの脅威に対する対策として、組織レベルでは標的型攻撃対策、内部不正対策が挙げられています。 個人レベルでは、インターネットバンキングやクレジットカード情報の不正利用への対策が重要です。 これらの脅威は、常に進化しており、新たな種類のインシデントが次々と発生しています。そのため、不確かな状況下で迅速かつ適切な意思決定を行う能力が求められます。リスク分析は、これらの脅威を評価し、効果的な対策を講じるための重要なツールです。