情報サービスにおける企業間の連携はグローバル化・多様化している(イメージ:写真AC)

情報セキュリティに関する新たな脅威

情報セキュリティの要諦として、外部からの攻撃には「性悪説」の視点で頑強な防御を目指し、内部は現実的運用を考慮に入れる必要から内部のルール・規定を遵守する「性善説」の視点が必要であることを述べてきた。

ただし、注意すべきは「性善説」で語られるはずの人間が、精神的に追い込まれると正常な判断を失い、思わぬ不正に手を染めてしまいかねない弱い存在であることだ。「性弱説」の視点を忘れてはならない。それゆえ、内部組織の風通し、風土の健全化がセキュリティ性向上に必要不可欠な要素になる。

このように述べてきたが、しかしそれだけでは語れない状況変化、事案がいくつも発生しているのも事実である。今回はその点を順次考察していきたい。まずは、世間をにぎわせる個人情報の大量漏えい事案に関して考える。

普通に考えて、個人情報を取り扱うサービスにおいて、いま現在考えるべき通常の対策ができていればそう簡単にこのようなインシデントは発生しないはずである。ましてや短期間に複数回起きるなどあり得ない。そのように簡単に外部から攻略できるほど技術的対策が劣後しているわけでは決してない。

簡単にいうと、内部と同じ権限を外部に与えることで生じるセキュリティホールによるものなのである。つまり、本来的には「性悪説」で語るべき存在に、「性善説」で権限を与えているのだから、「性弱説」の出番以前に大きなリスクを抱えていることは誰の目から見ても明らかである。

外部に内部と同じ権限を与えることでセキュリティホールが生じる(イメージ:写真AC)

現代の業務やサービスは、一企業で対応できる範囲は限られるのだから、多くの企業の連携、外部への委託や提携などで成り立っているのが現実である。そのための情報は、ネットワーク接続だけでなく、電子デバイスを介した受け渡しや紙媒体の交換などオフラインでもやり取りされる。重要な情報資産を連携することも多々あるはずだ。

ネットワーク社会においてこれらの現実は、多くの外部に対して内部と同様の扱いが必要になることを示唆している。そのことを疑う人はいないだろう。

無論、このことに対策をしてこなかったわけではない。十分な対策を講じているという反論も多いかもしれない。そう、それは契約であり、監査だというかもしれない。しかし、そこに問題はないだろうかという視点が必要であり、それ以前の問題も介在することを考慮しなければならないのではないだろうか。