情報セキュリティ対策が不十分な状態でインターネットに接続するのは、未整備の自動車で高速道路を走るようなものです。情報セキュリティ対策をするのは、自社の情報資源を守ることもありますが、それ以上に、第三者に迷惑をかけないためだということを認識する必要があります。
- システムダウンによる外部影響
- 自社の情報システムがダウンすると、他社との商取引に影響を与えます。現在の企業間取引はオンライン化しているので、受発注ができなくなります。しかも、各社がコスト削減のために在庫を圧縮したジャストインタイムの運営をしているので、1社のトラブルが広範囲に大きな影響を与えます。
病院や交通機関でのシステムダウンは人命に関係しますし、金融機関の場合は財産に関係します。大災害時での行政や公共機関のシステムはライフラインの維持に不可欠です。 - 外部情報の漏洩
- 個人情報漏洩が問題になっているように、外部の情報を第三者に漏洩しないようにするのは社会的義務です。個人情報だけではありません。仕入原価が入っている情報を仕入先の競争他社に漏洩したら、仕入先は多大な影響を受けるでしょう。売上データも得意先の秘密情報かもしれません。自社と取引していることすら競争他社には秘密にしたい場合もあります。自社ではたいしたことではないと思っても、先方では機密情報であることがあるのです。
他人・他社の情報は、自社の所有物ではなく、先方からの預かりものであり、善管義務が求められていると考えるべきです。 - ウイルス、スパムメールの伝染源
- ウイルスに感染すると、そのパソコンのアドレス帳などを宛先にしてウイルスを伝染させます。また、そのウイルスを用いて、スパムメールを伝染させます。すなわち、ウイルスに感染するのは被害者になるだけでなく、第三者への加害者にされてしまうのです。
- 個人情報詐取の踏み台
- インターネットによる騙しの手口は巧妙になってきました。その代表的な手口にクロスサイト・スクリプティング(Cross-site Scripting)があります。
攻撃者Aが、銀行CのWebページを悪用して、利用者Bの暗証番号を盗む手口を例にします。AはBに電子メールなどによりAの悪意のあるサイトへ誘導します。このページには、Cのサイトへ送る情報の宛先をAに変更する電文が隠されていて、Bのブラウザを通してCへその電文を送ります。すると、CのページがBのブラウザに表示されますが、Bは、Cを信頼しているので、口座番号や暗証番号などを入力します。ところが既にその入力データの宛先がAになるように改ざんされているので、それらの入力データをAに盗られてしまいます。Cがこれを防ぐには、悪意のある電文を受け取らないように、入力データのチェックを厳重にすることが必要です。
- 第三者サイト攻撃の踏み台
- DoS(Denial of Service)攻撃とは、標的となるWebサイトに大量のデータを送りつけて正規のサービスを妨害する手口です。銀行強盗が逃走用に盗難車を用いるように、攻撃者は直接に標的を攻撃するのではなく、あらかじめセキュリティ対策が不十分なサイトにウイルスを潜入させておき、攻撃者の指令により、そのサイトから標的サイトに大量データを発信させるのです。標的サイトからは、踏み台になったサイトが攻撃してきたように見えます。実際には、多数の踏み台を用意して、しかも、踏み台を多段階にするので、攻撃者を突き止めるのが困難な場合が多いのです。
ウイルス作成者、不正アクセス者の犯罪組織化
現在のウイルス作者や不正アクセス者は、従来のような愉快犯や顕示犯ではありません。個人のパスワードやクレジットカード番号などを盗み出したり、企業にDoS攻撃を仕掛けるぞと身代金を恐喝したりする犯罪者なのです。最近のウイルスは、感染しても直接の被害がないように思われるものが多くなりました。感染コンピュータに被害を与えることが目的ではなく、踏み台とすることが目的なので、感染したことを発見されないためなのです。
それだけではありません。背後に犯罪組織があり、プロのプログラマを雇ってウイルスを作成させるとか、個人情報を組織的に収集させることもあります。逆に、不正に入手した個人情報を売買する市場もあります。ウイルス作者が多数のサイトを乗っ取り,それらを悪用する「権利」を犯罪組織に売り込むこともあります。すなわち、犯罪ビジネスとして運営されているのです。さらには、政治的なプロパガンダや経済破壊に利用する国際的テロ集団も存在するといわれています。
しかも、インターネットには国境がありません。A国の犯罪者がB国の踏み台を介してC国の標的に攻撃することは、むしろ一般的になっているのです。このような状況では、情報セキュリティ対策は、国際的な義務だといえるでしょう。