~経営リスクは思わぬところからやってくる
米国とイランとの緊張関係。
コロナウイルスの感染拡大。
元NBAスタープレイヤーの事故死。
オリンピックイヤーでもある2020年は、怒涛の幕開けとなった。
「オリンピックのある今年、サイバー攻撃に気を付けるべきだろうか?」
先日出演したラジオ番組で、番組司会者から質問された。
オリンピックだからといって、サイバー攻撃が減る理由は無い。
むしろサイバー空間で攻撃を仕掛ける側と防御する側との駆け引きは、さながらオリンピックのような攻守の様相を呈するだろう。
ことによっては、悪意ある者に金メダルを与えることにもなる。
番組での一連のやり取りを聴いていたリスナーからは、ラジオ局のウェブサイトに次のような書き込みがあった。
「なんでもサイバー攻撃に関連付けようとする昨今の風潮はけしからん」
たしかに必要以上の恐怖心を煽ることは好ましくない。
しかしそれ以上のことが起きているのが現実だ。
セキュリティ上の欠陥を「脆弱性」と呼ぶ。
2018年の一年間に発見された脆弱性はなんと16,500件。単純計算しても30分に一つのペースで、世界中のシステムやソフトウェア、IT機器などからセキュリティ上の脅威へと繋がる欠陥が発見されている。
もちろん、この脆弱性というものは発見されて即公表されるわけではない。
事前に脆弱性を発見したセキュリティ研究者とメーカーとの間で脆弱性に関する密なやり取りを行い、メーカーによる修正プログラムなどの配布準備が整ってから公表されることが一般的である。
ちなみにこの修正プログラムの配布は、単体で配布されるだけではない。OSやアプリケーションなどの、アップデート・プログラムに含まれていることも多い。修正プログラムと言われると馴染みが薄いかもしれないが、OSやアプリケーションのアップデートと言われれば、いつものアレだと思い出される方も多いだろう。
この脆弱性が公表されてから、私たちが修正プログラムやアップデートを適用するまでの時間差。すなわちその「僅かな隙」を、悪意ある者たちの多くは狙ってくる。
悪意ある者からすれば、修正対応の完了していない既知の脆弱性を狙ったほうが、手間もコストもかけずに手っ取り早くサイバー攻撃を成功させることができるからだ。まだ誰も知らない手法に頭を捻る必要はない。
これが、修正プログラムやアップデートへの迅速な対応をサイバーセキュリティ専門家が促す所以である。対応が遅れれば僅かだった隙も僅かなものではなくなり、悪意ある者に機会を与え続けることになる。
サイバーリスクへの未対応が招く「経営」リスク。
いまや悪意ある者たち「だけ」によってもたらされるわけではない。
2018年8月から9月にかけて、英国の航空会社ブリティッシュ・エアウェイズでは、およそ50万人分のデータ侵害を発生させてしまった。
この事故は同社の「杜撰なセキュリティ」によってもたらされた重大な「GDPR」違反であるとし、英国のデータ保護監督当局であるICO(Information Commissioner Office)が2019年7月に1億8,300万ポンド(およそ250億円)という前代未聞の制裁金を科している。
GDPR(EU一般データ保護規則)とは、欧州で2018年5月25日に施行された、厳しい罰則規定を伴うデータ保護のためのレギュレーションだ。その制裁金は、制裁対象企業における全世界売上の4%相当を上限として科される。事故を起こした企業単体での売上ではなく、グループ全体の売上を元に算定するところがミソだ。個人データを管理するための別会社を作り、あらかじめ少ない売上を計上しておくという抜け道は通用しない。
GDPRは欧州在住者の個人データを扱っていれば、会社の所在地を問わず適用対象となる。また、欧州在住者の定義も消費者だけでなく、日本企業からの欧州駐在員や、欧州にあるサプライヤーなど取引先担当者も含まれている。
そして、データ侵害などの事故を起こしてしまった時。
データ主体となる個人への補償や、事故の調査、その後のセキュリテイ対応の費用だけでなく、懲罰的賠償として同社の事例のように莫大な制裁金さえも科されてしまうことになる。
もはやサイバーリスクはIT部門固有の問題ではなく、「経営」そのものに甚大なダメージを与える重要な「経営課題」の一つとなっているのだ。
GDPR違反として、多くの人に初めて大きなインパクトを与えたのは、米Googleに科された5,000万ユーロ(およそ60億円)の制裁金事例だろう。2019年1月にフランスのデータ保護監督当局であるCNIL(Commission nationale de l'informatique et deslibertés)によって公表された。
何かと注目を浴びるGAFAの一社であり、公表時点で最高額の制裁金を科され、本社登記地であるアイルランドではなくフランスで制裁対象となったことなど、注目されることとなった理由は様々にあげられる。しかし同時に、件の報道に関して違和感を覚えられた方も少なからずおられるはずだ。
「この時期に、Googleでデータ侵害の報道などあっただろうか?」
この時、同社でのデータ侵害は公表されていない。そしてこの制裁は、データ侵害に対して科されたものではない。
このGDPR違反は、同社における個人データの取り扱いが不適切であるとして、監督当局への苦情申し立てが行われ、その結果科されたものであった。
そして、この苦情はおよそ1万人の署名と共に人権保護団体によって申し立てられている。
個人データの取り扱いが不適切であるということは、人権侵害であるという文脈からだ。
このような流れを逆手にとって、セキュリティ対策が不十分な企業に集団訴訟を提起し、和解金をせしめるビジネスも欧州や米国では活発に行われている。
パテントトロールによる特許権侵害訴訟の件数を、米国では既に上回っている。
GDPR違反を科すために、監督当局や人権団体は事故を待つ必要は無い。不適切もしくは不十分な対応であると外部から判断されてしまえば、苦情の申し立てを行い、制裁対象となることもある。
そして同社への決定に際し、監督当局による立ち入り調査などは実施されていない。監督当局によるオンライン上での確認をもって、この莫大な制裁金が決定されたのだ。
つまり、監督当局が欧州から遠く離れた日本企業に対して、および腰になる理由も無いということだ。
2020年1月、米国とイランとの緊張関係は一気に高まった。
これを受け、米国国土安全保障省(DHS)は、イランによる米国内のインフラを狙った攻撃や、そのためのフィッシング行為などで、多くの米国企業が狙われると警告している。
攻撃者はセキュリティ対策されたインフラ事業者を直接狙うよりも、その取引先の中からセキュリティ対策が不十分な企業を「踏み台」にしようとすることが考えられるためだ。
より効率的かつ効果的にサイバー攻撃を成功させるための「隙」を攻撃者は探している。
またイランに限った話ではないが、コロナウイルスの情報提供を装って、悪意あるサイトに誘導する手口も確認されている。
先行きが不透明な中でより多くの情報を得たい心理を突いて欺こうとするわけだ。
そして、元NBAスタープレイヤーを追悼するための壁紙として配布された画像データには、マルウェアが仕込まれていたことも発見されている。不謹慎極まりない。
このように現実世界の出来事とサイバー空間での出来事は密接に交わりながら、サイバーリスクが高まり続けているのが現状である。オリンピックだからといって、サイバー攻撃が減る理由はどこにも無い。
そして、GDPRや2020年1月1日より米カリフォルニア州で施行されたCCPA(カリフォルニア州消費者プライバシー法)など、世界中でセキュリティやデータ保護に関するレギュレーション整備が急ピッチで進められている。
そこには従来存在しなかったようなサイバーリスク、そしてその先にある経営リスクが存在し、新たな経営課題を突き付けてくる。
もはやサイバーリスクとはIT部門固有の問題ではなく、過小評価してはならない経営課題だ。
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。