[ベテランCIOが語る「私がやってきたこと、そこから学んだこと」]

2016年8月16日(火)寺嶋 一郎（TERRANET代表／IIBA日本支部代表理事）

リスト

　大手旅行会社で800万人の個人情報が漏えいか？──。このニュースが世間を騒がせたのはまだ記憶に新しい。2015年にあった、年金機構のそれと同じような標的型攻撃だ。2014年には、大手教育会社で起きた内部犯行による情報漏えい事件も世間を賑わせた。

　このうち2社のIT責任者は個人的な知り合いであり、筆者としても身につまされる思いだった。不謹慎であることを承知の上で書くと、IT部門長を外れて定年退職した時、いつ起きても不思議ではないセキュリティ事故の対応を考えなくてもよくなっただけで「ああ、開放された」と感じ、正直ほっとしたものである。

　サイバー攻撃の防御は難しい。攻撃のほうが圧倒的に強い。そして攻撃側こそが悪であるのに、狙われた被害者が責められる。これだけの対策を行えばセキュリティ事故が起きても免責されるといったガイドラインがあればいいのだが、そんなものはない。

　どんなに高度なセキュリティ施策をとっていても、一旦、事故が起きれば、マスコミは徹底的にその被害者でもある企業を叩く。こういった状況で、どういったセキュリティ対策を行うか、コストをどれだけかけるか、利便性とのバランスのとり方を含め、悩みは多い。

Nimdaの痛い思い出

　セキュリティに関して忘れられない、痛い思い出がある。2001年9月にNimdaというワームに侵入され、ネットワークを数日止めてしまったことだ。ビジネスに支障をきたすなど大変な騒ぎになり、経緯や再発防止策を取締役会で報告させられる羽目になった。セキュリティの脅威から会社を守る方法を真剣に考えだしたのは、このNimdaの事件からである。