FineArt News

コラム

今回は、企業である以上逃れられない、セキュリティ管理責任と個人情報保護法案の影響について話したいと思います。
現代は日々進化してゆくセキュリティ脅威にさらされ、無数のセキュリティインシデントが次々に起きています。企業内において、セキュリティ保護の安全性、セキュリティ管理ポリシーの正当性は関心を寄せる重要な議題となっています。2018年10月初旬に終了した台湾セキュリティ通報対応サミットも国内外の著名セキュリティ専門家によるパネルディスカッションで参加者に企業のセキュリティ対策についてある程度理解されたと思います。

今年の5月にセキュリティ通信安全管理法は(台湾)国会での審議を通り、台湾政府から企業まで、組織に置けるデータ保護の需要がますます増しています。保護対策を適切に実施し、不正使用と破壊工作などによるセキュリティリスクを最小まで押さえるには、相応なセキュリティ保護ソリューションが必要になります。
この法案の目的は国家安全保障と大衆保護の2つです。対象はまず中央と地方の政府機関、次に特定非政府機関の重要インフラ提供者である公共事業、政府出資の財団法人です。法案は今年の5月に国会を通り、7月に6つの派生法案が完了し、予告の上で、2019年1月1日に正式施行されました。

デジタル時代のセキュリティリスクはどう変わるのか?

以下3つの点について説明します。

  1. IoTの時代
    旧来のPCとスマホから現在のウェアラブルデバイス、各種AIスピーカー、IoTデバイスなどは、インターネットにつながるとそのままハッキングのターゲットになるか、中継となるゾンビハッキング端末になる恐れがあります。セキュリティ保護を確実に実装しなければ、そのままリスクになります。
  2. 情報のデジタル化、オンライサービス化のトレンドは留まることを知らず
    公私ともにデジタル化の一途を辿っています。大量のデータはいまや紙からクラウドに移行され、個人情報などはアンダーグラウンドで売買されることもあります。
  3. ハッキングの手法は日進月歩、把握するのが難しい
    デジタルテクノロジー進歩の速度はかつてないほどに達していて、廉価で便利な技術も使いようによって大きな脅威になります。例えば、新興テクノロジーの中で大きく賑わっているAI(人工知能)などもハッキング対策ツールの開発に役に立つのと同時に、ハッキングツールとしても強い効果を発揮します。

またはインターネットの普及によりダークウェブなど明るみに出ないもう1つのインターネットが生まれ、中では各種ハッキングツール、個人情報などが裏取引され、犯罪の温床になっています。

前述の各種状況に際して、デジタルテクノロジーの発展とともに、公共機関にとってもデジタルのセキュリティ関連法制定は急務となっています。我が国(台湾)に比べて、世界各国は早い時期から情報通信安全管理関連法案を制定していました。今後国家のデジタル化、スマートシティ化を目指す以上、セキュリティインフラ、基礎の構築は避けては通らない重要な事業であり、大きなチャレンジの1つになります。

数ヶ月前もシンガポールで医療個人情報の大量漏洩事件が起き、李大統領の個人情報までもが漏洩されていると報道されました。この事件によりスマートシティの計画も一時的に中止され、セキュリティ対策の全面的な見直しが行われてから計画を続行すると決定しました。今後の各国のデジタル化やスマートシティにおいてセキュリティ対策がいかに重要か、がわかる出来事です。

セキュリティ脅威の国家・企業・個人への影響

セキュリティリスクはすべての国家、企業、個人に影響しますが、影響面が異なります。

  1. 個人のセキュリティ不備は個人情報の漏洩に繋がり、それに関連する被害を受けます。
  2. 企業のセキュリティ不備は大きな損害に繋がる恐れがあります。つい最近某大手半導体メーカーで起きたセキュリティインシデントでは、その損害額も報道されたように金銭損失、イメージ悪化、競争力の低下、法的責任などはすべてセキュリティリスクにより企業が負う損害です。
  3. 国家にとってのセキュリティリスクはテロリストであり、ネットワークスパイであり、国家レベルのハッカーなどがあります。彼らは日々国家の重要インフラ施設をターゲットにして攻撃を仕掛けています。インフラは国民にとって一番影響が大きいからです。

重要インフラ施設が攻撃を受けるケースは近年急増して、数年前にもウクライナの原子力発電所の制御システムがハッキングされ一部の給電が中断されたことがあります。また数ヶ月前も某国の港制御システムが侵入された事件があります。その他には、空港の電子掲示板がハッキングされ、シャットダウンされたことがあります。これらの案件にあるように、一旦攻撃を受けると民衆の生活、資産に数少ない影響と損失を与えます。

そのため、国家のセキュリティ対策にも継続的にリソース、技術力を投入して、今後激化する一方の攻撃に対応せねばなりません。後手で守る以上、間断なく防御を強化していくのは必然で、情報通信安全法の必要性が今日声高に叫ばれる理由の1つでもあります。

セキュリティインシデント通報対応

一般民衆や企業にセキュリティインシデントが起きた時、今後は法に従い、セキュリティ通報をする義務が生じます。通報は台湾PC危機処理対応センター (TWCERT/CC)の電話番号、メールアドレス、公式サイトなどからインシデント関連人物の連絡情報、被害ホストの情報、インシデントの詳細を提供することになります。詳細なシステムログがあれば、インシデント処理にも役に立ちます。

個人と企業のセキュリティ注意事項:3「ない」と4「べき」

3「ない」

  1. 疑わしいサイト/メールリンクをクリックしない
  2. メールの添付を不用意に開かない
  3. 出所不明のソフトウェアをインストールしない

4「べき」

  1. システムのセキュリティホールはパッチを当てるべき
  2. アンチウィルススキャンは徹底すべき
  3. セキュリティトレニングは確実に実施すべき
  4. セキュリティニュースは注目すべき

名人ほど道具を選ぶ

デジタル時代における新たな攻撃に対して、企業のセキュリティ部門は統合的かつ能動的な保護ソリューションを選択し、セキュリティの専門システムを併用して、法で規定された管理責任を果たさなければいけません。また、今後仮にセキュリティインシデントが起きても、しっかりした証跡を取ることで被害を最小限に抑えられます。企業のセキュリティリスク管理を引き上げるには、エンドポイント保護、情報漏洩防止、データ安全性確保、電子機器の資産管理、暗号化など全面的な施策が必要になります。

  1. SVSによるソースコード保護とバージョン管理システム
  2. 開発ソースコードと成果物を保護するには
  3. クラウド印刷による企業セキュリティの脅威
  4. ランサムウェア対策ソリューションのホワイトペーパー
  5. BitLockerでの業務PC保護管理
  6. OSのセキュリティ脆弱性と情報漏えい防止