「ファイアウォール神話」を信じる日本企業に足りないモノ：イベントレポートアーカイブ（1/3 ページ）

情報保護に関する法令を厳罰化するなど、グローバルでは年々セキュリティに対する意識が高まっている。対して、まだまだ「ぬるま湯」の日本企業に足りないモノとは何だろうか。

[岡垣智之，キーマンズネット]

　2018年3月、米国の三大信用情報機関の一つであるエクイファックスがサイバー攻撃を受け、約1億4300万人分の顧客情報が流出した。大規模なインシデントとしてニュースサイトでも騒がれ話題となった。その4カ月後の2018年7月には、スマートフォン向けのピクチャーダイアリーアプリ「Timehop（タイムホップ）」がネットワークの不正アクセスを受け、約2100万人分の名前や電子メールといったユーザー情報が流出する事件が発生した。その日はちょうど独立記念日で祝日だったということもあり、休日をスマートフォンアプリで遊ぶなどして過ごした人も多かったため被害が拡大したようだ。このように、今や、規模や業種を問わずあらゆる企業が攻撃の標的となり、世界中でWeb被害が発生している。

　本稿では、米国に本社を置くネットワーク、セキュリティベンダーのバラクーダネットワークスAPJ営業担当副社長のジェームス・フォーブスメイ氏へインタビューした内容を基に、グローバルでのWebセキュリティにまつわる課題点や日本のセキュリティ対策に欠けている点などについて説明したい。

バラクーダネットワークス　ジェームス・フォーブスメイ氏

グローバル視点で考える日本のセキュリティ意識

　今や、情報セキュリティ対策は単なる情報システム部門の一業務ではなく、企業の上層部も含めて考えるべき経営課題という認識に変わりつつある。諸外国では新しいセキュリティ基準が設けられたり、法令が改正されたりする国もあるが、セキュリティに対する意識は日本と世界で差があるのだろうか。フォーブスメイ氏の目にはどう映っているのか、質問を投げかけてみた。

　「日本と海外のセキュリティに関する取り組みの違いとして、罰則規定が挙げられる。海外ではセキュリティに関する法令に違反した企業に対して罰金を科す国もある。例えば、オーストラリアでは2018年2月22日に個人情報保護法が改正された。これによりサイバー攻撃を受けデータ侵害が発生したにもかかわらず、当局へその事実の通知を怠った場合、売上300万豪ドル（約2億5000万円）以上の企業に対して罰金として最大200万豪ドル（約1億7000万円）の罰金が科されるようになった」

　また、2018年の大きな話題となったGDPR（General Data Protection Regulation：EU一般データ保護規則）では、情報漏えいが発生した際に定められる対応を怠ったなどGDPRの原則に違反した場合、違反企業に対して最大2000万ユーロ（約26億円）または前会計年度の全世界年間売上高の最大4パーセントのいずれか高い方を制裁金として科している。

　現在の日本では個人情報保護に関する法律はあるものの、データ侵害を受けた場合でも告知義務がない。中には上場企業などが任意で公表する場合もあるが、それを怠ったからといって政府から企業に対して罰則金を科すなどのペナルティーもない。罰則を設けることで必ずしも意識向上につながるとは限らないが、日本がセキュリティの後進国とならないためにも、ある程度自国の意識を高める施策が必要ではないだろうか。