本日の情報セキュリティコラム(2014年2月1日)

TOP 平成25年度サイバーセキュリティ月間 本日の情報セキュリティコラム 本日の情報セキュリティコラム(2014年2月1日)

本日の情報セキュリティコラム(2014年2月1日)

2014年2月1日

ネット時代の合言葉

内閣官房情報セキュリティセンター 副センター長
谷脇 康彦

 
 我が国のインターネットの利用率は約8割(平成24年末現在、以下同じ)。5人に4人はパソコンや携帯端末からインターネットを利用している。日本でブロードバンドが普及し始めたのは平成12年頃だが、当時のネット利用者は47百万人。現在は96百万人まで増加し、当時の約2倍に達している。
 
 そんな中、高齢者は「ネット利用が苦手」というイメージがある。しかし、実は70歳代も62%の方がインターネットを活用している。高齢者も含め、日々の暮らしにインターネットが浸透してきていることが伺える。そして、スマートフォンの普及はこの傾向にさらに拍車を掛けている。
 
 インターネットの急速な普及は、他国でも同様の傾向にある。しかし、例えば日本と米国を比較してみると、日米両国の「違い」も浮き彫りになってくる。インターネットを利用する際に不安を感じるという利用者は米国が27%であるのに対し、日本の場合は59%。米国の約2倍という数字が出ている。ネットの利用に不安を感じる中、ウィルス対策ソフトの導入など対策を講じている利用者は多いものの、それでもなお不安を感じるという利用者が全体の約7割に達している。
 
 これはなぜかというと、ネット上の脅威について具体的な知識が十分でないことが挙げられる。例えば、マルウェア(コンピュータウィルス)について知っているという利用者は全体の64%にとどまり、米国の89%を大きく下回っているのが現状。
 
 “ネットは便利だけれど、あまり詳しい知識もないし、いちおう対策は講じているけれども何となく不安-----”。このあたりが平均的なネット利用者の姿だと言えるだろう。
 
 車の運転とネットの利用は似ている面がある。日々の暮らしやビジネスに車はもはや不可欠な存在。車はとても便利だけれど、他方、交通ルールや最低限の車の知識を知らないと重大な事故や故障で大きな損失を被ることになる。ネットの利用も同じ。便利で実益のあるネット利用を進めるためにも、ネットを利用する際の注意点や必要な対策について一度学んでみてはどうだろう。2月は情報セキュリティ月間。全国各地で様々なイベントが開催される。安心につながる有益な気づきが得られるのではないだろうか。
 
 「備えあれば憂いなし」。これはネット時代の合言葉でもある。(数値は「平成25年情報通信白書」から引用)
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

日本のセキュリティ業界を未来あるものにするために

内閣官房情報セキュリティセンター 情報統括グループ 参事官補佐
川口 洋

NISCで色んな縁をつなぐ

 現在、内閣官房情報セキュリティセンター(NISC)で日本の情報セキュリティを守るための仕事をしています。もともと、セキュリティ業界に入るきっかけは、大学生のときに管理していた研究室のシステムが不正アクセスにあったことでした。セキュリティに関する知識どころかITに関する知識もままならない新米システム管理者だった私は数日間研究室にこもってシステムの復旧を行いました。そこで学んだことは「セキュリティをちゃんとやらないと家に帰れない。セキュリティを何とかしてITに関わる人が家に帰れるようにしよう。」でした。
 
 そんな思いを胸に情報セキュリティに関する仕事をはじめて早十数年が経ちました。ITの発展とともに生活が便利になる一方で情報セキュリティの事件事故は後を絶ちません。サイバー攻撃が国家の問題になり、政府機関や企業がサイバー攻撃にさらされ、個人所有のパソコンやスマートフォンもサイバー上の脅威にさらされています。「もっと安全な社会にならないかな」と思っているうちにNISCで働くことになり、不思議な縁を感じています。
 
 NISCで様々な業務のお手伝いをさせていただく中で今回の情報セキュリティ月間のコラム企画が持ち上がりました。個人的につながりのある有識者の方々にコラムの執筆をお願いしたところ、皆様大変忙しいにもかかわらず快く引き受けていただきました。
 

  • 情報セキュリティ業務を専門とする方
  • 人材育成に取り組んでいる方
  • ユーザ企業のIT部門で奮闘している方
  • インフラ事業に関わっている方
  • 地方のコミュニティを形成している方
  • 子供とネットの関わり方を考えている方
  • 大学の博士課程で頑張っている方

 
など様々な方にお願いしました。特にあまり目立ってはいないけれども日本の情報セキュリティのために頑張っている20代、30代の方に光を当てたいという思いがありました。有識者の方々とコラムの内容についてお話していると大変熱い想いを語っていただき、実際に有識者の方々のコラムができあがるのを楽しみにしています。今回のコラム企画が情報セキュリティに関わる人、これから情報セキュリティに関わる人に刺激になることを願っています。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。 

パーソナルデータのセキュリティ保護を

内閣官房情報セキュリティセンター 総合対策グループ/
独立行政法人産業技術総合研究所 主任研究員
高木 浩光
 

 情報セキュリティの重要さは日に日に理解されるようになってきました。10年前を振り返ると、セキュリティの欠陥を指摘しても「そんなの誰も悪用しやしないよ。」と言われて、欠陥はそのまま放置されるという話をよく耳にしたものですが、今日ではそんなことはもうないに違いありません。
 
 ところで、セキュリティは大切というけれど、そもそも何のための情報セキュリティなのでしょうか。国の安全保障のため、国家機密を守るため、知的財産や企業の営業秘密を守るため。いろいろあるところでしょうが、個人にとってはどうでしょうか。氏名や生年月日、住所、電話番号の秘密を守ることでしょうか。
 
 たしかに、有名人や、ネットで言論活動をする人にとっては、住所は隠しておきたいものかもしれません。そうでない人にとっては、電話番号やメールアドレスが漏れることが、勧誘電話や迷惑メールが来るようになるから嫌なことかもしれません。でも、大事なことはそこなのでしょうか。
 
 数年前、悲惨な事故が起きました。あるネット通販ショップの購買履歴がネットで丸見えになっていたのです。誰がいつ何を買ったのか、氏名や住所とともに全部見えるようになっていたのです。氏名で検索するだけでその人の購買履歴の画面が現れるようになっていたのです。よりによってそのショップは、成人向けの商品を広く扱っていたのでたいへんです。そのショップの利用者の方々にとって一番知られたくなかったのは、購買履歴だったのではないでしょうか。
 
 日本には個人情報保護法(個人情報の保護に関する法律)があります。政府機関や事業者は、「個人情報」を保護しなければならないことになっています。ところが、法律が定義する「個人情報」は、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」が対象なので、氏名や連絡先を消せば個人情報じゃないと言う人達がいます。
 
 もし、氏名や電話番号を含まない、購買履歴だけが漏洩する事故が起きたらどうでしょうか。氏名がないから、誰の情報かわからないので問題なしと言えるでしょうか。
 
 幸い、履歴情報が丸見えになる事故はあまり多くは起きていません。氏名を含まない履歴情報だけが丸見えになる事故はこれまでに発覚したことはなかったと思います。しかし、今後それが起きたときどうなるでしょうか。大量の購買履歴が公開状態になってしまったとき、それぞれが誰の履歴なのか詮索したり、突き止めようとする人達が出てくるかもしれません。
 
 誰のものか突き止めることが実際に可能かどうかは、その履歴の種類によるかもしれません。コンビニの購買履歴や、メジャーなWebサイトのアクセス履歴など、多くの人が共通して利用しているものは、そういう心配は小さいかもしれません。それに対して、電車の乗降履歴や、スマートフォンの位置情報の履歴となると、誰の情報かわかってしまう危険性は高いと言えるでしょう。
 
 そうした履歴情報(元から氏名を扱っていない情報)が、「個人情報」には該当せず、個人情報保護法による保護の対象になっていないのが現状です。個人情報保護法ができて10年がたち、いつの日にか、「個人情報」さえ保護すれば義務を果たしたかのような風潮が出てきました。氏名以外の情報を大量に流出させても「個人情報」じゃないから事故じゃないと言うのです。
 
 履歴情報の流出が頻発する世の中になったらどうなるでしょうか。「誰の情報かなんてわかるはずがない」と信じられる人にとっては「知らぬが仏」かもしれませんが、分析する技術を持つ者からすればとても安心できるものではありません。ひとたび流出情報から個人特定できることが実証される事件が起きれば、人々は、漏洩のリスクを踏まえて、そもそもネットのサービスの利用を避けるようになってしまうかもしれません。
 
 最近では、行政機関や地方公共団体も、独自のスマートフォンのアプリを開発して提供したり、WebサイトにSNSの「いいね」ボタンを設置したりするようになってきました。「個人情報」さえ扱わなければ法令上の義務はないのが現状ですが、「個人情報」ではない「パーソナルデータ」であっても、「個人情報」の保護に準じたセキュリティ保護の取組みをしていく責務があると私は考えています。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。