ネット社会の本当の現状 ~セキュリティに学ぶ~
このところずいぶんと世の中の仕組みが変わってきたなと感じることが多くなりました。
わかりやすいのは飲酒運転に対する社会の対応の変化や、マスコミの取り上げ方。
飲酒運転に対する罰則は当然のことですが、「一気に」価値観が変わるほどの変化です。
元々大手企業では飲酒運転は「即クビ」でしたが、あの(自分たちに甘い)代表である自治体や、我々のような小さな企業でさえ、これからは厳罰が当たり前の時代です。
知り合いの社長さんたちとお話させていただくと、就業規則に厳罰事項を追記したという話もよく聞くようになりました。
(でも今まで数十年間あった。「飲んだら免停」から「お酒を飲んで運転するやつは犯罪者」にたった数ヶ月で変わっちゃうんだ・・・)
そんな風に思う方も多いと思います。
さて今日私がここで言いたいのは、「一気に」世の中の価値観が変化していくようになったということ(違うものに変わるのではなく、酒気帯び運転に対する罰則のように、レベルが変化することをさします。)
じゃあ同じように「これから価値観が変わるもの」はなんだという話です。
インターネットやデータベースがこれほど進んだ社会では、その情報をいかにして守るかが大変重要な問題になってきています。
そんな中、日本では個人情報保護法が施行され、かなり意識が高まったように感じる人も多いでしょう。
しかし、残念ながら日本の国家としての情報に対するスタンスや、国民全体の価値観は世界標準で見れば大変低いものです。
たとえばアメリカでは、どこかのサーバに進入するのは「テロ」と判断されます。HPを書き換えることは完全な「テロ」です。そしてテロリストと同じように対処されます。(もちろん刑事罰も大変重い)
確かに良く考えたら当たり前です。もし政府の中枢にハッカーが侵入して、データを書き換えたり、プログラムを操作されたりしたら、どんなことでもできてしまいます。
ビルに飛行機を突っ込ませるより、大きな被害を及ぼすことができるわけです。だから重大な関心を持って対処しています。
またデータを書き替えたり、HPの改ざんを行わなかったとしても、データを盗まれるという問題があります。そのためアメリカ企業では、ノートパソコンの社外持ち出し禁止は当たりまえ。今ではUSBメモリーの使用も禁止され、ハードディスクのないパソコンを使っている会社が多くなっています。
ハッカーという人種は、そのほとんどが若者で、自分のコンピュータスキルを試すために侵入行為を繰り返します。そのため「テロ」という認識で対応され、罰則も相当重いものにしたおかげで、興味本位で行うハッキングは、リスクが多すぎて激減しました。
愉快犯がほとんどいなくなったのです。
本物のプロが今アメリカで問題になっているハッカーです。(まあサイバー戦争しているレベルだと思ってください)
一方日本の今の現状はどうでしょうか?
日本には盗む価値のあるデータはあまりないそうで(笑)データを盗むハッカーは少ないそうですが、個人情報についてはすでにりっぱな売買市場があるためハッカーに狙われ続けています。
また、中国や韓国の対日プロパガンダと排日教育のせいで、日本の有名なサイトはいつも狙われています。
(日本のサイトに侵入するハッカーはほとんどが中国、韓国から)
さてそれに対応する日本の法律ですが、これはもうまったく対応していないに等しい状況です。
たとえば、会社のデータ(ほとんどの場合が顧客情報)が盗まれた場合の罪名は「窃盗」です。
「窃盗」とは何かを盗むことです。コピーは窃盗ではありません。ほら相手にまだあるもの・・・・・・・
たとえば大手企業A社のデータを社員がフロッピーディスクにコピーして持ち出したとします。発見した会社は警察に訴えますが、そのフロッピーディスクが会社のものであれば、「フロッピーディスク」を盗んだということで逮捕できます。
しかしその社員は自宅から持ってきたフロッピーディスクにデータをコピーした場合、なんにも取ったことにはならず、罪に問えません。
またHPへの侵入でも、何かされなければまったく罪に問えないのが現状です。
日本で今一番優秀なセキュリティー会社は、契約した会社にハッカーが侵入した場合、数時間でその攻撃を止めることができるそうです。それが顧客に評価されて、業績が拡大しています。
しかし、皆さん。数時間で対処ってなんとなく時間かかりすぎだと思いません?
攻撃されたらあっという間に感知して、あっと言う間に撃退するんじゃないの?日本で一番なら・・・・・・と、こんな風に思う方が多いと思います。
でも、数時間で対処できるってすごいことなんです。
なぜかというと、日本のサイトがハッカーに侵入され、その攻撃を認識して、対処するまでの期間は平均2年(笑)もかかっているのが現状だからです。
それは、サイトに侵入しただけでは、なんの被害も受けないのでわからない。ということが原因です。
実際に発見される場合はほとんどがこうです。
あるハッカーが日本の有名なサイトやデータベースに侵入する。そしてそのデータを眺めながら「なるほど、なるほど」と自分のコンピュータスキルに満足する。でも自己満足だけじゃ物足りないから、誰かに自慢する。その話を聞いた別の人間が、自分も入ってみようと侵入する。俺も入れたとまた誰かに自慢する。そしてうわさが広がっていく。何十人目かのハッカーが、他の人みたいに見てるだけじゃつまんないから、ウィルス突っ込んでみようと、つい実害のある攻撃を仕掛ける。
ここで初めて発覚するのです。
ハッカーは相当優秀な若者ばかりだと思っている人も間違っています。ハッキングするためのツール(アプリケーションソフト)は、ネット上で無料でダウンロードできますし、アジア圏の若者が面白半分でそのソフトを使って日本のサイトに侵入を繰り返しているのです。(簡単に進入できる日本のサイトの方が大問題)
そして発見しても罪に問うには法律が整備されていない。
残念ながらこれが日本の現状なのです。
この状況が放置され続けるとは考えられません。我が社のようにHPを作り上げたり、ネットを利用したデータベース営業システムを供給している会社では、開発するエンジニアにセキュリィティ技術が不可欠になるでしょう。
エンジニアの面接の席で、「どんな言語でプログラムを組んだことがあるの?」みたいな質問でなく、「SQLインジェクションやクロスサイトのセキュリティーの経験はあるよね?」と聞くことになるでしょう。
同じように利用する不動産会社でも、内部統制システムをきちんと構築して、「犯罪を起こせない」組織を作っておかないと、社員が持ち出したデータのせいで、社長が逮捕される世の中になると思います。
入社時に機密情報を持ち出してはならないとか、顧客情報を持ち出してはならないとかの誓約書を書いてもらえば、従業員の犯罪は会社とは関係ないといえない時代が、もうすぐそこに迫っているのです。
Facebookアカウントをお持ちの方は、こちらからコメントをどうぞ
Posted by 金丸 : Comment(0) | 2006.10.13.