セキュリティ対策を経営課題の中心とするべき理由

第1回 法務と経営部門も知っておくべきセキュリティ対策の基礎

IT・情報セキュリティ
伊藤 太一弁護士 増本 梨奈弁護士

はじめに

 昨今、企業の不祥事として情報漏えいがクローズアップされることが多くなりました。少し前ならば、ベネッセの顧客情報漏えい(2014年)、日本年金機構の情報漏えい(2015年)がありました。今年(2018年)には仮想通貨取引所であるコインチェックから、顧客のコインが流出したことも、数百億円という被害額とともにかなり大きく取り上げられ、仮想通貨そのものに対する印象を大きく変えてしまうこととなりました。

 これらの情報漏えいが問題となるにつれ、「セキュリティ」という単語が紙面を飾るようになります。しかし、これまで「セキュリティ」といえば、もっぱら技術者が関与して対策すべき部門であり、また、専門用語も多いことから、経営陣がなかなか直視してこなかった、あるいは、よくわからないまま現場にセキュリティ対策を依頼し、現場と経営陣で認識のずれが生じていたという実態があるのではないでしょうか。

 そこで、本稿では、サイバーセキュリティ対策が、経営問題としても中心的課題として捉えるべき問題であることを、あくまでもセキュリティの用語を基軸にし、法務の観点も交えつつ解説します。

そもそもセキュリティって?

 セキュリティとは何かという問題は、論者によってさまざまな表現がなされますが、情報セキュリティのCIAといわれる3要素をあげるのが一般的です。これは、

  1. 権限を持つ者だけが情報にアクセスできる機密性(Confidentiality)
  2. 情報が改ざんされていないことを保つ完全性(Integrity)
  3. 情報を使いたいときに使用できる可用性(Availability)

の英語の頭文字を取ったものです。

 たとえば、情報セキュリティマネジメントシステム(Information Security Management System:通称ISMS)についてまとめたJIS Q27000:2014の2.33では、

2.33
情報セキュリティ(information security)

情報の機密性(2.12)、完全性(2.40)及び可用性(2.9)を維持すること。

注記 さらに、真正性(2.8)、責任追跡性、否認防止(2.54)、信頼性(2.62)などの特性を維持することを含めることもある。

と定義されており、少なくともCIAが情報セキュリティの基本要素であることが明記されています。

 また、サイバーセキュリティ基本法2条では、

(定義)
第二条 この法律において「サイバーセキュリティ」とは、

電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の

漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置
並びに
情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)


が講じられ、その状態が適切に維持管理されていることをいう。

(※)読みやすさのために筆者が改行・下線等を施しています。

と定義されており、①情報の漏えい防止、②滅失・毀損防止、③安全性・信頼性の確保が要件とされています。これらは、それぞれCIAでいうと、①が機密性、②が完全性、③が可用性に対応していると考えられます。

セキュリティ対策には法務的な対応が不可欠

脅威とは

 「脅威」というのは、一見日常用語のようで、なんとなく理解ができそうですが、れっきとしたセキュリティ用語で、前記のCIAが損なわれる可能性のある要因をいいます。
 たとえば、従業員による不正行為も脅威ですし、落雷などでシステムがダウンしてしまうことも脅威です。

 脅威には、いろいろなパターンがあり得ますが、法務の観点からもセキュリティの観点からも、人の関与の有無・程度で分類することが重要です。
 まず、落雷など、人が関与することなく発生してしまう脅威を「環境的脅威」といいます。次に、人が関与する脅威を「人為的脅威」といいますが、人為的脅威は、さらに、意図的に行われる「意図的脅威」とそうではない「偶発的脅威」に分けられます。加えて、人為的脅威は、内部犯か外部犯かという区別も有益でしょう。

人の関与 脅威のパターン 具体例
なし 環境的脅威 地震、雷、自然発火
あり 人為的脅威 外部犯 内部犯
偶発的脅威
  • 失火
  • 正当なアクセスが大量に行われる(人気コンサートのチケット予約開始時など)
  • 電車内にUSBを置き忘れる
  • データの誤削除
意図的脅威
  • 不正アクセス
  • 放火
  • 情報の持ち出し
  • 覗き見でのパスワード取得

 これらの分類は、法務問題の分野を特定するのにも役立ちます。
 環境的脅威の場合は、一般に、発生確率こそ低いものの、発生した場合の損害が大きく、保険対応が必要になることが多いので、保険でどこまでカバーされるかを考える必要があります。
 人為的脅威についても検討してみますと、外部犯の偶発的脅威は、環境的脅威に近いものもあり、同様の対応が考えられるところです。

 しかし、もっと大変な問題は意図的な攻撃や内部犯の偶発的脅威です。
 まず、内部犯の偶発的脅威は、いわば従業員のミスですから、これを100%防ぐことはできません。しかし、ミスを避けるために厳しすぎる内部ルールを定めると、従業員の勤労意欲が削がれたり、信頼関係が失われたりすることもあります。一方で、緩すぎるルールでは何の対策にもならないことも明らかでしょう。
 そして、従業員の軽微なミスから大きな損害が生じてしまった場合に、人事労務上、不利益処分を課すことができるかという点は、まさに、人事労務の法務問題となります。そのときには、使用者側の事情として、日頃から教育体制を整えていたかが問われることになるでしょう。

 意図的な脅威については、内部犯であれば懲戒処分の検討が必要になる一方、会社は被害者でありながら、対外的には使用者責任(民法715条)を取らされることになります。
 外部犯の意図的な脅威については、理論上、攻撃者に損害賠償請求ができます。しかし、実際問題として見てみると、海外からの攻撃も多く、攻撃者の特定が困難を極めることが少なくありません。特定できたとしても、損害賠償請求に耐えられるだけの資力があることは稀でしょう。
 そうすると、内部犯であれ外部犯であれ、意図的脅威については、理不尽であったとしても自社が最終的な損害を被る可能性があることに注意が必要です。

脆弱性とは

 脅威によって利用されるおそれのある弱点のことを「脆弱性」といいます。

 人為的脅威のうち意図的脅威の典型例である、情報の持ち出しを考えてみましょう。たとえば、次のような経過をたどって情報漏えいが発生することが考えられます。

  • 労働環境が悪く、会社に対する帰属意識が低くなり、モラルも低下しきっている状態だった
  • 悪意ある第三者から高額の現金と引換えに情報の持ち出しを依頼されたら、話に乗ってしまうような心理状態に追い込まれていた
  • その従業員が重要な情報にアクセスすることは容易であった

 こういった状況下では、労働環境の悪さ、モラルの低下、情報アクセスコントロールの不備などが、情報の持ち出しという脅威に対する脆弱性になるということができます。  

リスクとは

 脅威が脆弱性につけ込むことによって具体的に生じうる損害を「リスク」といいます。一般的には、

リスク=情報の価値×脅威の大きさ×脆弱性の度合い

で表されます。価値があればあるほど、攻撃しやすければしやすいほどリスクが高いということになります。

 ここで、脅威や脆弱性が特定できれば、原因がわかるのでそれを除去すれば良いのではないか、なぜ、リスクを別に考えるのかと思われるかもしれません。
 しかし、経営者が経営問題としてセキュリティを捉えるときの肝は、この「リスク」にあります。その理由は以下の3点にあります。

 まず、セキュリティ対策は、コスト部門であるということが指摘できます。セキュリティは、保たれて当たり前、保たれなければ支障が出るというもので、それ自体が利益を生み出すという性質のものではありません。そうすると、費用対効果で考える「効果」とは、「いかにマイナスを抑えるか」、言い換えれば「マイナスがいくらか」の計算が重要ということになります。ここは、最終的には、法務で解決されるべき問題となってしまいます。

 次に、セキュリティ対策はどこまで行っても100%にはなり得ないという点が指摘できます。つまり、どれだけ社員教育を充実させても、完璧な対応を求めることには限界がありますし、技術は日進月歩ですから、ある時点でベストな対応であったとしても、時間の経過とともに陳腐化してしまいます。

 さらに、法務の観点からもやっかいな問題があります。自社が不正アクセス等の攻撃を受けた結果、何らかの被害を発生させたとします。このような場合、通常の取引であれば、相手方に何らかの原因があった場合は、損害賠償請求を行うことが考えられます。しかし、サイバー攻撃の場合、そもそも加害者を特定することが技術的に極めて困難ですし、特定できたとしても、損害賠償請求まで行うのは、費用対効果を考えても現実的に不可能です。そうすると、自社が被害者になった場合、その被害を転嫁する先がない、換言すれば、他者のせいであっても自社が被らないといけないことになります。

 これらを組み合わせると、結局、セキュリティ対策とは、①自社が最終的に被害を被る可能性のあることを前提に、②どのような被害が、どういった確率で生じるのかを見極めた上で、③許容できるリスクと許容できないリスクを分け、許容できないリスクへのコストパフォーマンスの良い対策方法を考える必要があることになります。

 このうち②の被害額の見積もりは、情報の価値が裁判例上、いったいどのように計算されているのか、または、計算されそうかという法務的観点が必要になりますし、確率については、内部の人的・物的システム全体の見直しが必要になりますから、まさに経営の問題になります。また③も、リスクの受け入れという危険な判断を伴うものですから、同じく問題になります。
 つまり、セキュリティ対策というのは、極めて高度な経営問題であり、法務的な対応が不可欠な問題であるということができます。

 この話を役員の責任追及という観点で見直します。
 すると、インシデントが発生した場合、なぜインシデントが起きたのか、防止することができなかったのかという観点から、役員としての責任追及をされる可能性があります。そのため、役員自身が基礎的なセキュリティに関する知識を収得し、技術部門とオープンな意見交換ができるようになる必要があるでしょう。
 一方、セキュリティは本質的にコスト部門であることから、会社の規模に合わせた適切な費用対効果を考える必要があります。ですから、理論的ないし技術的に何ができるかというだけで判断をすると、過大なセキュリティ対策を取ってしまい、経営に悪影響が出ることも考えられます。ここで、コスト部門における費用対効果の「効果」というのは、「マイナスをいくら防ぐことができるか」という視点が必要になります。その算定や見積りのために、法務の活用をすることが重要になります。
 すなわち、経営・技術・法務の三位一体が重要になるということです。

リスク対応とは

 以上のようなリスクへの対応には、大きく分けて以下の4つの分類があるといわれています。

対応方法 意味
リスク受容 リスクがあることを前提に、発生した場合の損害を受け容れる方法
リスク低減 リスクがあることを前提に、費用対効果を見て、なんとかリスクを最小限に抑える方法
リスク移転 リスクがあるものの、それを自社で管理するのではなく、一定のコストをかけて、他人にリスク負担してもらう方法(保険やクラウドの利用が典型例)
リスク回避 コストや利便性を犠牲にしてでもリスクの現実化を回避する方法(パソコンをネットにつながない等)

 これらのいずれの方法を取るべきかは、リスクの発生可能性と影響度の大小の相関関係で決まると考えられており、下記の図のように分類されます。

リスクの発生可能性と影響度の大小の相関関係

 この分類を見る上で重要なことは次の2点だと考えられます。

 まず、上記の4分類は、あくまでもリスクが判明していることが前提であるということです。洗い出せたリスクについて対応策を論じているものですから、そもそもリスクがあるかどうかわからないという点は、検討の対象外とされています。
 しかし、現実にセキュリティインシデントが起きた場合、知らなかったこと自体が過失であると認められる可能性があります。セキュリティ業界は、日進月歩ですが、情報開示がさかんな分野でもあることから、セキュリティ対策の担当役員は、日々、セキュリティの動向について検討をしておく必要があるでしょう。

 次に、上記の図から見て取れるように、どうしても「リスク低減」が中心となります。リスク低減は、一刀両断でリスクと切り離してしまうリスク回避と異なり、費用対効果を考えて、選択肢を検討する必要があることから、コスト管理の観点から最適解を探すことが大切です。  

セキュリティをすべて理解するのは困難

 上記のように、セキュリティは極めて高度な経営問題であり、法務の観点も入れた上でコスト管理との兼ね合いを考えていかなければならないものです。そのため、経営者はセキュリティについて知見を得ておく必要があります。仮に知見を得ていなかった場合、そのこと自体の過失を問われかねない状況となっています。
 しかし、セキュリティと一言にいってもさまざまな分野があります。技術者に限定してもソフトウェア、ネットワーク、ハードウェアといった各分野ごとに専門化が進んでいますし、防御側・攻撃側(悪意のある攻撃者という意味ではなく、脆弱性を探すためにあえて攻撃を加えることがあり、そのための専門家(ホワイトハッカー)も存在します)などで専門化が進んでいます。
 これらの技術のすべてを理解するのは、技術者でも困難で、まして、ITについて専門的な教育を受けているとは限らない法務部門や経営部門で、完全にそれを把握することは困難です。
 しかし、昨今の個人情報保護の時流等に鑑みれば、セキュリティ対策をしないという選択肢はないといってよいでしょう。

 では、どうすればよいか。筆者としては、本稿でご紹介したセキュリティのCIAといったセキュリティの基礎概念を、まずは押さえておくことだと考えます。確かにセキュリティは日進月歩ですが、基礎となる概念には、ペーパーベースの時代から培われてきた学問的知見もあります。ですから、まずは基礎概念を押さえ、今検討している問題が、どういった問題なのかを大きく把握してから、技術者に概要を聞いていくというアプローチが良いのではないかと考えています。

  そこで、次回以降は、本稿でご紹介したセキュリティのCIAそれぞれについて、法務的な観点も交えて、どのようなリスクや対策があり得るかを検討していきます。

KeyWord
  • セキュリティのCIA
  • 脅威・脆弱性・リスク
Point
  • セキュリティ問題は経営問題であり、法務と技術の相互理解が重要
  • セキュリティ被害は転嫁することが難しく、理論上完璧な対策が考えられないことが特徴的

関連する特集

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する