暗号化で進めるICT情報防衛

漏洩を甘く見てはいけないのは当然だ。発生したベネッセの損害は甚大だ。この会社は過去に損金を出したことのない会社だったが、各種報道によると今回の事件で260億円の損失を出したとされている。事件の内容と評価は大きく悪い方に誇張、批判されて報道されている。でも、これも致し方がないことだ。例えば「ベネッセの会長ら経営陣は無責任で認識が甘い….」どの報道もある。260億円もの経済的損失に加えベネッセは体面や名誉まで汚されてしまっている。

気をつけなくてはならないのは、PCからデータを持ち出せるデバイスは、スマホや、SDカード、USBメモリ、CD/DVDなど意外に多いことだ。先進国でICTの技術を進化させ利便性を追求した結果だ。漏洩したのは顧客のデータであって、住所氏名年齢や電話番号などの多数の個人情報を含んでいるようで、及ぼす迷惑は膨大だ。

ベネッセはどうすれば良かったのだろうか？例えばサーバを仮想化するという手は使えるのではないか。サーバの仮想化とは1台のサーバをあたかも複数台のコンピュータが別々に動作しているかのように見せかける技術である。この技術を使えばクライアントPCのデスクトップ環境をサーバ上で稼働させることになる。VDI（Virtual Desktop Infrastructure）と呼ばれる手法だ。ワーカーが使うPCのハードディスクに情報は記録されないから原則的にデータはワーカーの手元に残らない。そして当該データをコピーすることもできない。派遣員の仕事の成果は全てサーバにしか残らない。ここでは都合上VDIの詳しい仕掛けや原理は触れない。競争力となる機密情報の流失を防ぎ、強固なセキュリティを確保するVDI環境を提供する会社は多くあることがわかっている。

VDIと同様にアプリケーションソフトやデーターファイルなどの経営資源は、会社がそのサーバで一元管理し、運用・管理コストの削減をはかるシンクライアント（thin client）の考え方もある。シンクライアントは専用のパソコンで、ハードディスクがなく、キーボードとディスプレイを主体とした装置で、そのデータは社内ネットワーク経由でサーバ上に置く仕掛けである。もちろんUSB端子もない。従って、シンクライアントでもVDIと同じく情報の漏洩に対して防衛する事が可能だ。仮にベネッセがシンクライアントで被告Mを働かせていたなら同じ犯罪はできなかった。

インターネットが広く普及した1995年以降、情報漏洩事件はほぼ毎年発生しているので、VDIやシンクライアントと並行してもっと基本的なソリューションである情報の暗号化が必要なのは明らかであろう。さすがに東芝や日立はICTを使う暗号研究が盛んだ。東芝は量子暗号の研究を以前から続けている。東芝の研究する技術は量子力学の原理を応用していて原理的に破ることが不可能だと日経の記事は述べている(参考資料1)。

日立は電力や鉄道などのインフラストラクチャがネットに繋がれている状況に注目した。そのような所では、多数の監視のためのセンサが観測データを発信している。センサからの情報は暗号化する必要がある。しかし、データ通信ではAESのような暗号化技術を採り入れるとデータ転送が遅くなりがちなため、日立は暗号データの高速化を図る新技術を提案している(参考資料2)。我が国のトップ企業が、このようにして情報を保全する社会の構築に貢献しているのは頼もしい。

一方、ICTの進展の結果、ビットコインが使われる時代が到来している。ビットコインが注目をされたきっかけは、東京渋谷区にあったマウントゴックス社が本年2月28日、東京地裁に民事再生法の適用を申請し、経営破綻を表明したことが発端だ。同社の責任者カルプレスが会見を開きシステムの失敗を謝罪した。この事件はビットコイン流通の運営業務は会社組織でも人事、総務、営業などの伝統的な経営問題のみならず、誤りのない暗号システムの運営がなければコインはハッカーに盗られることは明らかだった。筆者の見るところ、カルプレス等はこの能力が欠乏し、この結果、失敗したのだろう。

先にも述べたが、企業は情報保全を徹底し漏洩に対して万全の注意をしなくてはならないことを経営陣は肝に銘じなくてはならない時代になっている。さもなければとんでもないことになる。

参考資料
1. 東芝、究極の安全通信　日本経済新聞 2014年8月31日
2. 日立、暗号でサイバー対策　日本経済新聞 2014年10月18日