マカフィーは2月6日、1月29日(スイス時間)にスイス・ダボスで開催された「世界経済フォーラム年次会(ダボス会議)」で同社が発表したセキュリティレポート「無防備な経済: 重要情報の保護(Unsecured Economies: Protecting Vital Information)」の概要について、プレス向け説明会を都内で行った。出口の見えない不況感が全世界を覆う中、企業のIT投資は低減される傾向にあるが、同レポートは「セキュリティをコストと見なし、一様に削減していくのは危険。企業は"ビジネスの成功要因"としてセキュリティを捉えるべきだ」と警鐘を鳴らしている。

同レポートはMcAfeeの委託により、米インディアナ州にあるパデュー大学CERIAS(情報保護・セキュリティ教育研究センター)が中心となって行ったもの。全8カ国から企業100社ずつ、計800社のIT責任者を対象に調査が実施された。8カ国の内訳は以下の通り。

  • 米国
  • イギリス
  • ドイツ
  • 日本
  • 中国
  • インド
  • ブラジル
  • 中東(ドバイ)

犯罪者は無防備なカモを放っておかない

米McAfee ワールドワイド フィールドマーケティング担当シニアバイスプレジデント Robert Humphrey氏

プレゼンテーションを行ったのは米McAfeeでワールドワイド フィールドマーケティング担当シニアバイスプレジデントを務めるRobert Humphrey(ロバート・ハンフリー)氏。同氏はまず、現在、全世界で企業が晒されているセキュリティリスクに関する数値をいくつか示した。

  • 情報漏洩の報告件数は、2004年から比べて1,700%増加
  • 2007年の情報漏洩1件あたりの平均コストは179ドル
  • 全攻撃の80%が金銭目的
  • スマートデバイス(スマートフォン、ミニノートなど)の増加でオンラインに接続可能なデバイスが劇的に増加、今後も増加の一途
  • 2008年に報告された米国内でのサイバー犯罪被害額は2億4,000万ドル(過去最高)
  • 暗号化などの対策を施した場合の情報漏洩率は2.4%

これらの背景について、「以前はゲーム感覚のクラッキングなどが主流だったが、現在はサイバー犯罪のほとんどが明らかに金銭を目的にしている。暗号化された環境での情報漏洩率が低いことを考えると、"モノ(情報)を机の上に放置"している状況がいかに企業内に多いかがわかる」とHumphrey氏は説明する。セキュリティに対する認識の弱さこそが情報漏洩に、さらには犯罪に巻き込まれることにつながっていく、という。

世界不況が犯罪を後押しする

同氏はつづけて、同レポートの研究結果について発表した。それによれば「昨年だけで、調査対象となった企業の知的財産損失額は46億ドルに上ると推定される。この数字から、McAfeeの"控えめな"見積もりでも、世界全体の企業の損失額は1兆ドルを超えると推定」(Humphrey氏)とされる。これは麻薬犯罪などを大きく上回る額だという。

さらに昨今の景気低迷が企業の知的財産損失のリスクを増大させているという面もある。「調査対象者の39%が、現在の経済情勢において、これまで以上に重要な情報が危険にさらされていると考えている」(Humpherey氏)というが、具体的な"脅威"としては「自暴自棄になった求職者」「解雇した元従業員」「経済的に苦しい従業員」などが挙げられている。とくに「解雇した元従業員」を警戒している企業は多く、調査対象者の42%が「解雇した従業員が重要情報に対する最大の脅威」と回答している。

また、コスト削減の一環で多くの企業で採用している「アウトソーシング」もデータ盗難の危険度が高い。同レポートによれば「平均的な企業は、1,200万ドル相当の機密情報を国外に保有している」といい、知的財産については「1社あたり1,700万ドル相当が国外で管理/保管」されている状態だという。米国企業からアウトソースされることが多いインドでは、調査対象者の18%が「情報資産を保護するための規制は存在するが、実際には機能していない」と回答している。Humphrey氏は「これは文化的な要因によると思われる」とするが、プライバシーに対する感覚の違いなどが、データ流出につながった事件も多い(インドのコールセンター職員が、新聞社に聞かれるがままに市民の個人情報を教えた、など)。現地従業員の教育/訓練は、国外で情報を扱う際の大きな課題のひとつだろう。

「地政学的な脅威」という点からも興味深い調査結果が得られている。調査対象企業の多くが、中国、パキスタン、ロシアを「問題地域」と認識しており、26%が「意図的に中国で情報を保管しない」と回答している。同レポートでは「中国はプライバシーおよび知的財産保護の感覚が欠如している」「パキスタンはアルカイダやタリバンなどのテロリスト潜伏先としても、また"サイバー犯罪者天国"としても有名」「ロシアは冷酷かつ無慈悲で莫大な資金をもつロシアンマフィアの存在が大きい」と分析、3カ国の共通点として「セキュリティインシデントの追跡評価も最悪、取締機関の腐敗と非力がその主な原因」とまとめている。

調査対象企業が脅威に感じる国のトップ3は中国、パキスタン、ロシア

調査対象企業がビジネスをご遠慮したい国のトップ3はパキスタン、中国、ロシア

日本の場合

情報セキュリティ大学院大学 内田勝也教授

Humpherey氏はプレゼンテーションの最後に、日本企業の調査結果について言及した。「日本企業は他国と比較すると、アウトソース自体が少ない。機密情報のうち97%が日本国内に保管されているが、これは他国と比べても飛び抜けて高い。調査対象企業の平均値39%」「ネガティブな評判を避けたり、世間体を守ることがセキュリティ投資の目的と回答した企業が、英国に次いで2番目に多かった。これも文化的な要因だろう」(Humphery氏)

また、同レポートに寄稿したひとりである情報セキュリティ大学院大学の内田勝也教授は「日本では、"情報セキュリティ=個人情報保護"と捉える風潮が強い。個人情報以外でも企業が守るべき知的財産は数多くある。日本企業は情報流出のリスクについて認識が甘いところが多い。自社のもつ知的財産の重要性をもっと認識してほしい」と呼びかけた。

情報セキュリティ対策はコストではなく"ビジネスコンポーネント"

セキュリティ犯罪、とくに企業の知的財産を狙った犯罪は、被害に遭った企業が世間体や風評を気にするあまり、表に出てこないケースが非常に多い。そのため、情報が社会を通じて共有されず、"過去の教訓を生かす"ということにつながりにくい。アンダーグラウンドで横行するさまざまなクラッキングの手口も、模倣者が出る恐れを考慮してか、詳細が明らかになることは少ない。

そして何より最も脅威となるのは、企業側の認識の甘さだ。「企業は自社の知的財産の損失と価値を過小評価している」- パデュー大学教授兼CERIAS所長のEugine Spafford氏は同レポートでこう述べている。「金、ダイヤモンド、原油と同様に、知的財産は世界で取引される通貨の一形態であり、盗まれれば深刻な経済的影響を及ぼす可能性がある」- 全世界すべての企業がその大きさにかかわらず、等しく狙われているという事実を強く認識し、問題解決に尽力する企業こそが生き残っていける、同レポートはそう結論づけている。