オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

東芝半導体技術流出損害(1000億円規模)と被告の罰金(300万円)だと、企業側は何ができるのか?

»

昨年起きた東芝の半導体技術流出事件ですが、先日東芝フラッシュメモリ秘密漏えい事件、高裁も一審の実刑判決支持となったようです。

東芝のNAND型フラッシュメモリの技術に関する機密情報を、韓国SKハイニックスに不正に提供したとして、不正競争防止法違反(営業秘密開示)の罪に問われた、元サンディスクの技術者(54)の控訴審判決で、東京高裁は9月4日、懲役5年、罰金300万円を言い渡した一審の東京地裁判決を支持し、被告側の控訴を棄却した。

昨年書いたブログ:たった1人の情報漏洩事件で1000億円規模の打撃をどう考えますか?

大きな組織になるほど、色々な問題を抱えるものなのでしょうか? 単に組織構成人数が多い分だけ問題発生率も高くなるのか?よくわかりませんが、この組織は色々あるようですね。味噌と糞は別けなければなりませんが、同じようにしか見えないのは、私自身の偏見かもしれません。

この事件、元技術者が「どれだけの報酬」を得ていたのかわかりません。直接金銭をもらったのか、間接的にもらったのか? または何らかの有利な立場等々、色々ありますが、結局パチンコの出玉のように、最終的には金銭に変わるものであったと思います。

その額を被害と報酬、被害と罰金で考えれば、どう見ても被害額のが大きくなります。罰金300万円以外に民事的な追い込みもあるのでしょうが、どうにもバランスがよろしくないです。1000億円規模の損害を1人で与えられるような「情報管理体制」な問題もありますが、この程度の刑事罰で、それ以上の報酬が得られるのであれば、情報漏洩やってもいいかも?と考えられることも思うことも否定できません。

ベネッセの事件も1人の犯行で、かなりな損害とダメージを与えました。 このときの報酬は400万円くらいでした。

ベネッセ関連ブログ: ベネッセの顧客情報漏洩に思う「大きな勘違い」ベネッセの思う「重要でない情報」を7つのケースで考える

昨年のベネッセ事件以降、従来のクライアント企業とは違う、様々なお客様から多くの引き合いがありますが、真剣に考えている企業はどれほどあるのだろうか?と心配になってしまうようなこともあります。そのレベルは浅いところでは「とりあえず情報セキュリティ対策をするように言われたので話を聞きたい」とか「内容も規模もわからないままに見積もりがほしい・・・」など、他人事のように悠長な考えの元に「言われたからやっている」感の強い緊張感がありません。話を聞いていれば、大概の状況と現状レベルは見えるものです。そんな打ち合わせばかりしていれば場数が肌感覚で捉えられるものです。

結構、切迫した状況が見える時には、その説明もしていますが、情報セキュリティの必要性を頭で理解していても、自社とは(では)違う・・・との思い込み(たい気持ち)が強くあるようです。切迫した状況であることをそうは思いたくないのと、原因と結果の法則のように結果が鮮明で今後の動きまで見えている予測の受け入れ、その対応策をとることへの大きなギャップがあるようです。

結果、無駄な時間(相手も私も)を費やすことになり、予測は結果として出てくるケースが多くなってきました。これは真剣に考えてないからこその結果であると感じています。

実際に真剣に考え苦戦して未然に防ぐことを選択した企業では、さらに深い部分まで対策を進めた動きに変わっています。回避できた状況には更に深い問題を抱えていると本気で考えるからこそ、次の策に動けるのです。

喉元過ぎれば熱さを忘れると言いますが、喉元を過ぎたからこそわかる問題の捉え方と考えます。喉元も過ぎてなく、それ間違いなく引っかかり痛いですよ!と言っても、痛くなってから動くのは、痛みも出血も伴う最悪な状態を自ら招いた結果であり、その原因は事前にある程度予測できていたこと。予言者でもなんでもなく、どの業界においても容易に予測できる結果が見える方々はいると思っています。

蟻が象を倒すと言われますが、最近の事例では多くの蟻は必要ないみたいです。1匹の蟻だけで十分なダメージを与えられる状況に変わっているのに、象(企業)のほうは変わっていません。

自身の立場を保つためだけの不必要な報告を真に受けず、トップマネジメントが決断をしなければ、本当に間に合わない事態の綱渡りであることを認識しなければなりません。

時間は有限なものなので、お互いに無駄な時間を費やすことに意味はありません。私も真剣に考え推進するところだけに集中していきます。 

Comment(0)