またしても、大規模な個人情報流出事件である。

米国の医療保険大手のアンセム社がサイバー攻撃を受けて、およそ8000万人分の個人情報が流出したと報道されている。企業の情報システム担当者だけでなく、経営トップも他人事とは思えず、肝を冷やしているだろう。

このところ企業の情報担当責任者と意見交換すると必ず出てくるのが、個人情報を含めて企業が大量に保有する情報を守る「万全の策はないか」という質問である。質問する側も「そんなものはありませんよ」と答えられるのを知っての自虐的ともいえる質問である。「方法はない」と言われるのを確認したいのだろう。そして、なぜか安心するのである。

しかし、安心していても始まらない。サイバーセキュリティは情報システム担当者の領域は越えて、経営トップを含む経営上の最も大きな課題になっている。場合によっては企業存続に赤信号を灯す重大なリスク要因になる。

実は「万能」ではないが、部分的には安全な対策はある。

まず、後ろ向きで不便を覚悟しての方法として、インターネットとの接続を断つことである。これで少なくともサイバー攻撃は避けられる。電子取引をファクシミリ通信に切り換えるとか、とんでもない不便な業務方式に後退する。そこで、サイバー攻撃を受けても重要情報が流出しない重要度の低いものについてだけインターネットと接続するなど、不便さを最小限にする工夫を凝らさなければならない。

パソコン端末やスマート端末にマルウェアを仕込まれてシステムの中に侵入される、という手口が大半なので、マルウェアが仕込まれにくいシンクライアント端末を利用したシステムに切り換えるというのも一つの方法だろう。多くのシンクライアント方式ではUSBが接続できない、という不便がある。しかし、最近ではOSに端末制御機能を加えて、事前申告でUSBを使えるようにしたシンクライアントも出始めている。十分に検討の余地がありそうだ。

さらに最近登場してきたのが、本欄でも昨年11月に触れた「秘密分散処理法」だ。簡単にいうと、情報ファイルを暗号化した上で、複数の断片に分散して別々のサーバーに保管する。サイバー攻撃や従業員の不正などによって断片の1つを盗まれても、他のすべての断片を集めて結合しなければ暗号を解けないので、情報は流出しない。意味のない雑音の信号が盗まれただけである。また、断片も同じものを別々の場所に保管しておけば、一か所のデータセンターが機能マヒを起こしても、他のところにバックアップしてある断片で代用すればよいので、BCP（事業継続計画）対策としても有効である。

暗号化、分割などでデータが膨らんでしまうのが欠点だったが、データ圧縮技術や処理能力の向上で、データを増加させない手法も出始めて、実用段階に入っている。

情報ファイルの防衛という限られた分野の対策だが、それだけでも価値は大きい。

「万能」はないが、場合によっては「安全」という対策は生まれ始めている。既成概念にとらわれずに、いろいろ検討すべきだろう。

あきらめる前に、試みるべきことはまだたくさんある。