日本PGP 代表取締役 北原真之氏

──セキュリティ危機が日々叫ばれているにも関わらず、情報漏えいはなくなりません。こうしたセキュリティの現状をどうご覧になりますか？

　かつて汎用機の時代には、セキュリティという意識そのものがありませんでした。そもそも操作自体が難しく、だれにでも扱えた訳ではありませんし、通信も基幹業務は主に専用線を介して行われていました。それに比べて今では、あらゆる情報がインターネットを経由してやりとりされています。PCの操作も簡単になり、だれにでも情報を取り扱えるようになりました。

　こうした環境の変化にも関わらず、ユーザーの意識が低いままだということが、情報漏えいがなくならない最大の要因だと思います。意識が低いままなので、ツールが進化しても対策が十分に行われないままになっているのです。一方で情報の「集積度」も年々高度化しています。一つの場所により多くの情報があるため、情報漏えいの被害額は増加の一途をたどっています。

　もっともツール自体にも課題はあります。セキュリティ製品の多くは外部からの攻撃に主眼を置いていますが、情報漏えい事件の多くは内部犯行とうっかりミスです。悪意を持って意図的に行う犯罪を減らしたり、困難にしたりすることはできますが、ゼロにすることは事実上不可能です。これは情報漏えいに限らず、すべての犯罪について言えます。

──こうした問題に、どのような対策でのぞめばよいのでしょうか？

　犯罪防止にもっとも必要で最も投資効果が高いのは、実は「教育」です。セキュリティの基本サイクルは「抑止」「予防」「検知」「回復」の順になっています。まずは「抑止」し、抑止力の及ばないものを「予防」し、それでも実行された犯行をいち早く「検知」し、元の状態に「回復」するというサイクルです。できるだけ早い段階、できれば抑止の段階で多くの犯罪を止めることができれば、セキュリティ対策は容易になります。そこで効果的なのが、社員教育というわけです。予防や検知、回復といった後工程で高額なツールを導入するより、まずは教育で抑止力を高める方が、費用対効果も高いと言えます。PGPの製品を導入すれば完璧です！と言いたいところですが、教育に勝る効果を上げられるセキュリティ製品はどこにもないというのが持論です。

　特に日本企業は教育に費用をかけるより、罰則を強化することで抑止力を確保しようとする傾向があります。罰則も重要ですが、潜在する危険やリスクを社員に周知する「教育」も効果的なので、ぜひ考えていただきたいですね。


──技術的に解決できる糸口はないものでしょうか？あらゆるデータを暗号化できれば、情報漏えいが問題になることはないと思いますが。

　暗号化技術は、安全な情報流通を支える基盤技術です。すべてのデータを暗号化しておけば、情報の置き場所を問いません。昨今話題となっているクラウドコンピューティングやSaaSなどでは、預けた情報の安全性が疑問視されることも少なくありませんが、そういった形態においても、PGP暗号は情報の安全性を保証します。 PGPが基本技術に用いている公開鍵暗号方式は、これまでにまだ破られたことがありません。

　ただし、事前に必要な公開鍵の交換など、鍵の管理は永遠の課題だと言われています。こうした利便性の面に関しては、ITで解決していけるのではないかと思っています。実際に、現在の私たちの製品ではかなりの部分が自動化されており、ユーザーが暗号化を意識しなくてもいいレベルになっています。

──欧米では特にメール暗号化の用途で普及が進むPGP暗号ですが、日本での普及は遅れているようです。日本ではなぜ、メールの暗号化が普及しないのでしょうか。

　普及が遅れている理由のひとつに、相手にも同じツールを入れてもらわないと使えないということが挙げられるでしょう。欧米ではPGPとS/MIMEが普及しているので、標準的なツールとして企業間のやりとりにも気軽に利用できます。日本ではまだ暗号化ツールが標準化されていないため、暗号化方式を相手に強要するようで、どれも採用しづらいのでしょう。

　パスワード付きのZIPファイルが先に広まってしまったというのも、暗号化が普及しない理由かもしれません。みなさんも一度は使ったことがあると思います。Windows XPに標準で備わっていて、無料で使えるツールもたくさんあるので、送信相手にも利用をお願いしやすいのでしょう。しかしZIPファイルのパスワードはセキュリティ強度も高くない上、共通鍵となるパスワードの取り扱いも問題となります。パスワードを別のメールで送って安心している方もいらっしゃいますが、前後のメールを合わせて盗聴すればあっさりパスワードが漏れてしまいます。