佐々木俊尚　これまでの仕事

　ヤフーＢＢ、ジャパネットたかた、そしてコスモ石油……。大規模なプライバシー流出事件が相次いでいる。企業のセキュリティに取り組む姿勢が、今や問われているのである。そんな中で、「メガバンクのセキュリティはきわめて低い」とする驚くべき調査結果までも現れた。いったいわれわれの預金は大丈夫なのだろうか？

　「日本の多くの企業はセキュリティ対策で落第。特に情けないのは銀行ですね。メガバンクをはじめ、どこの銀行もセキュリティに関する意識が欠落してしている。銀行はこんなことで個人情報がちゃんと守れるのか」
　あきれ顔で語るのは、慶応大環境情報学部の武藤（たけふじ）佳恭教授である。セキュリティ問題の専門家である武藤教授は昨年、ベンチャー企業のアイ・サイナップ社（本社・東京都港区）と共同で、国内の上場企業３３００社を対象にしたセキュリティ調査を行った。その結果は驚くべきものだったという。
　「６段階評価でトップの合格点をつけたのは、キヤノンソフトと日本ユニシスの２社だけ。後は上から２番目のランクが３社あっただけで、大半は不合格だったといえます」（武藤教授）
　点数の低さが目立ったのが、金融機関。別表を見ていただけるとわかるが、世界に冠たるメガバンクでも、みずほフィナンシャルグループと三井住友銀行が上から３番目のランクで「問題がある」レベル、ＵＦＪ銀行と東京三菱銀行は上から４番目だった。「明らかな問題がある」というレベルだという。
　他の地銀に目を向ければ、もっと悲惨なところもある。群馬銀行や先ごろ破たんした栃木県の足利銀行は６段階評価の最低ランク、セキュリティ対策がほとんど施されていないというレベルだ。これらの銀行はホームページが改ざんされたり、最悪の場合は顧客データが漏洩しかねない状況に置かれていたというのである。何とも恐ろしい話ではないか。
　この問題は、国会でも取り上げられた。３月17日に開かれた衆院の財務金融委員会で、民主党の中塚一宏議員が追及したのである。委員会には、メガバンク４行のトップも参考人として呼ばれていた。
　中塚議員「調査結果を見ると、とても安全だといえるような状況ではないということです。どのような感想をお持ちか」
　前田晃伸・みずほフィナンシャルグループ社長「いま初めて拝見したんですが、私どもはネットワークのセキュリティに関しましては、万全な手当てをしていると自負をいたしております」
　三木繁光・東京三菱銀行頭取「私どもも、外部のコンサルタントから評価は受けています」
　寺西正司・ＵＦＪ銀行頭取「毎年、システム全般のセキュリティについては外部監査を受けておりますし、外部から攻撃を受ける可能性のあるシステムについては疑似ハッキングというようなこともやってございます」
　西川善文・三井住友銀行頭取「こういったレポートも参考にしつつ、また外部のコンサルティング会社の助言なども得つつ、優先順位をつけて対応していくということが肝要かと思っております」
　中塚議員「前田参考人、ネットワークは万全だとかいうふうには言わない方がいいと思うんですがね。というのは、この委員会もインターネットで中継なんかされていて、恐らく見ている人はいっぱいいます。その中にはハッカーとかクラッカーというふうに呼ばれる人がたくさんいるし、今の発言を聞いて『じゃ、やってやれ』というふうな人間だって出てこないとは限らない」
　メガバンクトップの発言はいずれも自信満々だが、本当に大丈夫だろうか。
　それにしても、メガバンクの各トップが「知らなかった」と言ったこのセキュリティ度調査。確かに知名度は低いのは事実で、本当に信用できるのだろうか。
　しかし、実際の調査にあたったアイ・サイナップ社の江藤潔社長は力説する。
　「セキュリティ業界ではたいへんな権威のあるＮＰＯ（非営利団体）であるサンズ（ＳＡＮＳ）がＦＢＩと協力して作成したもので、アメリカでは非常に有名なものです。もっとも、日本ではこれまでほとんど知られていませんでした」
　サンズは１９８９年にアメリカで設立され、政府や企業でセキュリティ対策に携わる人々の教育を中心に活動を続けている。サンズのセミナーを受講したセキュリティ専門家は、延べ16万人以上に達しているという。メンバーの中心は、政府機関職員や大学研究者、セキュリティ関連企業の専門家といった人たちだ。
　ワシントンＤＣにあるサンズ本部の広報担当は、
　「インターネットのセキュリティホールは、今やたいへんグローバルな問題になっている。大企業や政府だけでなく、家庭のパソコンも同じセキュリティホールを悪用されて侵入されてしまう。このためには多くの人や組織が共同戦線を張って対抗していかなかければならない」
　と話す。こんな考えから、サンズは企業などが最低限守らなければならないセキュリティ対策をまとめたリストを作成しているのだという。これが今回、アイ・サイナップ社の調査で使われた「サンズ・トップ20リスト」と呼ばれる評価リストだ。
　リスト作成にはＦＢＩの関連団体である国家インフラ防御センター（ＮＩＰＣ）が公式に参加。現時点の最新版である２００３年版は、ＦＢＩからセキュリティ対策の移管を受けた米国土安全保障省、イギリスの国家インフラセキュリティ協力センター（ＮＩＳＣＣ）、カナダ政府重要インフラ保護・緊急準備部（ＯＣＩＰＥＰ）などが、サンズとともに名を連ねている。このリストがどれだけ権威のあるものか、わかっていただけるだろうか。
　武藤教授は、
　「サンズ・トップ20は、最低限満たしておかなければならないセキュリティのルールを定めたもので、いわば『セキュリティの常識』といったような内容です。専門家から見れば『外出するときは、靴を履きましょう』といった程度のことが書かれているだけです」
　と説明する。つまり日本企業の多くは、「靴を履く」という最低限の常識さえ守られていないというのである。何とも情けなく、恥ずかしい話ではないか。
　アイ・サイナップ社は「サンズ・トップ20」を自動的に検査してくれるソフトを入手し、昨年１月に約１週間かけて上場企業３３００社のホームページが置かれているサーバーコンピューターを検査したという。
　ホームページを対象にしたのは、外部からインターネット経由で誰でもアクセスできるようになっているからだ。
　少し難しくなるが、わかりやすく説明してみよう。通常、企業のホームページはサーバ上で「ウエブサーバーソフト」と呼ばれるプログラムを動かすことによって運営されている。ウエブソフトにはウインドウズ向けの「ＩＩＳ」やユニックス向けの「アパッチ」などさまざまな種類がある。しかしこうしたソフトはハッカーなどに狙われやすい。彼らはソフトの欠陥ともいえるセキュリティホールを探り出し、侵入方法を日夜研究しているのだ。いったん侵入されると、ホームページを勝手に書き換えられたり、ホームページが置かれているサーバの中にある個人データを盗まれるといった被害が出てしまう。
　このためソフトを開発・販売している側も、新たなセキュリティホールが見つかるたびにバージョンアップし、一生懸命「穴」をつぶしている。まさにイタチゴッコの世界なのである。
　ところが、せっかくバージョンアップしたのにもかかわらず、使っている企業の側が新しいバージョンを導入しないとどうなるだろう。セキュリティホールがそのままになっている古いバージョンを使い続けた結果、その「穴」を悪用したハッカーにあっさり侵入されてしまう……という結末を迎えるのである。こうしたウエブソフトを使う際は、どんどん新しいバージョンに更新していくことが何よりも大事なのだ。
　「サンズ・トップ20」の評価基準は数多くあるが、その中でも利用されているソフトのバージョンがちゃんと更新されているかどうか、というのが重要な項目のひとつとなっている。ところがメガバンクをはじめとする日本企業は、これらのソフトが古いバージョンのまま放置されているところが、圧倒的に多いということが調査結果からうかがえる。
　それにしても、メガバンクではなぜこうしたセキュリティの低い状態が放置されてきたのだろうか。
　もちろん、今回の調査は企業のホームページが置かれている公開のサーバーが対象となっており、銀行口座を扱っている基幹システムを調べたものではない。だから評価ランクが低かったからと言って、イコール「預金口座が危ない」とは言えない。
　しかし、一事が万事という言葉もあるではないか。こうした調査結果に不安を感じない人はいないだろう。実際、海外ではハッカーによって勝手に口座が操作され、現金が盗まれる事件が銀行を舞台に頻発しているのだ。
　都銀からＩＴ業界に転身し、現在はとあるベンチャー企業の社長を務めているＡ氏が事情を説明する。
　「都銀はどこも古い大型コンピュータを使っており、各行バラバラのシステムになっていた。合併してメガバンクになった段階で、古めかしい巨大システムを統合するのに各社とも四苦八苦したのです。今もこうした影響は残っており、各メガバンクのシステム担当者はシステムを問題なく動かすことにしか目が行っていない。かつての同僚に聞いてみても、『セキュリティにまで手が回らない』というのが現場の実情のようです」
　おまけに一昨年から昨年にかけ、大規模なコンピューターウイルス被害が何度も発生し、日本でも猛威をふるった。「ウイルスに対応するためにウエブサーバーソフトを別の製品に入れ替えるなどした銀行が多かったため、さらに混乱が拡大したようです」（Ａ氏）というのである。
　さらに今年に入ってからは、ヤフーＢＢやジャパネットたかた、コスモ石油などで大規模な顧客データ流出事件も発覚している。来年４月には個人情報保護法も施行されるため、「大手企業はどこもプライバシー保護の体制作りに大わらわです。プライバシー保護ビジネスが“プチバブル”状態になっている」（ＩＴ業界関係者）という。このような状態では、ますます混乱が倍加していく可能性もあるだろう。
　メガバンクのセキュリティの低さは、他の面からも裏付けられている。たとえば企業のセキュリティ度を示す基準として、「情報セキュリティマネジメントシステム（ＩＳＭＳ）」と呼ばれる基準があり、英国の「ＢＳ７７９９」や日本の「ＩＳＭＳ認証基準」といった評価制度がある。最近は取得する日本企業も増えているのだが、しかしメガバンクに目を向けてみると、このＩＳＭＳを取得している銀行は皆無なのである。
　今回の調査結果について、メガバンク各行は別表のようにコメントしている。各行とも、それなりの努力はしているのだろう。だが本当に大丈夫なのだろうか。
　武藤教授はこう指摘するのだ。「カネという大事な情報を扱っているのにもかかわらず、日本の銀行はセキュリティ意識が決定的に欠如している。何か事故が起きても、『これは天災のようなものだ』と他人事のように考え、責任回避をする文化が相変わらず大手を振っている。サイバー社会では、そうした意識はもう通用しません」
（ジャーナリスト・佐々木俊尚）

■別表１

アイ・サイナップ社が評価した各銀行のセキュリティ度（数字は６段階評価。数字が小さいほどセキュリティ度は高い）

みずほフィナンシャルグループ ３ http://www.mizuho-fg.co.jp
ＵＦＪ銀行 ４ http://www.ufjbank.co.jp
東京三菱銀行 ４ http://www.btm.co.jp
三井住友銀行 ３ http://www.smbc.co.jp
大和銀行 ３ http://www.daiwabank.co.jp
あさひ銀行 ３ http://www.asahibank.co.jp
第四銀行 ３ http://www.daishi-bank.co.jp
北越銀行 ３ http://www.hokuetsubank.co.jp
西日本銀行 ４ http://www.nishigin.co.jp
千葉銀行 ３ http://www.chibabank.co.jp
横浜銀行 ３ http://www.boy.co.jp
常陽銀行 ３ http://www.joyobank.co.jp
群馬銀行 ６ http://www.gunmabank.co.jp
足利銀行 ６ http://www.ashikagabank.co.jp
武蔵野銀行 ３ http://www.musashinobank.co.jp
関東銀行 ３ http://www.kantobank.co.jp
青森銀行 ３ http://www.a-bank.co.jp
秋田銀行 ３ http://www.akita-bank.co.jp

■別表２

メガバンク４行に聞いたセキュリティへの対応状況

問１　今回の調査結果が国会で取り上げられた後、何らかの追加対策を採ったか。
問２　セキュリティ対策を示す基準である「ＩＳＭＳ」は取得しているか。
問３　多発している顧客情報流出事件を受けて、新たに何らかの対策を追加したか。

東京三菱銀行
①セキュリティについては専門の部署があり、常にレベルアップを図り続けている。国会で取り上げられたことで急に何かを実施するということではなく、セキュリティ対策は継続的に進めるべきだと考えている。
②「ＢＳ７７９９」を想定しながら、対応を進めている。
③個人情報保護法の施行を見据えて、さらに優先順位を上げて対応を進めている。

みずほフィナンシャルグループ
①システムは、所管部署が厳格な運用管理を行っており、定期的に監査法人やシステムベンダーなど外部の専門機関によるチェックを行っている。システムを外部委託する場合も、セキュリティ対策などの観点を含む選定基準に則って委託先を選定し、委託中もセキュリティ対策について定期的に報告を受けている。
②取得していない。
③グループ共通のセキュリティポリシーを制定し、セキュリティ対策を明確に定めて遵守することなどを通じて顧客情報漏洩の防止に努めている。さらに最近の状況をふまえ、セキュリティに関する社内研修や個人情報管理の再徹底も行っている。

ＵＦＪ銀行
①平素よりセキュリティ向上については努力しており、国会で指摘された点についても十分に参考にさせていただいている。
②現時点では取得していないが、継続的に検討していく考え。
③従来から万が一にも情報漏洩がないように、各種の対策を講じている。今後とも他社事例なども研究し、対策を高度化していきたい。

三井住友銀行
①従来よりセキュリティ体制の構築には最善を尽くしているが、ファイアウォールのレベルのさらなる引き上げや、アクセス制限の強化を図り、必要に応じて外部の専門家の助言なども得てセキュリティの陳腐化を防いでいきたい。
②認定は受けていない。
③顧客データの管理については従来よりシステム部で開発と運用セクションを分離し、データ利用部門でも管理責任者と情報管理担当者を定めるアンド、厳格な運用体制を取っている。最近の顧客データ流出事件に鑑みて、今後も引き続きセキュリティの陳腐化防止とレベルの向上に努めたい。