かつて狙われたのは現金や宝石、美術品などのいわゆる金目の物。しかし、いま企業が狙われるのは情報です。産業スパイやライバル企業から機密情報が狙われている日本を代表する企業がサイバー攻撃を受け、情報が流出するという事件が続いています。報道されるのは誰もが知る大手企業ばかりですが、企業情報の流出事件は、内容がナーバスな上に企業にとっては公表すること自体が致命傷になりかねないことも多く、届けられていない、公になっていない事案が多く存在しているはずです。ソニーやカプコン、三菱電機など、IT関連機器の製造やサービスも手がけるような企業グループでさえもサイバー攻撃の被害に遭っています。三菱電機にまたサイバー攻撃、取引先の口座8千超流出:朝日新聞デジタル(2021年1月10日閲覧)IPA(情報処理推進機構)にはコンピュータウイルス・不正アクセス被害が届けられ、届け出事例として公開されています。コンピュータウイルスに関する届出について:IPA 独立行政法人 情報処理推進機構(2021年1月20日閲覧)標的にされた企業から流出した情報の件数や内容も膨大だったため、新聞やテレビでも大きく報道されましたが、これを見ると、被害全体のごく一部の事例であることがわかります。デジタル化が進んだ現在は、重要情報もデジタル情報で取り扱い・保管されます。ネットワークで繋がったサーバーやPCに保管された情報は狙われやすくなります。そのため、重要情報は外部とはネットワークから遮断された所で厳重に管理されることも少なくありません。通販企業では、顧客情報は独立したシムテムで管理し、決済情報は顧客番号や記号で紐付けた外部の別のシステムで持つなど分散化が進んでいます。しかし、どんなに厳重に管理しても、それを扱う「人」がその気になれば流出させることができます。大量の顧客情報を流出して世間を賑わせた事件としては、「ジャパネットたかた」と「ベネッセコーポレーション」(いずれも当時の名称)の2つの例が思い出されます。いずれも個人情報を第三者に売る目的で、情報を一度物理的なメディアに写して「物」として持ち出したのです。この2つは、大量個人情報漏洩事件のはしりの事件として、発覚後の対応例の良い例(ジャパネット)悪い例(ベネッセ)としてもよく取り上げられます。狙われたら逃げられない?しかし、近年多発するサイバー攻撃は単純な営利目的ではなさそうです。特定企業に的を絞った執拗な犯行です。三菱電機は一度攻撃を受けて情報を流出し、その後に対策を打ったにもかかわらず再度攻撃され、再び情報を流出させています。狙った獲物は絶対に手に入れる泥棒やエージェントが活躍する小説や映画、ドラマなどエンタテイメント作品が沢山あります。その多くはフィクションですが、中には史実に基づいた作品も少なくありません。綿密な計画と用意周到な準備の元に行動に移す実行犯は違法行為・犯罪であることを承知の上です。手段も選びません。ターゲットにされると逃れるのは非常に困難です。ある企業がヨーロッパの展示会に出展した際、現地へ出かけた一行がホテルから展示会場に準備状況確認に行っている間に持参したPCを盗まれるということがあったそうです。ただ、出張に持参したPCはクラウドからデータを呼び出して開き、本体にはデータを常駐させない物だったので、物理的な損失はあったものの情報の流出は免れたそうです。PC以外の被害はなかったことから、産業スパイによる犯行だろうとみています。今もストーカーのようにつきまとい、隙を見て情報を盗み出そうと虎視眈々と狙っているかもしれません。情報は安全に管理されているかの見直しを特許情報や新商品の開発情報、直接でなくてもその周辺の情報も拾い集め積み重なれば重要な情報にたどり着くこともあります。SNSの投稿から個人の勤め先や住所を特定されるなどはよく知られているように、取引先への発注内容の変化などから経営状況や開発中の商品の特徴なども推測されたりします。まずは、自社にはどのような情報があるのか、情報が流出した際のインパクトや被害・影響の度合いを把握し、適切な情報管理体制と流出予防策を策定しましょう。IPAがまとめた情報セキュリティ10大脅威 2020が参考になります。情報セキュリティ10大脅威 2020:IPA 独立行政法人 情報処理推進機構(2021年1月10日閲覧)個人情報は営利目的で盗まれるケースが多いので、情報にアクセスできる「人」に制限を設け、アクセス権限の厳格化やアクセス時の認証プロセスの多段階化、アクセスログの管理強化などで多くの場合は防ぐことができます。しかし、何よりもまずは信頼できる「人」と不正を許さない組織作りが重要です。