ネットワーク時代の桶の理論

ネットバンキングの不正送金（※１）が急増している（図表）。2014年では、被害件数が前年比43％増の1,876件、被害額は同107％増の29億1,000万円となった。内訳を見ると、被害を受けた金融機関種類別の数では、「都市銀行・その他」が12から16へ同33％増加したのに対して、「地方銀行・信用金庫・信用組合」では20から86へ同330％増となっている。被害額の変化を口座種別で見ると、個人口座については、「都市銀行等」が同34％増であるのに対して、「地方銀行等」は同124％増、法人口座については、さらに激増しており、「都市銀行等」が同392％増、「地方銀行等」は同1,681％増である。

法人口座で激増した理由は、警察庁の資料からは読み取れないが、筆者は、情報セキュリティの「桶の理論」にあたるのではないかと考えている。桶の理論とは、桶＝組織に一カ所でも「弱い部分（脆弱箇所）があれば、そこから水が漏れる（※２）」ことで、他がどんなに強固に守られていても、一カ所でも弱いところがあれば、そのレベルに下がってしまうことを言う。

この場合の「桶」を、銀行とネットワークで結ばれている取引先も含めて考えると、地方銀行や信用金庫などの取引先に中小・零細企業が多いことが関係しているのではないかと推察される。つまり、地方銀行などがメガバンクより小さいから狙いやすい、というだけでなく、情報セキュリティレベルの低い取引先が多そうだという理由で狙われたのではないだろうか。

実際、独立行政法人　情報処理推進機構（IPA）の「企業におけるサイバーリスク管理の実態調査2015」報告書（2015年6月30日）によると、情報セキュリティに関する21の取り組み（※３）を実施している割合は、どの取り組みも大企業ほど高く企業規模が小さくなるほど低い。背景には、経営者と担当者の意識の差があると考えられる。このIPAの報告書では、情報セキュリティに関する事故にあう可能性があるかどうかも尋ねているが、「可能性はある」と考える割合（※４）は、大企業の経営者では約52％、中堅企業で約37％、中小企業で約34％と、規模が小さくなるにつれて事故にあう可能性を低く考えている。また、大企業のリスク管理＆IT（の担当者）では約63％、中堅企業で約49％、中小企業で約46％と、こちらも規模が小さいほど、その可能性を低く見積もっている。

気になったのは、どの企業規模でも、経営者の情報セキュリティ事故に関する意識が、リスク管理＆ITの担当者より低いことである。経営者が桶の欠けた部分にならないよう、意識変革が求められよう。

（※１）原因は、不正送金処理を自動で行うウイルスに感染するなど。
（※２）独立行政法人　情報処理推進機構（IPA）　「2009年度IPA情報セキュリティセミナー マネジメントコース入門編」　28ページ（2015年7月13日閲覧）
（※３）中小企業で実施率が低く、大企業の実施率と比較して差が大きい取り組みには「プライバシーマーク（Pマーク）の取得」、「情報セキュリティマネジメントシステム（ISMS）の認証取得」、「リスク分析に基づくリスク報告書の作成」などがある。中小企業で実施率が高く、大企業の実施率と比較して差が小さい取り組みには「重要なシステム・データのバックアップ」、「一般ユーザアカウントの管理ルールの策定（パスワードの設定ルール等）」、「ハードディスク等の機器廃棄時の破砕／溶融」などがある。
（※４）「今後、事故にあう可能性は高いと思う」と「今後、事故にあう可能性はあると思う」の合計。