経済産業省が企業向けに策定しているサイバー攻撃から情報資産を守るための「経営指針（ガイドライン）」を根本的な視点から改定する。この経営指針2015年12月に初めて策定したものだが、早くも改定である。サイバー攻撃の進展が急すぎる、ということを示しているが、実際、改訂版の新経営指針も、刻々と変わってゆく実態に追いつけているかどうか、疑問に思うところがある。

　報道によると、改定の要点は「現在は攻撃を未然に防ぐことに重点を置いているが、攻撃が巧妙化して感染企業が増えている現状に合わせて、感染初期に早めに検知したり、被害から早期に復旧したりすることを企業に求める」ところにある。つまり、「未然防止」は難しい、という判断に立ったという。従来の「侵入を防ぐ」という観点から、「完全には防げない」と現実を認識したことは前進である。

　セキュリティソフトの大手メーカーが「完全な防御は難しい」と表明したのはすでに２、３年も前である。それではセキュリティソフトが無意味かというとそうではない。最新のソフトはこれまでに発見された攻撃に対して効果はある。ただ、次々と巧妙な攻撃手法が編み出されて来るため、新しい攻撃の対策を講じるまでに「隙」ができるので、「完全だと油断しては困る」というわけである。過去の攻撃手法は防げる。もしソフトを入れて置かなければ、膨大な古い攻撃も防げずに、サンドバックのように攻撃を受け続ける羽目に陥る。

　経産省の経営指針もようやく「防ぎきれない隙がある」という認識に立ったわけだが、それでも、まだ、認識不足なところがある。

　情報資産の防衛技術の発達によって、情報資産によっては、第２の防衛ラインを敷くことが可能になって来ている。残念ながら、ＤＤｏＳ攻撃のように大量のデータを浴びせかけてWebサイトの機能をマヒさせるような攻撃は第２の防衛ラインでも難しいかもしれないが、「情報資産の改ざん」や「情報資産の窃盗・流出」のような攻撃については第２の防衛ラインが登場している。たとえば、「ブロックチェーン」のように記録台帳を分散させる方法もある。あるいは情報を盗む攻撃に対しては「秘密分散処理」のように情報を分割保管する技術も近年、急速に発達してきた。

　情報の種類によっては、「完全に守る」ことも可能である。経産省の新しい経営指針では「完全に守り切れない」という方向に振り子が振れ過ぎてしまったような気がする。新しい防御技術の進展があることを理解して、きめ細かな指針にしてもらうと、情報資産を守る使命を帯びた情報管理者にはありがたい。