日本のITにおけるセキュリティ意識の変遷について

年々、スマートフォンやインターネット関連サービスが進化し普及していくにつれて、生活はますます便利になっていますが、その進化や普及に伴い、私たちの個人情報保護やセキュリティに対する意識も高くなっています。

IDやパスワードで銀行のネット振込みをする、通販サイトでクレジットカードを登録して購入したり購入履歴を参照する、施設やサービスの予約をする等、何気なく使っているサイトやサービスも私たち個人の大切な情報を扱っているが故に、一度でもサイバー攻撃や情報漏洩事件が発生すると、個人であろうと企業であろうと大きな金銭的・社会的なダメージを受けてしまいます。今ではこのような認識は一般的になっていますが、インターネット黎明期ではそれほど意識は高くありませんでした。これまでに大きなセキュリティ事故やそれに対応する法整備、インターネットを取り巻く環境の変化によってセキュリティ意識も高まっていったと考えられます。

インターネットの進化や普及の中で変化してきたネットワーク環境やデバイス、それに合わせて私たちを取り巻く環境も変わっていきました。今回は、セキュリティ意識の変遷について、それらの変化に応じてどのようなセキュリティ対応があったのかを時代を振り返りながら取り上げていきたいと思います。

■セキュリティ意識が希薄だった、パソコン普及時の1990年代

1990年代から企業内のネットワークが普及し始め、個人向けのパソコンとしてWindows95が発売され、標準でインターネット通信機能が組み込まれ、インターネットが普及する一因になりました。この時は企業の中でもパソコン台数が少なく、個人でパソコンを購入する利用者も、セキュリティにまで意識が及ぶことはあまりなく、どちらかというとパソコン操作を覚える・慣れる等が主眼だったかと思います。
パソコンもオフィスソフトを利用する、専用ソフトをインストールして、単独で利用する場面が多かったので、セキュリティ被害も少なく、被害台数も限定的でした。

■徐々にセキュリティという概念が重視されていく、2000年代

2000年代になると、ADSL通信が普及し、インターネット利用者数は人口の3～4割台に達し、様々なインターネットサービスも出てきました。
インターネットが普及したことで、メールの利用が広まり、同時にメール添付によるウイルス被害も出始めました。また、インターネットサービスもDDOSや不正アクセス攻撃をされるようになりました。
この頃になると、PC利用者もセキュリティソフトをインストールしたり、企業側もFW（ファイヤーウォール）装置を導入したりとセキュリティ環境を重視していく傾向になりました。

■相次ぐ個人情報の流出と補償

2002年5月にTBC(東京ビューティセンター)の顧客の氏名・メールアドレス、エステのコース名・美容についての関心事項といった内容が流出し、それを元にDMメールが送信される等の二次被害が発生しました。その後の裁判判決で、TBCに対し、１人あたりの保証として2.2万円～3.5万円(原告14人に対し、慰謝料・弁護士費用合わせ)の賠償命令が出されました。
また、2004年2月にはYahoo!BB顧客流出事件が発生し、約450万人の顧客情報(住所・氏名・電話番号等)が外部へ流出しました。ソフトバンクは流出した補償として、全会員に一人当たり500円の金券を送付し、この流出事件での被害額は100億円と公表しました。
このように個人情報が一度でも流出してしまうと、情報流出に対する取り組みが、企業イメージの低下・顧客離れ・賠償額の負担等、社会的・金銭的なダメージを負うという教訓になりました。企業だけでなく、消費者にも個人情報保護の意識の重要性が認識されたと言えます。

■プライバシー保護や個人情報保護法等の法整備

こうした流れもあり、2005年には個人情報保護法が全面施行し、対象企業には個人情報保護の整備が義務づけられました。これに伴い、プライバシーマークの取得企業数も、前年度(2004年)は1294社だったのが、2005年度は3656社、2006年には7347社と右肩上がりに伸び、個人情報保護の認識も高まりました。
プライバシーマーク認定のためには、個人情報保護に対する、組織体制や運用ルールの策定・従業員への教育義務等、順守すべき事項が増え、経営者・従業員も一体となって全社の取り組みになるため、企業のセキュリティ整備も進むようになりました。
同時に一般利用者も、個人情報を登録する際には慎重になり、自身の情報流出も同時にリスクとしてある、という認識に変わるようになりました。

■スマートフォンの普及とモバイル通信の高速化

2008年にはiPhone・Androidが日本で発売され、スマートフォンが普及し始めました。企業向けにも販売され、個人・企業利用向けともにスマートフォンが利用されるようになりました。個人利用の場合には、友人や親族の連絡先・メモ・写真や銀行アプリ等、日常生活に関わるものが多くなり、スマートフォンを紛失してしまうと同じ環境に戻すのに時間が掛かるだけでなく、その情報が第三者に悪用されてしまう危険性もあります。また、企業利用の場合では、社員の連絡先や業務データの添付ファイル、会社メール等があり、紛失した場合には営業機密情報・顧客情報の流出に直結するため、紛失した場合の意識が強まるようになりました。
そのため、紛失に備えてバックアップする習慣やGPSによる探索、スマートフォン本体の遠隔ロック等も活用されるようになっていきました。

また、2015年にはNTTドコモが4G(LTE)サービスを提供し始め、高速通信化が実現しました。モバイルWi-Fiの需要も高まり、ノートパソコンもより本格的に普及し始めました。パソコンメーカーからも、それに合わせて紛失対策(HDD暗号化・遠隔PCロック・PC消去機能)の機能を充実化させたパソコンの提供が進み、その機能を活用し社員へ貸与することが一般的になったことで、スマートフォンだけでなく、ノートパソコンについても、紛失やセキュリティに対する意識が確立していったと言えるでしょう。

■今後のセキュリティの展望

テレワークが普及していく中で、セキュリティに求められる要件も一段と変わってきています。テレワークでは勤務場所が社外、特に自宅になる場合が多いので、自宅から接続するパソコン・ルーターのアップデートをすることが望まれます。
また、企業側もテレワーク方式にもよりますが、外部から企業ネットワークに接続する方式にて社内へアクセスする際は、接続中のクライアントの監視や暗号強度、FW装置の監視・アップデートが一段と重要になってきます。また、データへのアクセス性を高めるため、クラウドにデータを保存する傾向も高まっているので、クラウドサービスにアクセスできる許可(特定のユーザやIPアドレス制限)や2段階認証も必須と言えます。
このようにテレワーク勤務では、自宅環境のセキュリティを企業側から提供されたり、自身で整備するきっかけにもなります。無線LANのセキュリティ見直しや自宅パソコンを使用する際は家族別にIDで分ける・最新PCに買い替える等、オフィスではなく、自身の自宅環境もセキュリティを強化していく意識が高まっていくと考えられます。

■まとめ

今回はセキュリティ意識の変遷について取り上げました。当初はパソコン単独での利用環境から、インターネット普及によってセキュリティ被害が拡大し、それを防止・予防していく意識が高まりました。同時に法制度も厳しくなり、企業側もその対応が求められ、従業員教育も実施していく中で、多くの利用者の意識も変わっていったことを考えると、今後もテクノロジノーや通信の進歩に伴い、私たちのセキュリティへの意識も同時に高めていくことが引き続き求められるでしょう。