ビジネスにおいて性善説に基づいて顧客と接するか、あるいは性悪説をとるか。これは昔からしばしば議論の対象になる問題です。どちらの説にも言い分があるでしょう。
サイバーセキュリティーの世界では性悪説を採用すべきだという意見が優勢です。理由は単純明快。対策を講じる必要のない「善」の存在を認めることは、セキュリティーに穴を開けることと同義となってしまうからです。
サイバー犯罪による被害は日本特有の問題ではありません。今年6月には米国で1900万人分の個人情報が盗まれた事件がありました。
米国で常用される信用調査用の書式「スダンダード・フォーム86」には、職歴や資産状況のほか、本人や家族の精神的な健康状態、過去の薬物使用の経験といった非常にディープなプライバシー情報が含まれます。これが悪用されると恐喝や誘拐、なりすましといった複雑な事件に発展する可能性もあり、社会的な危険性は重大です。
既婚者を対象にした出会い系サイト「アシュレイ・マディソン」が攻撃を受け、3000万人を超えるといわれる会員の個人情報がインターネットに公開された例もあります。「不倫に対する積極性」が知られてしまうことは、情報流出の中でも最悪のケースのひとつと言ってよいでしょう。この件では大規模な集団訴訟が起きたほか、家族や知人に知られることを苦にした自殺者も出ています。
こうした状況を受けサイバーセキュリティーのイノベーティブな思想として急速に広がっているのが「ゼロトラスト」というキーワードです。直訳すると「誰も信用しない」になります。
セキュリティーは本来、外から来る敵に対して効果を発揮させることを目的とした鉄の門のようなものでした。これを境界集中型のセキュリティーと言います。
しかし、重大な情報漏洩の事例の多くでは、ハッカーが力ずくで門を壊そうとした試しはありません。優秀なハッカーは内通者をつくり、労せずして忍びこむのです。
