「ユニコーンに乗って」の劇中で発生した情報漏洩事件とその対策について考察してみました

株式会社DataClasysが美術協力したTBSドラマ「ユニコーンに乗って」の第9話が放送されました。

ドラマ内で顧客情報の漏洩事件が発生しましたが、顧客情報の漏洩事件は現実でも報道されているように、非常に頻繁に発生しています。
このコラムでは、この情報漏洩事件とそれに対してどういった対策が考えられるかを考察してみたいと思います。

劇中では、須崎功(杉野遥亮)の父・征一(利重剛)の会社、須崎不動産が不正アクセスを受け、クレジットカード番号を含む顧客の個人情報450万件が漏洩するという事件が起きました。

須崎不動産の社員で成川佐奈(永野芽郁)と功の大学の後輩、若宮理人(楽駆)は情報漏洩対策として、キープロテック社の最新技術を導入してはどうかと社内で提案しますが、実績のないスタートアップ企業は信用できないとの理由で却下されてしまいます。

功も社長である父・征一にこの最新技術を導入してはどうかと話をしますが、やはり、実績のない技術は信用できない、重要視するのは確実性、審議を重ねて安全性を確かめてから、との理由で取り合ってもらえません。

というのが、大まかな情報漏洩事件に関するストーリーでした。

サイバー攻撃との表現はなく不正アクセスが原因とのことでしたので、社外からのサイバー攻撃なのか社内からの不正アクセスなのかはわかりません。
いずれにしても、不正アクセスが原因とのことであれば、まずその不正アクセスを防ぐソリューションを検討するのが一般的かと思います。社外からの攻撃に対しては、ファイアウォールやIDS/IPS・WAFなどでしょうか。社内からの不正アクセスには生体認証などの認証強化等が考えられます。

しかし、若宮の提案はそういったソリューションではありませんでした。セリフの中では「最新技術」としか表現されていませんでしたが、そのプレゼン資料の内容は暗号化・権限管理ソリューションでした。今回の事件の原因は社外または社内からの不正アクセスだったが、リスクはそれだけではない。今回の原因に対策を施したとしても、また別の原因から漏洩事件が起こってしまう可能性もある。しかし、一つ一つのリスクに対して対策を行っていたのでは時間もお金も膨大にかかってしまう。それならば、情報自体に対策をすることで情報漏洩を防止しよう。おそらく若宮もそのように考えたのではないでしょうか。

それに対し、須崎社長は確実性を重視するため、審議に審議を重ね安全性が確かめられなければそんなものを導入することはできないという考えでした。劇中では会社の風通しの悪さを表現したセリフだったとは思いますが、この社長の考えも間違っているとは言えないと思います。新しい技術がリスクへの対策になっているのかどうかは、しっかり理解・検証して確認しなければわからないことです。特に組織が大きくなればなるほど、他のシステムや業務への影響なども見定めなければなりませんので、確認の期間は当然長くなってきます。会社を守る立場の社長としては理解できないものではありません。

ただし、確実性とスピードのバランスは非常に大切かつ難しいものです。特に昨今においてはサイバー攻撃等の手法の進化は非常に速くなってきています。確実性に重きを置き過ぎて確認に時間をかけていては、導入したころにはそのソリューションはすでに時代遅れになっていたり、別のソリューションも合わせて必要となるような状況にもなりかねません。そのため、特にセキュリティ分野においては経営トップの迅速な判断というのが必要ですね。その点では、須崎社長は息子の功の提案を再考し、すぐに検討を開始したという点で素晴らしい社長であると言えると感じました。

結果、どういった対策を行ったのかまでは描かれてはいませんが、若宮のような先見性のある社員とその提案を受け入れる下地を持つ須崎不動産は、きっと暗号化と権限管理により情報漏洩に対する根本対策を実施し、セキュリティシステムの古さという問題点を見事に解決したものと勝手ながら推測しています。

最終回では、羽田早智(広末涼子)のサイバーモバイルと佐奈のドリームポニーが、大企業とスタートアップという形で手を組み、新たなステージに向かっていくということが描かれていくと思いますが、この須崎不動産とキープロテック社あるいは他のスタートアップ企業との関係も同様の素晴らしいものになるといいですね。

最終回も楽しみにしています。