企業経営の一環として、サイバーセキュリティ対策が大切なことは重々承知している。しかし、いざ対策しようと考えると、目先の事業投資や営業活動を優先してしまうし、今まで被害に遭ったことが無いからセキュリティ対策の必要性を感じていない。そうした企業の経営者やマネジメント層は多く、特に中堅・中小企業ほどこの傾向が顕著に表れています。
IPA(情報処理推進機構)が2018年に発表した『情報セキュリティに関する意識・状況』では、過去1年間の情報セキュリティに関する被害・トラブルの経験率は6割以上に達しているものの、その約3割は「何もしなかった」と回答し、そのまま放置しているというデータがあります。また、セキュリティ対策において「セキュリティソフト・サービスの導入・活用」は60.9%であり、残りの40%近くの人々が対策を講じていないことが報告されています。このデータから一般的な人々のセキュリティ対策への考え方が見て取れると思います。そしてこれは企業におけるサイバーセキュリティ対策にも同じことが起きている、多くの企業や組織、そして人々において、セキュリティ対策が遅れていることを示唆しています。
そこで本稿では、経営者が知っておきたいセキュリティ対策の必要性と、概念について総務省が運営している『国民のための情報セキュリティサイト』を参照しながら、わかりやすく解説していきます。
セキュリティ対策は、なぜ必要なのか?
それでは、セキュリティ対策の必要性から改めて認識していきましょう。「セキュリティ(Security)」という言葉は、安全/保安/防犯などの意味として使われる言葉です。日本では「防犯対策」という認識が一般化しています。
では、なぜ企業はセキュリティ対策を実施するのか?それは、「情報システムを運用し、インターネットに接続する限り、それに伴うリスクが無くならない」からです。現代ビジネスでは、会計システムや顧客管理システム、ビジネスを支える独自システムなど基幹業務を支える様々なシステムが構築されており、それらには事業継続に欠かせない機密情報や顧客情報が多量に保管されています。
それらのシステムは、PCから社内外のサーバー、あるいはクラウド上のサーバーにアクセスして業務アプリケーションを稼働させています。つまり、それらはネットワークで接続されており、クライアントPC含めて多くは常時インターネットに接続されていることになります。外部とのネットワークアクセスができる構成、それはセキュリティ対策を必要とする最たる理由となります。
たとえば、業務利用している従業員のパソコンがマルウェアに感染するとどうなるのか?
端末を介して外部から内部ネットワークに侵入し、徘徊し、特定のサーバーに保管されている機密情報や個人情報を秘密裏に外部送信されてしまいます。あるいは、システムを稼働するのに重要なファイルを破壊したりして、情報システムを停止させることもあるでしょう。
こうした被害が生じれば、経済的・社会的損失が発生するかどうかは、容易に想像できるでしょう。セキュリティに関する被害や事故は、企業経営の観点から「絶対的に」避けなければいけない、あるいは低減しなければならないリスクであり、そのために必要なセキュリティ対策を講じることが、すべての企業にとって大切な責務なのです。
セキュリティ事故が発生するとどんな被害があるの?
セキュリティ事故が発生する経緯というのは、事例によってさまざまです。サイバー犯罪者は、最先端の技術を駆使して企業の内部ネットワークに侵入することを虎視眈々と狙っています、あらゆる方策を仕掛けてきています。サイバー攻撃を許してしまい、セキュリティ事故が発生すると具体的にどのような被害が起きるのでしょうか?1つ1つ確認していきましょう。
機密情報の漏えい
どんな企業も事業運営で発生する機密情報を抱えています。あるいは他社との協業プロジェクトに関する機密情報などもあるでしょう。それらの情報が漏えいすれば、経営の信頼が損なわれる、ビジネスを模倣されるなど経済的なダメージは計り知れないものになります。
個人情報の漏えい
対消費者ビジネスを展開している企業の場合、サイバー攻撃によって大量の個人情報漏えいが発生するリスクが常にあります。メディアで事故のニュースを目にすることが多くなり想像しやすいと思いますが、セキュリティ事故が発生した際の経済的損失は計り知れませんし、ブランドイメージが低下することで顧客離れなど経営に与える影響もまた絶大です。
情報システムの停止
内部ネットワークにおける重要ファイルが破壊されると、情報システムが停止してしまうリスクがあります。ほとんどの企業の業務プロセスは情報システムに依存していることから、事実上操業停止になり、顧客や関連企業に多大な迷惑をかけ、販売機会を逃すことになります。
Webサイトの改ざん
インターネット上における企業の広告塔とも言えるホームページが改ざんされてしまうと、ブランドイメージが低下することはもちろん、Webサイト訪問者をマルウェアに感染させてしまうリスクがあります。そうしてセキュリティ対策が不足していることを露呈されれば、顧客企業や消費者からの信頼を失うことに繋がります。
大規模なデータ破壊
広範囲にわたったデータ破壊が起きると、情報システムの停止はおろか、企業がそれまで積み上げてきたデータを失い、事業復旧が不可能になるリスクがあります。こうした事例は少なからず存在するため、厳重な警戒が要るでしょう。
改めてセキュリティ事故の被害について確認してみると、セキュリティ対策の必要性を再認識できます。また、最近ではサイバー攻撃による直接的な被害は受けなくても、中小企業の情報システムを踏み台にして取引先である大企業の情報システムに侵入するような攻撃が増えています。重要顧客である大企業からの信頼を失えば、事業継続に大きな影響を与えるでしょう。
「セキュリティの概念」を知ろう
セキュリティとは「企業の機密情報や情報システムを守ること」と誰もが理解していますが、具体的な概念となると知らない方も多いでしょう。その概念とは、情報システムにおける「機密性」「完全性」そして「可用性」を維持し続けることです。ここでは何のためのセキュリティかを改めてご紹介します。
機密性(コンフィデンシャリティ)
情報システムによって許可された者だけがデータにアクセスできるようにすることで機密性を保ちます。許可されていない者はデータベースにアクセスできないようにする、閲覧はできるがデータを書き換えることはできないようにするなどの対策が必要です。
完全性(インテグリティ)
情報システムが保有しているデータが正確なものであり、完全である状態を意味します。データが不正に改ざんされたり、破壊されたりするような行為を防ぎます。
可用性(アべイラビリティ)
情報システムによって許可された者が、必要なときにいつでもデータにアクセスできるようにすることを指します。可用性を維持することは、様々なデータを提供するサービスが常に動作しているという状態です。
これらを持続的に維持することが、企業にとっての「セキュリティ対策」です。以上のように、セキュリティ対策について改めて基本を認識すると、その重要性を理解しながら対局的に策を講じることが可能になります。
今回は、「経営者が知っておきたいセキュリティ対策の必要性と概念」という基本的な内容をご紹介しました。あまり自身には関係ないと思わずに、もしセキュリティに少しでもリスクを感じるのであればセキュリティ対策について再考していただければ幸いです。
