情報セキュリティ対策は投資と考えよ
人が担ってきた作業を肩代わりし、生産性や効率性の向上につなげていく道具として、ICTの活用領域が広がっている。しかし、どんな道具にもリスクがある。ICTの場合、少なからず情報セキュリティのリスクにさらされているが、その対策への意識は高いとは言えない。
ICTは便利な道具だが、リスクもセットで考えるべきである。メリットとデメリットの両方を考えて導入し、利用のためのルールを作る。メリットだけに目を奪われていては、情報漏洩や個人情報を流出させる事態を招きかねない。リスクを、許容できる範囲に収める対策を行った上で、利用することが大切である。
企業経営においてICT導入は「投資」、情報セキュリティ対策は「コスト」と捉えられがちだった。しかし、情報セキュリティリスクというデメリットがICTのメリットとセットである以上、情報セキュリティ対策も「投資」だと考えるべきである。
情報セキュリティ対策で大切なこと
情報セキュリティ対策は、次の3つで成り立つ。この3つのバランスを適切に保つことが大切である。
①モラル
情報社会で健全に生きていく上で身に付けておくべき考え方や行動。どのような倫理観や一般常識を持っているかは人それぞれである。講習会やeラーニングなどを通じて、同じ企業の従業員として最低限持っているべきモラルを共有したり教育したりする機会を作る必要がある。
②ルール
従業員各自が業務上守るべき、情報セキュリティポリシー。自分たちの企業にどのような情報があり、その情報を、誰が、どのように使うのかを決める。そして、それらの情報に万が一の事態が発生したら、情報の提供者や権利者にどんな迷惑をかけることになるかを明言しておく。
③仕組み
ICTツールを活用して情報セキュリティを守ること。従業員にモラルやルールを徹底させるだけでは、従業員は疲弊してしまう。なぜなら、絶対にミスを犯さない人は存在しないからである。
情報セキュリティ対策では、従業員の努力だけに頼るのではなく、ルールを定め、仕組みを導入し、従業員が安心して業務に取り組める環境を整えることが経営者には求められている。
特に規模の小さな企業では、専任の情報セキュリティ担当者を設けることが難しく、ICT担当と情報セキュリティ担当を兼務するようなケースが多い。情報セキュリティに対する当事者意識は薄くなり、問題が起きた時の対応も後手にまわりがちとなる。情報セキュリティ対策には運用体制の整備が極めて重要である。
情報セキュリティへの無関心が最大の脅威となる
サイバー犯罪者の目的は情報を盗み出すことではなく、その情報を売ることによって得られる金銭である。犯罪者たちは「闇サイト」や「ダークWeb」と呼ばれる通常の方法ではアクセスできないWebサイト上で個人情報や機密情報などを売却したり、サイバー攻撃を請け負ったりすることで利益を得ている。闇サイトでは、攻撃するために必要な情報も売られている。このような手軽さもあって、サイバー犯罪は「おいしいビジネス」と化している。
サイバー攻撃には、特定の企業や組織を狙い撃ちにする「標的型攻撃」や、標的を定めない「無差別攻撃」などがある。標的となる企業を攻撃するためには極めて多くの時間と労力を費やす必要があり、資金もかかる。一方の「無差別攻撃」は、いわゆる迷惑メールのようなもの。不特定多数の企業に対して攻撃を仕掛け、仮にターゲットの100社に1社でも攻撃が成功すれば十分と言える。自動的に実行することも可能で大したコストがかからない。
中小企業の経営者であっても、自社が標的にされるだけでなく、自社が踏み台にされて取引先や消費者をも危険にさらすリスクがあることを認識すべきである。企業の情報セキュリティ対策における本当の脅威とは、ICTや情報セキュリティに対する「無関心」に他ならない。