情報セキュリティは真の経営課題

 企業によって、抱える問題や課題は様々です。

 しかし、共通している課題もあります。

 それは情報セキュリティに関することです。

 企業経営において、個人情報を一切保持せず取り扱ってすらいないという企業はないでしょう。

 それ故に個人情報が漏洩する危険性は、全ての企業が抱えているのです。

 つまり情報セキュリティは全ての企業の経営課題なのではないでしょうか?

 多くの企業のセキュリティ事情や、経営におけるセキュリティの課題を解決するにはどうすれば良いか?について解説します。

セキュリティを制すものは経営を制す!?

 他の諸外国と比較した場合、日本のセキュリティ意識は高いとは言い切れませんが、重きを置く企業が増加したことは事実です。

 何気なく使用している備品や機器の中にインターネットに接続できるものはありませんか?

 接続できるということは攻撃者の侵入を許してしまう可能性があるということを覚えておきましょう。

サイバー攻撃の矛先はIoT機器へ

 近頃、企業内に設置されるプリンターやプロジェクターなどの機器はIoT機器と呼ばれ、インターネットに接続することで非常に便利な機能を携えています。

 しかしインターネットに接続できるということは、外部から攻撃を受けるリスクがあるということでもあります。

 近年では何も対策が成されておらず、セキュリティが手薄であるという理由から、IoT機器への攻撃が増加しています。

 例えば企業の端末に内蔵されたウェブカメラで室内を盗撮したり、プリンターに侵入してプリンター内に保存されている書類データを盗んだり、意外なことにプロジェクターに侵入して接続された端末に侵入するという手口も見つかっています。

 まずはIoT機器はインターネットに接続されているので、常に攻撃の危険にさらされているということを自覚しましょう。

 実際に、総務省が出したデータによれば、攻撃の半数以上がIoT機器を狙った攻撃であると述べています。

 PC端末のみに尽力し関心を寄せるのではなく、IoT機器もインターネット端末の一つとして厳重に対策を施す必要があります。

参照元:総務省「〜平成30年版 情報通信白書〜」より

中小企業も狙われるのはなぜか?

 以前まではサイバー攻撃を受けて情報が漏洩するのは決まって大手の企業が多かったはずです。

 しかし昨今では会社の規模に関わらずサイバー攻撃のリスクが全くない会社は無くなりました。

 それはなぜでしょうか?

 それは、いまだ大手の企業と比較した際にセキュリティが弱いということが挙げられます。

 大手の企業は膨大な個人情報を持ち多くの攻撃の危険にさらされているわけですから、それなりに強固なセキュリティを築いています。

 一方で、攻撃を受けたことがない(気づいていない可能性もありますが)小規模の企業はセキュリティ対策を怠っている場合があるので、サイバー犯罪者たちはそこを狙って攻撃するのです。

 大手企業と取引のある中小企業も、重要な個人情報を持っています。

 それゆえにサイバー犯罪者たちから目をつけられるようになり、さらに大手企業への攻撃の踏み台として利用されるようにもなりました。

 以上の理由から「自分のところは狙われない」と考えてはいけないのです。

サイバーセキュリティに尽力する企業の増加

 下記の図において、左側の図は企業がセキュリティに対する予算を「投資」と考えているか「費用」と考えているかを示した円グラフです。

 一方で右側は、セキュリティ予算が十分に取れているか、意識調査したものをグラフで表しています。

 セキュリティへの予算は止むを得ずかかってしまう「費用」と考える企業が多いものの、その予算は「十分できている」または「ある程度できている」と回答した企業が7割以上いたことがわかります。

 もはやセキュリティのための予算が確保できない場合は、他の企業に比べて出遅れてしまっている可能性があるのです。

参照元:経済産業省「〜サイバーセキュリティ経営ガイドライン〜」より

サイバーセキュリティ経営ガイドライン

 経済産業省が、独立行政法人情報処理推進機構(IPA)と協力して経営上ITの利用が不可欠な企業の経営者を対象とした「サイバーセキュリティ経営ガイドライン」を策定しました。

 これは、個人情報を狙ったサイバー攻撃が増加しているという背景から、ITシステムのセキュリティに対してどれほどの投資を行えば良いのか?

 また、経営者がサイバー攻撃から個人情報やシステムを守るために認識すべき「3原則」およびシステム責任者であるCIO等に指示すべき「重要10項目」が記載されています。

参照元:経済産業省「〜サイバーセキュリティ経営ガイドラインの概要〜」より

経営者が認識すべき「3原則」

 ガイドラインには「経営者が認識すべき3原則」が記載されています。

 正式な文書はガイドラインを参考にしていただくとして、ここでは各原則をわかりやすい形で記載し解説します。

1.企業の経営者は、サイバーセキュリティリスクを認識し、積極的にリーダーシップをとって投資をしつつ対策を進めていきましょう!
2.自身の企業はもちろんのこと、顧客やビジネスパートナーなど関わりのある企業を全て含めたサプライチェーンに対するセキュリティ対策をしましょう!
3.常にサイバーセキュリティに関する情報を関係者に開示し、万が一何が起こっても適切に対応できるようにしましょう!

サイバーセキュリティ経営の重要10項目

 企業の経営者は、「3原則」を守るために以下の10項目をCISO(最高情報セキュリティ責任者)へ指示することをガイドラインでは勧めています。

 こちらも各項目をわかりやすい形で記載するので、正式な文書はガイドラインを参考にしてください。

指示1 : サイバーセキュリティリスクを認識し、会社全体で守られる対応方針を策定しましょう
指示2 : サイバーセキュリティリスクを減らすための構築を作りましょう
指示3 : サイバーセキュリティ対策のために予算と人材を育成し確保しましょう
指示4 : サイバーセキュリティリスクを把握してそれらに対する対策と計画を練りましょう
指示5 : 指示4で定めた計画の、仕組みを構築しましょう
指示6 : サイバーセキュリティ対策においてPDCAサイクルを実施しましょう
指示7 : インシデントが発生した際に対応できるよう体制を整えましょう
指示8 : インシデントによって被害を被った場合に備えて復旧体制を整備しましょう
指示9 : ビジネスパートナーや委託先等を含めたサプライチェーン全体で対策しましょう
指示10:常に最新のサイバー攻撃事情や情報を積極的に入手し有効活用しましょう

 「サイバーセキュリティ経営ガイドライン」には、これらの指示を怠った場合のシナリオ例や対策例について詳しく書かれています。

 セキュリティ対策の構築にあたっては、このガイドラインを参考とされることをお勧めします。

まとめ

 IoT機器のネットワークが外部に解放されていないか見直す必要があります。

 また、セキュリティにかける予算を「投資」と考えているか、止むを得ない「費用」と考えているかは企業によって異なりますが、どちらにしてもほとんどの企業がセキュリティに関して予算を確保していることがわかりました。

 確保していないとしても慌てることはありません。

 経済産業省が策定した「サイバーセキュリティ経営ガイドライン」を参考に、企業ルールを策定し、予算を見積もることから始めましょう。

 我々は、情報が漏洩した事後の対策としてサイバー保険をご紹介しています。是非、事前の対策だけではなく事後の対策も行いましょう。どの企業にも起こりうることです。

サイバー攻撃に対する必要な備えは大きく2つ
1.サイバー攻撃を受けないための対策
2.サイバー攻撃を受けた後の対策

詳しくはこちらのサイバー保険の専用ページをご覧ください。
月額5,000円から利用できるサイバー保険付帯サービス
サイバー保険をご検討中の方へ
「安心」で「快適」な「未来」をお客様とともに創造します!
・サイバー保険が気になっている
・保険料はどのくらいなのか
・サイバー保険でどこまで補償できるのか

上記に関することでご相談・ご質問等ございましたら、お気軽に弊社までお問い合わせください。