企業が社会に貢献し続けるためには、安定・安全な経営が求められ、その実現にはヒト・モノ・カネにかかわるリスクマネジメントが欠かせません。とくに昨今では、“情報”をとりまくリスクヘッジの緊急性・重要性が増しています。個人情報の漏洩やシステム障害など、一般社会にも影響の大きい情報セキュリティについて整理しました。

情報セキュリティとは何か。なぜ重要なのか

一般的に情報セキュリティの定義は、「情報の機密性、完全性、可用性を確保すること」とされていますが、総務省の「国民のための情報セキュリティサイト」では、情報セキュリティ対策を次のように説明しています。

「私たちがインターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること。それが情報セキュリティ対策です。」

引用：総務省「国民のための情報セキュリティサイト」https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/intro/security/index.html

平易な言葉で穏やかに伝えていますが、一つひとつを具体的にイメージすると次のようになります。

●「大切な情報が外部に漏れたり」・・・個人情報の漏洩、社外秘・企業機密の漏洩、暴露
●「ウイルスに感染してデータが壊される」・・・サーバーの破損、社用パソコンやデータの破壊、システム障害
●「普段使っているサービスが急に使えなくなる」・・・ECサイトのダウン、Webサイトの改ざん、生産ラインのストップ

いずれも日常業務もままならない事態が予測されますが、公的なサービス（鉄道、航空、銀行など）を提供している企業に情報セキュリティの問題が発生したとすれば、一般市民の生活にも影響を及ぼします。

また、実質的なセキュリティ被害のほか、情報セキュリティの脆弱さが暴露された企業は、社会的な信用を失うことになり、得意先からの取引停止や他社への顧客流出なども予想されます。

賠償問題に発展し、多額の事故対応費用が発生することもあるため、セキュリティ対策は大切なのです。

中小企業もターゲット？サイバー攻撃の巧妙化

扱うデータの質や量、社会的影響の大きさから情報セキュリティ対策は大手企業の課題だと思われていました。しかし、今では企業規模にかかわりなく、情報セキュリティ対策をとるべきだと言われていいます。

独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威2021」の第７位に、「予期せぬIT基盤の障害に伴う業務停止」を挙げています。

“予期せぬIT基盤の障害”とは、つまり“自然災害”のことです。

我が社にはECサイトもないし、個人情報も持っていない、という企業でも、自然災害に対するリスクヘッジは必要です。

また、サイバー犯罪の側面でも中小企業がターゲットにされる例があります。

それは「サプライチェーン攻撃」です。

商品が市場に出るまでの物の流れ（原材料→製造→保管→配送）をサプライチェーンといいますが、この各段階を多くの中小企業が担っています。

部品を製造して納入したり、仕掛品を保管したり、配送も大手企業から委託された物流業者が行っています。

大手企業の堅牢な情報セキュリティは崩しにくいため、サプライチェーン傘下にある中小企業を入口にサイバー攻撃を仕掛けようというのが、「サプライチェーン攻撃」です。

たとえば、配送を委託するのに預けた個人情報が狙われたり、システムを構築する際の再委託先企業が狙われたりしています。

サプライチェーン攻撃に対しては、IPAも「情報セキュリティ10大脅威2021」のなかで、「サプライチェーンの弱点を悪用した攻撃」として4位に挙げているほか、

総務省や経済産業省、経団連などが、企業に向けて注意喚起をしています。

サプライチェーン攻撃を受け、情報セキュリティに問題が発生すると、委託者（大手企業）にも損害が及ぶため、信用問題に発展するのは必須です。

結果、大事な取引先を失くしてしまうかもしれません。

情報セキュリティ対策は、大量のデータやビッグシステムを持つ大手企業だけの課題ではないこと、お分かりいただけたでしょうか。

情報セキュリティ対策のイロハを知ろう

では、情報セキュリティ対策にはどのような手段があるのか整理してみます。

①IPAの「情報セキュリティ5か条」

基本かつ重要な項目です。

■OSやソフトウェアは常に最新の状態にする・・・セキュリティ上の問題を修正したプログラムが配布されたら利用する
■ウイルス対策ソフトを導入する
■パスワードを強化する・・・パスワードは長く複雑であればあるほど安全。使いまわしをやめる
■共有設定を見直す・・・クラウドやネット接続の複合機の設定を誤ると、他人にデータが覗かれる可能性がある
■脅威や攻撃の手口を知る・・・日々更新されるサイバー犯罪の手口を知って対策をとる

引用：独立行政法人情報処理推進機構「情報セキュリティ5か条」https://www.ipa.go.jp/files/000055516.pdf

②社用パソコンの持ち出し

テレワークなどで社用パソコンを社外に持ち出すことも多くなりました。
セキュリティソフトの搭載やデバイスのロックを行っているか、今一度確認をしてルール化しましょう。
また、万が一紛失してしまった場合に備えてHDDやメールソフトにパスワードをかけておくこともできます。

③ウェブサイトセキュリティ

自社のウェブサイトがサイバー攻撃の対象となることがあります。
アクセス制限や権限管理、ログの管理・保管は基本事項です。
Webアプリケーションの脆弱性についても情報をアップデートしていきましょう。

④個人情報や顧客情報など、IT資産の漏洩

ファイアウォールの導入はもとより、無線LANのセキュリティ設定は必須です。
データやデバイスを廃棄する際の社内規定を設けることも重要でしょう。
また、何がIT資産にあたるのかを社員が認識していることも大切です。
IT資産へのアクセスログをとり、誰が使用したのかを把握できるようにしておきましょう。

⑤災害対策

地震や台風など、自然災害の規模は年々大きくなっています。
物理的にパソコンやサーバーが被害にあうことも想定しておくとよいでしょう。
クラウドのストレージサービスを利用してデータを保存したり、情報システムを分散させておくのも、一つの手です。

⑥社員へのITリテラシーおよびコンプライアンス教育

社員のIT知識不足を要因とする情報漏洩も考えられます。
ビジネスで個人のスマートフォンなどを使用している場合は、重要な情報が個人のデバイスに残っていることがあるので注意が必要です。
また、社員によるSNSの発信が不本意な結果を招くこともあります。
コンプライアンスの側面から意識付けをすることも大切です。

まとめ

情報セキュリティ対策を本格的に行おうとすると、人も時間も費用もかかり、企業にとってなかなかの負担となります。
また、売り上げにつながる投資ではないため、つい後回しにする企業もあるかもしれません。

しかし、テレワークの浸透やクラウドによるサービスの活用など、情報技術を活用する場面は急速に増えました。

同時に情報セキュリティに対する脅威に直面する頻度も増すはずです。

企業としての取り組み、社員一人ひとりの行動と意識付け、この双方を万全に整備してこそ、情報化社会に生きる企業としての責任が果たせると言えるのではないでしょうか。

ロクゼロなら「ケーススタディ「情報セキュリティ」」を今すぐ学べます！↓↓

ケーススタディ「情報セキュリティ」