こんにちは!QTnetの山﨑です。
今年も残すところわずか、年末になりお忙しい毎日を過ごされていることと思います。
忘年会シーズンとなり、『朝 食べる優しい味噌汁が胃にしみるよね~』との上司のコメントに
同感できてしまう今日でございました。
さて、今回は、セキュリティの専門家にインタビューして得た貴重な情報を発信します。
1回目は「いま中小企業に必要な情報セキュリティ」について。
---------------------------------------------------------------------------------------------------------------------------------------------------
【今回のテーマ】
第1回「いま中小企業に必要な情報セキュリティ」
個人情報漏えいという言葉は、よく耳にするが、何が原因で起きて、
その対策をどうとるべきかを知っている人は、少ないのではないでしょうか?
長崎県立大学情報システム学部に開設された国内唯一の情報セキュリティ学科の
小松文子(こまつ・あやこ)教授は、
内閣サイバーセキュリティセンター(NISC)の研究開発専門調査会の委員や
経済産業省の「サイバーセキュリティ経営ガイドライン」の作成メンバーを務めるなど、
情報セキュリティ分野の第一人者。
教授へのインタビューをもとに、企業がとるべきセキュリティ対策とは何かをお伝えします。
---------------------------------------------------------------------------------------------------------------------------------------------------
<目次>
1 情報漏えいの7割はヒューマンファクタが原因
2 内部不正を生み出す3つの要因と対策
3 メールによる標的型攻撃のターゲットは中小企業
4 サイバーセキュリティは経営問題
1 情報漏えいの7割はヒューマンファクタが原因
情報セキュリティの重要性が叫ばれる時代でありながら、企業や公的機関の個人情報漏えいが後を絶たない。
日本ネットワークセキュリティ協会(JSNA)の2016年の調査によると、個人情報漏えい人数は
1,396万5,227人、インシデント(事件・事故)件数は468件、想定損害賠償総額は
2,788億7,979万円に上る。原因としては、管理ミス(34・0%)、誤操作(15・6%)、
紛失・置き忘れ(13・0%)など、ヒューマンファクタ(人的要因)が主体となっているものが
実に72%を占めるという。
小松教授は「情報漏えいの原因は、ヒューマンファクタによるものが高い傾向は昔から変わりません。
このことから分かるように、技術面の整備だけでは情報漏えいは防ぐのは難しいのです。
対策をとるのも人であり、不正をするのも人です。人の意識が高くなければ解決に向かいません」と語る。
2 内部不正を生み出す3つの要因と対策
ヒューマンファクタによるインシデントの中には、内部不正がある。小松教授によると、
内部不正は「動機・プレッシャー」「機会」「正当化」の3つの要因がそろった時に起きやすいと言われているそうです。
例えば人事に不満を持った「動機・プレッシャー」のある従業員が、
不正行為の実行が可能な「環境(機会)」にいて、会社が悪いというように自分勝手な理由付けで
「正当化」してしまうといったことが考えられます。
小松教授は「企業として内部不正を防止するには、これら3つの要因を低減することが大切です」と話す。
具体策として(1)組織の在り方 (2)社内教育 (3)専門機関 の活用―を挙げている。
(1)組織の在り方とは、セキュリティ責任者はIT部門の現場スタッフではなく、
部門の係長・部長(管理職)または役員を最高情報セキュリティ責任者(CISO)になること。
権限がある管理職または役員が責任を持つことで方針が明確になり、
社内全体に情報セキュリティ対策が共有できる。
(2)社内教育の構築とは、従業員に対して情報漏えいすると、どういう被害やデメリットが生じるかを
具体的に説明するプログラムを作成する。過去の事例を挙げながら、社内のルールに違反することを
教え込むことで、不正の動機や機会を低減させることができる。
(3)専門機関の活用とは、情報セキュリティ対策の支援機関にある無料ツールを活用する。
例えば情報処理推進機構(IPA)では、自社の情報セキュリティの状況を自己診断できる無料の
Webツールがあるほか、情報漏えいの脅威を知る啓発動画「3つのかばん」や被害を受けた時の
報告用のフォーマットもある。各機関のツールを取り入れることで、それを参考にして各社に
合わせたセキュリティ対策ができる。
3 メールによる標的型攻撃のターゲットは中小企業
ヒューマンファクタによるもの以外で気を付けないといけないのが、サイバー攻撃の一種で
特定の組織や個人をターゲットにする標的型攻撃である。サイバーセキュリティ業界をリードする
シマンテック社が2016年に調査したデータによると、標的型攻撃が狙う65%が中小企業だという。
標的型攻撃の中でもメール攻撃は、添付ファイルや記載されたURLへの誘導によって
パソコンにウイルスを感染させるものだ。中小企業は大企業との取り引きが多いため、
攻撃する側が中小企業を狙い、大企業の内部事情を探る場合もある。
また、情報を不正に取得する際に中小企業を踏み台にしている場合も多い。
小松教授は「『秘密情報がないから大丈夫』という考えを持った中小企業もあり、大企業ほど
セキュリティ対策が進んでいないところが多いのです。このため標的型攻撃の被害者になる一方で、
大企業にも損害を与える加害者にもなりえるんです」と警告する。
対策としては(1)メールセキュリティの実施 (2)組織の外部へのインターネット閲覧制限
(3)ログ(コンピューターの利用状況やデータ通信記録)の監視―が必要だと語る。
また、このほかに「中小企業は自社のみならずサプライチェーンのビジネスパートナーや
システム管理などの委託先を含めたセキュリティ対策の徹底が必要です」と指摘する。
4 サイバーセキュリティは経営問題
経済産業省は11月16日、独立行政法人情報処理推進機構と協力し、
「サイバーセキュリティ経営ガイドライン」の改訂を発表。サイバーセキュリティは経営問題であり、
対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけ
「投資」と捉えることが重要とうたっている。
2014年、通信教育の大手企業では、委託先の社員による漏えいが表面化した。
これにより約3500万人の顧客情報が流出。図書カードや電子マネーギフトによるお詫びの費用は
136億円に及んだ。2009年、大手証券会社でも社員による流出が明るみに。
約148万人の顧客情報を不正に持ち出したこの事件では、約5万人に1万円のギフト券を送付。
およそ5億円の損失となった。冒頭でお伝えしたように
「情報漏えいの7割はヒューマンファクタによるもの」。ビジネスマンであれば誰もが情報流出の
リスクを背負っているといえる。
小松教授は「サイバー攻撃は高度化、巧妙化しており、情報漏えいを防止するのは100%難しい。
だからと言って、何も手を打たないと企業が倒産の危機に直面する事態に陥りかねない。
いま、問われているのは経営者がリーダーシップをとって積極的にセキュリティ対策に
取り組む実行力なんです」と語った。
<あとがき>
お話によると情報漏えいの約70%がヒューマンファクタ(人的要因)とのこと。
その中でもデータを故意に持ち出す内部不正によるものだけでなく、誤操作や
置き忘れ、紛失など「うっかりミス」による流出が多いのだそう。
「置き忘れてしまった」「間違ってデータを消してしまった」などのうっかりミスは
最新のセキュリティソフトだけで防ぐことは難しい気がします。
うっかりミスだったとしても情報が流出した場合、莫大な損害を出してしまうケースも。
「ビジネスマンの誰もが情報流出のリスクを背負っている」社員ひとり一人が
この意識を持つことが重要なことなのだとわかりました。
