デジタルトランスフォーメーション(DX)を推進していく中で、不可欠な取り組みとなるのが、情報セキュリティの強化です。今日では多くのICT活用が進められている一方、これらの技術を悪用してかつてないほどサイバー犯罪が横行したり、従業員による不祥事も相次いでいます。
場合によってはDXの推進そのものが、情報セキュリティの強化につながるケースもあるため、新システムの導入の前にはあらかじめ確認しておきたい視点です。
今回は、そんな情報セキュリティにおけるリスクや、どんな対策が有効なのかについて、詳しくご紹介します。
情報セキュリティとは
情報セキュリティとは、いつでも自由にシステムやデータにアクセスできる環境を保全し、さまざまな脅威を退けることを指しています。インターネットの普及やICTを使ったサービスの増加によって、今や無形のデータが持つ価値は金品を上回るようになりつつあります。
無数の価値あるデータがやり取りされる時代だからこそ、それらを守る環境の整備にもある程度のコストをかけることが求められるようになりました。
情報セキュリティを脅かす脅威は多様化しており、日々新しい手法が編み出され、世界中の企業が被害に遭っています。最新の情報セキュリティ事情を深く理解することで、回避可能な脅威をできるだけ無力化することが、企業価値やビジネスを守る上で重要視されています。
情報セキュリティ対策が注目を集める背景
情報セキュリティの強化は、今多くの企業が注目を集めています。ここでは、なぜ今注目を集めているのかについて、その理由を四つご紹介します。
被害額の増加
一つ目の理由は、サイバー犯罪被害の増加です。株式会社ノートンライフロックの調査によると、サイバー犯罪の被害者は2020年だけで世界10カ国で推定3億3,000万人、日本人だけでも1,800万人にのぼるとされています。
日本での被害額は推定220億であると考えられており、対策を施さなければ今後もこの額は増加していくと考えられます。
参考:INTERNET Watch「被害総額は推定220億円、日本では過去1年間で1800万人以上がサイバー犯罪の被害に」
また、同調査の中では増加するサイバー犯罪に対して、日本人の74%の個人情報が盗まれることを不安視する一方で、73%は対処法が分からないと回答しています。基本的な対策に関するノウハウの普及もままなっておらず、早急な対策が必要であることを浮き彫りにしました。
DXの推進
このような不安定な対策状況の中で進められているのが、DXです。ICTを導入して業務のデジタル化を推進し、生産性向上や働き方改革を実現しようという動きそのものは歓迎すべき動向ですが、これは裏を返すと情報セキュリティリスクの増加を促す動きであるとも言えます。
日本にはDXの余地が大きいとされていますが、そんな中でも前述のような数百億円にのぼるサイバー犯罪の被害に見舞われているとなると、話は変わります。インターネットやデジタルが今よりも普及したDX環境下では、より重大なセキュリティ被害がもたらされるリスクも懸念されるためです。
DXの推進には、セキュリティリスクの懸念が高まるということも念頭において取り組まなければいけません。
リモートワークの増加
働き方改革の一環として、リモートワークの推進に取り組んでいる企業も少なくありません。新型感染症対策の一環として有効なだけでなく、従業員のライフスタイルに合わせて働けるリモートワークは確かに魅力的ですが、実施の際にはセキュリティの問題もクリアにしなければなりません。
リモートワーク下の業務遂行は、社内のセキュリティシステムの活用に限界があり、各々の運用モラルにある程度依存するためです。新しい働き方を実現する上では、新しいセキュリティシステムの構築にも時間をかける必要があるでしょう。
想定されている主なリスク
ここで、情報セキュリティの分野において脅威とされている主なリスクについて、ご紹介します。セキュリティへの脅威は三つの分野に分けることができます。順に確認していきましょう。
意図的な脅威
一つ目は、意図的な脅威です。これは第三者や社内の人間によって、意図的に引き起こされるもので、組織へ危害を加えることを目的としているため、最も悪質なリスクと言えます。被害を受けた際の社会的影響や事業への影響も大きく、経営が大きく傾いてしまう可能性を有しています。
不正アクセス
意図的に引き起こされる脅威としては、不正アクセスが一般的です。従業員のIDを不正に取得し、社内のデータベースから機密情報や個人情報を流出させたり、それを防ぐために身代金を要求したりといった犯行が実施されます。
企業データや個人情報は闇市場で高値で取引される例も多く、近年のサイバー犯罪において主流となっています。
内部不正
ケースとしては少ないものの、内部の犯行によって情報漏洩が行われるケースもあります。企業のデータを横流しすることで金銭を受け取ったり、産業スパイによって外部へ情報が流出してしまうこともあります。
元従業員が自身のIDを悪用し、企業の機密情報を盗んで競合へ合流することもあり得るため、従業員IDの管理を徹底することも非常に重要です。
偶発的な脅威
二つ目は、偶発的に発生する脅威です。意図的ではないにせよ、人為的に引き起こされるセキュリティリスクの事例を決して少なくなく、ちょっとした手違いで甚大な被害がもたらされることもあります。
社用デバイスの紛失・盗難
働き方改革の影響で多発しているのが、社用PCやスマホなどの紛失及び盗難です。リモートワークを実施していると、自宅以外にもカフェや旅行先で働くことも可能です。そのため、出先で社用デバイスを紛失したり、盗まれてしまったりするケースも多く、取り扱いには私用デバイス以上に注意が必要となります。
誤操作
あまり使い慣れていないシステムを運用していると、誤った操作で情報漏洩などが起こってしまうこともあります。社内向けに共有していたファイルが、インターネットを通じて一般公開されてしまったり、セキュリティ設定をオフにしてシステムを利用したりといったケースです。
悪意はないにせよ、企業に大きな損失をもたらす危険があるため、できる限り回避しなければならない事態です。
環境的な脅威
三つ目は、環境的な脅威です。これまでは人為的にもたらされる脅威ばかりでしたが、必ずしも人間だけがセキュリティを脅かすリスクを孕んでいるとは限りません。
落雷や台風などによる一時的なアクシデント
落雷や台風によってもたらされる被害は、システムに甚大な被害をもたらす可能性があります。落雷によって電源に接続している全ての機器がショートしてしまったり、停電によってデータが保存されることのないまま喪失してしまったりといったリスクです。
自然災害はいつ起こるかわからないものですが、対策方法は体系化されているので、優先的に取り組むべき事案であるとも言えます。
地震や火災による長期的な障害の発生
停電や電源のショートはすぐに復旧することも可能ですが、地震や火災による被害は短期間での復旧が難しいケースもあります。
地震によってオフィスが倒壊したり、火事によって全焼した場合、会社の利用はおろか、会社機能を丸ごと失ってしまうこともあります。オフィス一棟に業務システムを任せすぎてしまうと、オフィスが被害にあった際に業務遂行能力が失われてしまいます。
こういった潜在リスクはあらゆる企業に存在するため、やはりバックアップ体制を整備するなどの基本的な対策は欠かせないでしょう。
情報セキュリティリスクの要因
このような情報セキュリティに対するリスクが大きくなる要因については、企業によってさまざまです。ですが、大抵の場合は以下の三つの理由にまとめることができます。
ソフトウェアの脆弱性
一つ目の要因は、ソフトウェアの脆弱性です。アンチウイルスソフトがインストールされていなかったり、OSのアップデートが長年行われていなかったりなどによって、内部のセキュリティが最新の環境に追いついていないことで発生します。
サイバー犯罪の手口は年々多様化し、ソフトの安定性もアップデートによって保たれます。システムを常に最新の状態で保てるよう、整備しなければなりません。
ハードウェア・建物の脆弱性
ハードウェア本体の老朽化が進んでいると、安定したパフォーマンスを発揮できなかったり、ソフトウェアのアップデートができなかったりという問題が発生します。ソフトウェアほどの頻度でアップデートする必要はありませんが、定期的に本体の買い替えを実施することもセキュリティ対策としては有効です。
また、オフィスそのもののセキュリティ対策はもちろん、電力状況に問題があったり、震災リスクの大きい立地であったりする場合は、移転を検討することも重要です。特に首都圏は直下型地震の到来が近いとされているため、徹底した自然災害への備えを実現することは、情報セキュリティの観点からも不可欠と言えます。
マネジメント体制の不備
三つ目に、マネジメント体制の不備です。導入したICTをどのように活用すればいいのか、あるいは社用デバイスの基本的な取り扱いについて、何らルールが決められていないのは問題です。
ソフトの誤操作や社用端末の紛失、不正アクセスを招き入れることにもなるため、DXの推進に伴い管理体制を整備することが求められます。
情報セキュリティの構成要素 “C.I.A”とは
情報セキュリティの徹底を推進する上では、 “C.I.A”と呼ばれる構成要素を満たすことが必要とされています。ここで、C.I.Aの具体的な要件について、確認しておきましょう。
機密性(Confidentiality)
C.I.AのCは「機密性」を表すConfidentialityを指します。企業情報にアクセスできる権限の設定を徹底し、不特定多数に情報を晒さないという仕組みを整えることが求められます。
アクセス権限を細かく設定することで、不用意に情報が持ち出されたり、不正アクセスによって簡単に機密情報が抜かれてしまうリスクを低減できます。アクセスのための認証プロセスや認証システムを強化し、機密性を確保しましょう。
完全性(Integrity)
二つ目は完全性です。これは、企業が管理している情報が不正に改ざんされたり、消去されたりしていないことを担保するための仕組みを有しているかどうかを指します。
データの改ざんは時として重大な罪に問われることがあるだけでなく、企業の信頼にも直結します。データ改ざんによって組織が傾くことのないよう、対策を万全にしておきましょう。
可用性(Availability)
可用性とは、管理している情報をいつでも使える状態にしてあるかどうか、という使いやすさの点を重視した要素です。企業の資産として情報をいつでも活用できる取り出しやすさがあって初めて、データは資産価値をもたらします。
また、バックアップ体制などを整備することで、災害や障害によって情報が失われたり、使えなくなったりしない環境を整備することも、可用性の観点では重視されています。
情報セキュリティの有効な対策方法
このような要件を満たすための情報セキュリティ対策を推進するためには、どのようなことから始めていくべきなのでしょうか。最後に、有効かつ優先的に実施したい対策方法をご紹介します。
アンチウイルスソフトの導入など基本的なセキュリティ対策の見直し
まずは、ソフト面でのセキュリティ対策の見直しです。最新のアンチウイルスソフトを全社に導入し、OSやソフトのアップデートを完了することで、最低限の環境構築を済ませましょう。
対策を進めていく中で、脆弱性を抱えているシステムがあるかどうかもチェックできるのが理想です。今できる対策の実施と、今後実行すべき改善点の把握を両立しましょう。
システムのクラウド化など業務体制の見直し
二つ目に、業務体制の見直しです。社内システムに依存している業務環境は、災害リスクを抱えるだけでなく、最新の不正アクセス対策環境を整える上で課題となるケースもあります。
クラウドシステムを導入すれば、世界有数のセキュリティ環境で業務を遂行できるだけでなく、バックアップも複数拠点にまたがって確保できるため、BCP対策にも役立ちます。
どうしても自社でなければ管理できないという業務以外は、クラウドへ移行してしまうのが最も実行しやすいソリューションと言えます。
従業員研修やルールブック作成など管理体制の見直し
三つ目に、人為的な被害を抑制するための取り組みです。システム運用前の研修を徹底し、ヒューマンエラーのリスクを小さくしたり、細かく要件を指定したルールブックを作成し、社用端末の運用方針を定めたりすることが大切です。
おわりに
今回は、情報セキュリティにおけるリスクの内容や、どんな対策が有効なのかについて、ご紹介しました。
DXの推進に伴い、情報セキュリティ対策の価値は年々高まっています。システム面での脆弱性を解消するだけでなく、それを扱う側のリテラシーを強化することで、サイバー犯罪の被害を最小限に抑えたり、ケアレスミスを回避したりすることは十分に可能です。人とモノの両面から対策を進め、DXによる恩恵を最大化できるように努めましょう。