IPA(独立行政法人情報処理推進機構)が公開した「情報セキュリティ事象被害状況調査」によると、約7割の企業が、電子メールなどを経由したコンピューターウィルスに遭遇しているとされます。
被害も年々増加し、2014年では2013年の5倍の件数となり、なかにはコンピューターウィルスの感染によるインターネットバンキングの不正送金もあるといいます。
外部からの攻撃に加えて、内部の関係者による不正行為も大きな問題となっています。もはやサイバー攻撃による被害は対岸の火災ではなく、どの企業も経営問題のひとつとして考えなくてはいけません。
ここでは、経営とサイバーセキュリティについて考えてみましょう。
「サイバー攻撃の対策が重要である」といわれても……
ICTの利用・活用が不可欠となった今日、サイバー攻撃への対策に注力する企業が増えています。IPAの調査では、調査対象企業のうち、ウィルス感染とサイバー攻撃によりECサイトが停止した企業は6.2%とのこと。これだけでも多くの損害が発生しますが、さらにシステム復旧のための費用や時間がかかっています。ひとたびサイバー攻撃に見舞われ、情報漏えいなどが発覚すれば、事業の継続性の危機となるのです。
しかも、ウィルスによる被害は時を選んではくれません。24時間365日、ずっと監視し続ける必要があるのです。
こうしたサイバー攻撃から会社を守るためにはどうしたらいいのでしょうか?
経済産業省では「サイバーセキュリティ経営ガイドライン」という指針を策定しています。そのなかでは、経営者が認識すべき3原則と情報セキュリティ対策を実施の責任者である「CISO」などの担当幹部を置くべきとしています。
「CISO」という聞き慣れない言葉が登場しましたが、これはChief Information Security Officerの頭文字で、「最高情報セキュリティ責任者」を意味します。同ガイドラインでは、サイバー攻撃は、企業経営上のさまざまなリスクのなかでも重要項目として位置付けなければならないと説いており、総務や経理などの部署と同等の規模の対策セクションが必要だと指摘しています。
こうした責任者が確保できれば良いのですが、大企業ならともかく、中小企業で専任のセキュリティ担当重役を置くのは、人員確保・費用の両面から難しいケースもあります。中小企業の中には、業務の一環としてシステム管理者がセキュリティ対策を行っていたり、さらにはシステム管理者自体が存在せず、パソコンに詳しい社員が兼務しているケースも見られます。このような体制では、セキュリティ情報を的確にキャッチし、すばやい対応が行える可能性は低いでしょう。むしろ兼務になったことで、本来の業務に支障をきたす恐れも出てきます。
一方で、費用をかけ、部署を設置し、従業員を教育したとしても、担当者が転職してしまうケースも考えられます。24時間365日、企業の情報セキュリティに目を配るスペシャリストなのですから、継続して従事してもらうためにはそれなりの待遇も必要です。自社で構築するのには、費用・人員確保の面でかなり難しいといえるでしょう。
「選択と集中」でアウトソーシングしよう
そこで考えたいのが、セキュリティ対策のアウトソーシングです。
現在国内には、セキュリティ対策を専門に行う「セキュリティオペレーションセンター」サービスを提供する企業が多くあります。そこでは、不正アクセスの防御、ネットワークからの情報漏えいの回避、コンピューターウィルスの関知などのサービスを企業に提供しています。つまり、考えられる脅威のほとんどから、企業の情報を守ってくれるわけです。
セキュリティ対策をアウトソーシングすると聞くと、アウトソーシング先に自社の情報が漏えいするのではと心配するかもしれませんが、委託内容をセキュリティ対策と個人情報関係事務に分け、前者の委託先に特定個人情報を渡さないように注意すれば、リスクは低減します。
アウトソーシングするうえで一番の利点は、24時間365日にわたり監視してもらえることです。毎日のように発生する新たな脅威に対しても、即座に対応できるのは、企業にとって非常に心強いものです。セキュリティ部門を兼任していた社員は本来の業務に専念でき、生産性の向上が期待できます。また、中には自社スタッフのセキュリティ教育もアウトソーシングできるサービスもあります。
セキュリティのような専門的な業務をアウトソーシングすれば、自社のビジネスの強みの部分に人員を割くことができます。これもひとつの「選択と集中」のひとつの形であるといえるでしょう。
連載記事一覧
- 第2回 ハッカーって何者?被害を防ぐ方法は?(前編) 2016.02.01 (Mon)
- 第9回 第三者が覗き見!? 実は危険なWebカメラ(前編) 2016.04.15 (Fri)
- 第11回 サイバー攻撃3割増!いまやセキュリティ教育が不可欠 2016.04.28 (Thu)
- 第12回 ウィルス対策ソフト、単に入れただけでは危険です! 2016.08.29 (Mon)
- 第13回 5社に1社がサイバー攻撃に遭遇、正しい防ぎ方とは 2017.03.01 (Wed)
- 第14回 セキュリティを高めつつ自社ビジネスに注力する方法 2017.04.03 (Mon)
- 第15回 添付ファイルをダブルクリックしてはいけない 2017.04.04 (Tue)
- 第16回 サイバー攻撃で社員が加害者に!? 2018.03.20 (Tue)
- 第17回 見えざる悪意―3つのサイバー攻撃から会社を守る! 2018.03.23 (Fri)
- 第18回 IP-VPNで不正アクセス対策の土台を固めよう! 2018.03.26 (Mon)
- 第19回 来訪者への安易なWi-Fi提供は、情報漏えいの危険も! 2018.03.30 (Fri)
- 第20回 在宅勤務のあなたはカモになる!?サイバー攻撃のいま 2021.03.02 (Tue)