デジタルトランスフォーメーション(DX)を組織内で推進していく中で重要なのが、情報セキュリティの強化です。今日では多くのIT活用が進められる中、これらの技術を悪用してサイバー犯罪、従業員による不祥事が件数が急激に増えています。
場合によってはDXの推進そのものが、情報セキュリティの強化につながるケースもあるため、新システムの導入の前にはあらかじめ確認しておきたい視点です。
今回は、そんな情報セキュリティにおけるリスクや、どんな対策が有効なのかについて、詳しくご紹介します。
情報セキュリティとは
情報セキュリティとは、常にシステムやデータにアクセスできる環境を維持し、様々な脅威から守ることを指します。インターネットやICTを使ったサービスの普及により、無形のデータが金銭的価値を上回るようになりました。このような時代に、データを保護するためには、ある程度のコストがかかる必要があります。
情報セキュリティを脅かす脅威は、多様化しており、日々新しい手法が生み出され、世界中の企業が攻撃にさらされています。最新の情報セキュリティに関する知識を深く理解することで、予防可能な脅威を最小限に抑えることが、企業価値やビジネスを守る上で重要視されます。
情報セキュリティ対策が注目を集める理由
今日では、多くの企業が情報セキュリティの強化に注目しています。以下に、その理由を4つ紹介します。
被害額の増加
1つ目の理由は、サイバー犯罪被害の増加です。2020年だけで、世界10カ国で推定3億3,000万人、日本だけで1,800万人がサイバー犯罪の被害に遭いました。日本の被害総額は推定220億円であり、対策を講じない限り、この数値は増加し続けるでしょう。
参考: INTERNET Watch「被害総額は推定220億円、日本では過去1年間で1800万人以上がサイバー犯罪の被害に」
また、同調査では、日本人の74%が個人情報が盗まれることを不安視し、73%は対処法を知らないと回答しました。基本的な対策方法が広まっていないことが明らかになり、急いで対策が必要であることが浮き彫りになりました。
DXの推進
DXは、ICTを活用して業務をデジタル化し、生産性の向上や働き方改革を推進することを目的としています。この動きは、歓迎すべきものである一方で、情報セキュリティリスクの増加を促す可能性もあることに注意が必要です。日本ではDXの余地が大きいと言われていますが、数百億円にも上るサイバー犯罪の被害が発生していることから、インターネットやデジタルがさらに普及したDX環境下では、より深刻なセキュリティ被害が発生するリスクがあることにも留意すべきです。DXを推進する際には、セキュリティリスクの懸念を念頭に置いて対策を行うことが不可欠です。
リモートワークの増加
働き方改革の一環として、多くの企業がリモートワークの導入を進めています。リモートワークは、コロナウイルス対策として有効であるだけでなく、従業員のライフスタイルに合わせた柔軟な働き方を実現することができます。しかしながら、リモートワークを実施する際には、セキュリティ上の問題にも十分な注意が必要です。
リモートワーク下では、社内のセキュリティシステムの限界や各個人のモラルに一定の依存が生じるため、業務遂行にセキュリティ上のリスクが存在します。新しい働き方を実現するには、新しいセキュリティシステムの構築にも時間を費やす必要があります。
情報セキュリティにて想定されている主なリスク
ここで、情報セキュリティの分野において脅威とされている主なリスクについて、ご紹介します。セキュリティへの脅威は三つの分野に分けることができます。順に確認していきましょう。
意図的な脅威
一つ目は、意図的な脅威です。これは第三者や社内の人間によって、意図的に引き起こされるもので、組織へ危害を加えることを目的としているため、最も悪質なリスクと言えます。被害を受けた際の社会的影響や事業への影響も大きく、経営が大きく傾いてしまう可能性を有しています。
不正アクセス
意図的に引き起こされる脅威としては、不正アクセスが一般的です。従業員のIDを不正に取得し、社内のデータベースから機密情報や個人情報を流出させたり、それを防ぐために身代金を要求したりといった犯行が実施されます。企業データや個人情報は闇市場で高値で取引される例も多く、近年のサイバー犯罪において主流となっています。
内部不正
ケースとしては少ないものの、内部の犯行によって情報漏洩が行われるケースもあります。企業のデータを横流しすることで金銭を受け取ったり、産業スパイによって外部へ情報が流出してしまうこともあります。
元従業員が自身のIDを悪用し、企業の機密情報を盗んで競合へ合流することもあり得るため、従業員IDの管理を徹底することも非常に重要です。
偶発的な脅威
二つ目は、偶発的に発生する脅威です。意図的ではないにせよ、人為的に引き起こされるセキュリティリスクの事例を決して少なくなく、ちょっとした手違いで甚大な被害がもたらされることもあります。
社用デバイスの紛失・盗難
働き方改革の影響で多発しているのが、社用PCやスマホなどの紛失及び盗難です。リモートワークが普及し、以働く場所が多様化した結果、自宅以外にもカフェや旅行先で働くことも可能になりました。出先で社用デバイスを紛失したり、盗まれてしまったりするケースも多く、取り扱いには私用デバイス以上に注意が必要となります。
誤操作
あまり使い慣れていないシステムを運用していると、誤った操作で情報漏洩などが起こってしまうこともあります。社内向けに共有していたファイルが、インターネットを通じて一般公開されてしまったり、セキュリティ設定をオフにしてシステムを利用したりといったケースです。
悪意はないにせよ、企業に大きな損失をもたらす危険があるため、できる限り回避しなければならない事態です。
環境的な脅威
三つ目は、環境的な脅威です。これまでは人為的にもたらされる脅威ばかりでしたが、必ずしも人間だけがセキュリティを脅かすリスクを孕んでいるとは限りません。
落雷や台風などによる一時的な自然災害
落雷や台風によってもたらされる被害は、システムに甚大な被害をもたらす可能性があります。落雷によって電源に接続している全ての機器がショートしてしまったり、停電によってデータが保存されることのないまま喪失してしまったりといったリスクです。自然災害はいつ起こるかわからないものですが、対策方法は体系化されているので、優先的に取り組むべき事案であるとも言えます。
地震や火災による長期的な障害の発生
停電や電源のショートはすぐに復旧することも可能ですが、地震や火災による被害は短期間での復旧が難しいケースもあります。地震によってオフィスが倒壊したり、火事によって全焼した場合、会社の利用はおろか、会社機能を丸ごと失ってしまうこともあります。オフィス一棟に業務システムを任せすぎてしまうと、オフィスが被害にあった際に業務遂行能力が失われてしまいます。
こういった潜在リスクはあらゆる企業に存在するため、やはりバックアップ体制を整備するなどの基本的な対策は欠かせないでしょう。
情報セキュリティリスクが大きくなる要因
このような情報セキュリティに対するリスクが大きくなる要因については、企業によってさまざまです。ですが、大抵の場合は以下の三つの理由にまとめることができます。
ソフトウェアの脆弱性
一つ目の要因は、ソフトウェアの脆弱性です。アンチウイルスソフトがインストールされていなかったり、OSのアップデートが長年行われていなかったりなどによって、内部のセキュリティが最新の環境に追いついていないことで発生します。
サイバー犯罪の手口は年々多様化し、ソフトの安定性もアップデートによって保たれます。システムを常に最新の状態で保てるよう、整備しなければなりません。
ハードウェア・建物の脆弱性
ハードウェア本体の老朽化が進んでいると、安定したパフォーマンスを発揮できなかったり、ソフトウェアのアップデートができなかったりという問題が発生します。ソフトウェアほどの頻度でアップデートする必要はありませんが、定期的に本体の買い替えを実施することもセキュリティ対策としては有効です。
また、オフィスそのもののセキュリティ対策はもちろん、電力状況に問題があったり、震災リスクの大きい立地であったりする場合は、移転を検討することも重要です。特に首都圏は直下型地震の到来が近いとされているため、徹底した自然災害への備えを実現することは、情報セキュリティの観点からも不可欠と言えます。
マネジメント体制の不備
三つ目に、マネジメント体制の不備です。導入したICTをどのように活用すればいいのか、あるいは社用デバイスの基本的な取り扱いについて、何らルールが決められていないのは問題です。
ソフトの誤操作や社用端末の紛失、不正アクセスを招き入れることにもなるため、DXの推進に伴い管理体制を整備することが求められます。
情報セキュリティの構成要素 “C.I.A”とは
情報セキュリティの徹底を推進する上では、 “C.I.A”と呼ばれる構成要素を満たすことが必要とされています。ここで、C.I.Aの具体的な要件について、確認しておきましょう。
機密性(Confidentiality)
C.I.AのCは「機密性」を表すConfidentialityを指します。企業情報にアクセスできる権限の設定を徹底し、不特定多数に情報を晒さないという仕組みを整えることが求められます。
アクセス権限を細かく設定することで、不用意に情報が持ち出されたり、不正アクセスによって簡単に機密情報が抜かれてしまうリスクを低減できます。アクセスのための認証プロセスや認証システムを強化し、機密性を確保しましょう。
完全性(Integrity)
二つ目は完全性です。これは、企業が管理している情報が不正に改ざんされたり、消去されたりしていないことを担保するための仕組みを有しているかどうかを指します。
データの改ざんは時として重大な罪に問われることがあるだけでなく、企業の信頼にも直結します。データ改ざんによって組織が傾くことのないよう、対策を万全にしておきましょう。
可用性(Availability)
可用性とは、管理している情報をいつでも使える状態にしてあるかどうか、という使いやすさの点を重視した要素です。企業の資産として情報をいつでも活用できる取り出しやすさがあって初めて、データは資産価値をもたらします。
また、バックアップ体制などを整備することで、災害や障害によって情報が失われたり、使えなくなったりしない環境を整備することも、可用性の観点では重視されています。
情報セキュリティの有効な対策方法
このような要件を満たすための情報セキュリティ対策を推進するためには、どのようなことから始めていくべきなのでしょうか。最後に、有効かつ優先的に実施したい対策方法をご紹介します。
基本的なセキュリティ対策の見直し
まずは、ソフト面でのセキュリティ対策の見直しです。最新のアンチウイルスソフトを全社に導入し、OSやソフトのアップデートを完了することで、最低限の環境構築を済ませましょう。
対策を進めていく中で、脆弱性を抱えているシステムがあるかどうかもチェックできるのが理想です。今できる対策の実施と、今後実行すべき改善点の把握を両立しましょう。
業務体制の見直し
二つ目に、業務体制の見直しです。社内システムに依存している業務環境は、災害リスクを抱えるだけでなく、最新の不正アクセス対策環境を整える上で課題となるケースもあります。
クラウドシステムを導入すれば、世界有数のセキュリティ環境で業務を遂行できるだけでなく、バックアップも複数拠点にまたがって確保できるため、BCP対策にも役立ちます。
どうしても自社でなければ管理できないという業務以外は、クラウドへ移行してしまうのが最も実行しやすいソリューションと言えます。
管理体制の見直し
三つ目に、人為的な被害を抑制するための取り組みです。システム運用前の研修を徹底し、ヒューマンエラーのリスクを小さくしたり、細かく要件を指定したルールブックを作成し、社用端末の運用方針を定めたりすることが大切です。
まとめ:情報セキュリティのリスクとは?
今回は、情報セキュリティにおけるリスクの内容や、どんな対策が有効なのかについて、ご紹介しました。DXの推進に伴い、情報セキュリティ対策の価値は年々高まっています。システム面での脆弱性を解消するだけでなく、それを扱う側のリテラシーを強化することで、サイバー犯罪の被害を最小限に抑えたり、ケアレスミスを回避したりすることは十分に可能です。人とモノの両面から対策を進め、DXによる恩恵を最大化できるように努めましょう。
データセンターに関する情報はこれ一冊!
「データセンター活用ガイド」ダウンロードはこちらから
コメント