【サイバーセキュリティに関するコラム】第1回:組織がセキュリティ対策に取り組まなければいけない理由
「山陰セキュリティ交流会」というコミュニティにおいて、セキュリティ関連情報の共有や参加者の交流を行うなどの活動をされておられる、ファーエンドテクノロジー株式会社の岩石様にご協力いただき、サイバーセキュリティに関するコラムを連載(全3回)することとなりました。
サイバーセキュリティにご関心がおありの方はぜひご覧ください。
皆さんこんにちは。ファーエンドテクノロジー株式会社の岩石と申します。
この度サイバーセキュリティ・情報管理といった内容について記事を書かせていただくことになりました。
このコラムをご覧の方々はこういったセキュリティにある程度関心をお持ちの方と想像しています。
当コラムではできるだけ技術的な話題を避け、
・「セキュリティ対策ってやらないといけないかな?」
・「対策って言っても何からやれば...」
といった漠然とした思いをもう少し具体的な行動に移すためのお手伝いができるような話題が書けたらと考えています。
今回は「組織がセキュリティ対策に取り組まなければいけない理由」について書きます。
社内のセキュリティに対する意識
皆さんの会社ではセキュリティの話題を社内で話したり、そう言った話の議論が盛り上がったりすることはあまり無いのではと思います。
多くの方は「セキュリティ」という言葉についてあまりポジティブな印象をお持ちではありません。
どちらかというと怖さ、面倒臭さ、難しさといったような感覚をお持ちではないでしょうか。
そしてできることなら無関係でいたいと思われているのでは無いでしょうか。
一方で「やらなければいけないこと」の一つだということを感じられている方も多いと思います。
セキュリティ対策の考え方
組織の業務で取り扱う情報やその取り扱いに使用するIT機器、サービス、書類などをまとめて「情報資産」と呼びます。
情報資産にはとても大きな利便性や価値がある一方で常にリスクが存在します。
・会社のPCが脅迫型のコンピューターウィルス(ランサムウェアと呼ばれます)に感染し事業を停止せざるを得なくなった
・事務所荒らしが顧客リストを盗み、お客様に迷惑をかけた上に風評被害で売り上げが減少した
上記のような一般的に理解されているリスクもあれば、事業によってはその組織独特のリスクがある場合もあります。
セキュリティ対策とは一言で表すと、
「情報資産のリスクが大きくならないように弱いところを無くしていく活動」
です。
対策を急がなければと思いつくままに対策を導入するよりは、まず最初に自組織の情報資産のリスクを認識することから始めましょう。
そして次にその認識したリスクへどのように対策するかを考え優先順位や費用、時期、担当者などを決め、具体的に対策を進めていきましょう。
セキュリティ対策による弊害
現在世の中ではDX(デジタルトランスフォーメーション)に取り組もうという働きかけをよく目にします。
DXを言葉にすると、さまざまな解釈がありますが、
・業務に関係する物事を文字や数字などのデータにし
・そのデータを活用しやすく、一定の範囲内で共有や連携できるように保存し
・蓄積したデータを使って、他の業務や新たな取り組みに活かす
と表せると思います。
こういった活動にも「セキュリティ対策」は必要となります。
構築するシステムについてデータ連携の段階にのみセキュリティ検査を行う、言わば関所のようなセキュリティ対策の仕組みにすると、セキュリティ面での安全性はすべてその関所で守られることになるので、そこでは厳重な管理が必要となります。
そしてその関所での検査は非常に大きな責任を負うものとなり、時間も資源も必要になります。
結果としてOUTPUTは遅くなり、最新の情報が得られないとか、他の用途に活用するという流れが断ち切られてしまいます。
また処理を行ったのちに対策をするという手順ではどうしても余分な活動となることは避けられませんし、処理の集中から生産遅延を生むボトルネックになることも予想されます。
理想的なセキュリティ対策の実装
セキュリティ対策の体制としては、処理を行う場面場面に想定通りの処理が行われているかを確認し、一定のセキュリティは確保できている状況の上で最終確認をするような形がより理想的です。
先の例で表すと、
・物事を取得する処理
・データ化し保存する処理
・連携のために公開する処理
といったデータの出入りがある処理、公開範囲を決定する設定など、それぞれでチェックをすることが望ましいです。
このような仕組みではセキュリティ対策に関する時間・コスト・責任などを分散し局所集中しないようにすることができるだけでなく、各プロセスでセキュリティを意識し弱点の少ない成果を見込むことができます。
このようにセキュリティ対策は様々な活動に組み込まれ、常に意識し行われることがより良い体制といえます。
これを実現するためには、セキュリティのために特定の部門が頑張って対策することでは対応が難しいです。
販売・製造・保守・管理・検査・総務・経営などそれぞれの部門の活動において、各部門それぞれでセキュリティ対策を行い、組織活動としてプロセスを作り上げていく必要があります。
セキュリティとリーダーシップ
こういった活動を仕切って進めていくことができるのは、会社のトップである経営者だけです。
ですが経営者本人がセキュリティに詳しくないといけないわけではありません。
窃盗犯罪に詳しくなくても家の鍵を閉めたり、警備会社に相談したりすることはできます。
何をすべきかは専門家や業界などの相談窓口に頼れば良いと思います。
まずはやらなきゃという意識と行動が大切です。
「サイバーセキュリティ経営ガイドライン」をはじめとする経済産業省から発行されている文書において、企業のセキュリティの取り組みは経営者ら組織幹部のリーダーシップで行わなければならないと記されています。
サイバーセキュリティ経営ガイドラインと支援ツール - 経済産業省 ( https://www.meti.go.jp/policy/netsecurity/mng_guide.html )
つまり国の指針としてセキュリティは経営責任であると示されているわけです。
情報価値とリスク
情報には価値があります。
組織の情報は自社にとってだけではなく他者にとっても価値があります。現在は攻撃者が取得した情報が販売されているマーケットが存在することも周知の事実になりました。
そして近年話題となっているサプライチェーンリスクの一つに小さな組織への侵入や攻撃などが関係する大企業の事業活動を脅かす事例があります。
さらにそういった情報の漏洩や攻撃だけでなく、事故発生による風評被害も気になります。
まとめ
今回のコラムでは組織でセキュリティ対策に取り組まなければいけない現状について書かせていただきました。
リスクはなんとなく理解できているようで、あまり全体が見えていないことが多いです。
そしてセキュリティ課題は自社だけの問題ではなくなっているのが現状です。
まだどうしようかと悩んでいらっしゃる方は是非相談窓口などに問い合わせてみられることをお勧めします。
(ファーエンドテクノロジー株式会社 取締役 岩石 睦 氏)