企業のセキュリティ対策を検討する際、どのようなポイントに気をつければよいのかわからずに悩んでいる人も多いでしょう。この記事では、自社のセキュリティ対策の見直しを迫られている人に向けて、セキュリティ対策が必要な背景や対策に必要な3原則を解説します。あわせてセキュリティ対策を実施するためのポイントも解説するので、参考にしてください。
セキュリティ対策とは?
そもそもセキュリティ対策とは何なのでしょうか。以下では、企業に求められているセキュリティ対策について解説します。
今企業に求められているセキュリティ対策の意義
インターネットの普及により、企業でもインターネットや情報システムが欠かせないものとなりました。そのため、セキュリティ対策は世界的にも重要な経営課題として認識されており、情報セキュリティに対するリスクマネジメントの重要性が高まっています。
情報セキュリティ対策とは、外部からの不正アクセスやマルウェアなどのウイルス感染、情報の漏えいや災害・トラブルなどによる機器障害を未然に防ぐための対策を指します。
企業がセキュリティ対策を強化する背景
企業ではセキュリティ対策の強化が進んでいます。なぜ、セキュリティ対策が強化されているのか、その理由を解説します。
外部からのサイバー攻撃
セキュリティ対策をしていないと、トラブルに巻き込まれて被害が出る可能性があります。よくあるトラブルとして挙げられるのが、外部からのサイバー攻撃です。システムの脆弱性をついて企業のシステムに不正に侵入される、ウイルスが仕込まれたメールやファイルを開封させて感染させるといった手口による攻撃は珍しくありません。
これにより、個人情報や機密情報が外部に流出したり、自社ホームページやオウンドメディアなどが改ざんされたりする可能性があります。サイバー攻撃で情報が流出することで、社会的な信用が低下する恐れもあるためセキュリティ対策は欠かせません。
社内での管理ミスによる情報漏えいや改ざん
社内での管理ミスによる情報漏えいや改ざんもあり得ます。例えば、メールの誤送信で機密情報やパスワードが漏えいしてしまう、顧客情報などが入った USB メモリやパソコンを紛失してしまい情報流出する可能性もあります。また、内部不正で情報が持ち出され漏えいする、社内システムのバグで情報が流出することもあるためセキュリティ対策が必要です。
上場企業はサイバー攻撃の標的にされやすい
上場企業はサイバー攻撃の標的にされやすいといわれていますが、これは本当なのでしょうか。
2020年に個人情報の漏えい・紛失事故を公表した上場企業とその子会社は88社にも及ぶ
東京商工リサーチの調査によると、2020年に上場企業やその子会社で発生した個人情報の漏えいや紛失事故は88社となっており、件数は103件です。また、漏えいした個人情報は2,515万人を超え、2012年の調査開始以来、過去最多となっています。とくに、不正アクセスなどによるサイバー攻撃関連の事故は2年連続で増加するという結果が出ています。
調査によると、情報漏えい・紛失事故を公表した企業のうち8割以上が東証一部上場企業です。上場企業は保有している個人情報の量が多く、知名度の高さや規模の大きさからもサイバー犯罪のターゲットに選ばれやすくなっています。また、サイバー犯罪の手口は年々進化・巧妙化しているため、セキュリティ対策も定期的な見直し・更新が必要です。
情報漏えい・紛失事故が多い傾向にある業界
情報漏えいや紛失事故を公表した企業は、どのような業界が多いのでしょうか。業界別でみてみると、88社のうちもっとも多い業界が製造(構成比23.8%)、次いでサービス業(構成比20.4%)となっています。この後には、情報・通信業(構成比18.1%)、金融・保険業(構成比13.6%)、小売業(構成比7.9%)が続きます。
この調査結果から、大手の BtoC 企業がターゲットとなりやすいことがわかります。これは、BtoC 企業の場合、従業員の個人情報や取引先の情報だけでなく、膨大な量の顧客情報を保有していることが関係しているでしょう。
また、ネットショッピングの普及にともない、EC 業界も被害が多くなっている業界です。顧客の ID・パスワード情報やクレジットカード情報などを目的としたサイバー攻撃が増加しており、実際に悪用されるケースも増加しています。
企業のセキュリティ対策に不可欠な3つの原則
企業のセキュリティ対策には欠かせない3つの原則があります。以下では、それぞれの原則について詳しく解説します。
経営層のリーダーシップのもと、組織全体で取り組む
情報セキュリティ対策には、経営層のリーダーシップが重要です。経営者や経営層がセキュリティ対策の重要性や必要性をしっかりと認識して、強いリーダーシップを発揮して組織全体で取り組みましょう。自社にとって最適なセキュリティが何かを考え、必要な対策を検討しながら、経営者自身が必ず意思決定することが大切です。
計画的なセキュリティマネジメントを計画する
セキュリティ事故を未然に防ぐ対策も重要ですが、万が一セキュリティ事故が発生した際の対応について、しっかりと計画を立てることも大切です。計画を立てるだけでなく、顧客や取引先などの関係者の不安を解消するためにコミュニケーションをとり、情報を共有します。また、関係者に質問された場合に備えて、対応についての理解を深めておきましょう。
システムベンダーや委託先のセキュリティ対策も考慮する
業務の一部を委託・外注するケースもあるでしょう。顧客情報などの個人情報を扱う場合には、委託先などのセキュリティ対策の確認も欠かせません。社内でのセキュリティ対策が万全であっても、委託先が不十分であればそこから情報漏えいする可能性があります。事故が起きれば自社の責任が問われるため、関連先のセキュリティ対策についてもチェックしておきましょう。
企業がセキュリティ対策を効率良く実施するためのポイント
セキュリティ対策を効率的に実施するには、6つのポイントを意識しましょう。以下ではそれぞれのポイントについて解説します。
方針を決定し、予算や人材を確保する
はじめに、セキュリティ対策の方針を明確にしましょう。守る必要のある情報やどのように守ればよいのかなどを決定し、セキュリティ強化の必要がある情報を絞り込みます。基本方針が決定したら、セキュリティ対策に必要になる人材や予算などの確保を行います。その後、保有している情報の整理も行いましょう。
自社に必要な対策を立て、周知徹底させる
情報セキュリティポリシーの決定や見直しも必要です。情報セキュリティポリシーとは、社内に情報セキュリティ対策を浸透させるための基本方針や行動指針などを指します。基本方針として、どのような対策が必要か、対策の具体的な内容などをまとめて社内に宣言し、従業員全体に情報セキュリティポリシーを周知徹底します。
緊急時の指示系統や連絡方法などを決めておく
セキュリティ対策は、サイバー攻撃や内部不正への対応としてだけではなく、災害などの緊急時でも利用できます。そのため、有事に備えてしっかりとした体制を整えておくことが重要です。
有事の際に慌てずに行動するためには、復旧の具体的な手順や指示を出す責任者や指示系統などを決めておくとよいでしょう。また、緊急時の連絡先や連絡方法なども定めておきます。各部署の代表者を集めたチームを作っておくなども、緊急時には有効です。
ベンダーや委託先との契約時に責任の所在を明確にする
セキュリティ対策は内部での対策を強化するだけではいけません。業務を委託する場合にはベンダーや委託先にも自社と同様のセキュリティ対策が必要です。セキュリティ対策について、しっかりと話し合っておきましょう。また、責任の所在を明確にするために、セキュリティ対策について契約書に記載しておくことも欠かせません。
定期的に評価し、必要に応じて再検討する
具体的なセキュリティ対策が決定したら対策を実施していきましょう。セキュリティ対策は、ただ行うだけではいけません。定期的に対策の評価を行って、方針に従って実施できているかどうかをチェックします。評価の結果、見直しが必要であれば改善していくようにしましょう。
情報セキュリティ対策は、PDCA サイクルを回し続けることが大切です。業務内容とセキュリティ対策があっているかなどを確認し、適宜方針を見直すなどしてセキュリティを高めていきましょう。
最新情報を収集し、セキュリティ対策に活かす
完全なセキュリティ対策はありません。サイバー攻撃は常に進化・巧妙化しているため、同じセキュリティ対策を続けていたのでは、セキュリティリスクが高まってしまいます。そのため、セキュリティやサイバー攻撃に関する最新情報を常に収集しましょう。把握した情報をセキュリティ対策に活かして、更新していくことを心がけます。
セキュリティ関連の最新情報の入手先
セキュリティ関連の最新情報はどこから入手すればよいのでしょうか。セキュリティ関連情報の入手先を3つ紹介します。
一般社団法人JPCERTコーディネーションセンター
「一般社団法人JPCERTコーディネーションセンター」とは、国内外の関連組織と連携しインシデント報告の対応をしている組織です。インシデントとは、情報漏えいやウイルス感染といったセキュリティ事故を指します。
インターネット上で実際に起きたサイバー攻撃の報告を行うだけでなく、ソフトウェアやサービスなどの脆弱性に関する情報の提供も行っています。脆弱性のあるバージョンや具体的な影響などを公開しており、自社で使用しているソフトウェアに脆弱性がないかなどの確認ができます。
情報処理推進機構(IPA)
「情報処理推進機構(IPA)」は、経済産業省管轄の独立行政法人です。セキュリティに関する国の方針や対策の指針、関連情報などを公開しています。IPA のサイト内には情報セキュリティに関するページがあり、日々セキュリティ情報や新着情報が更新されているため、定期的にチェックしておくとよいでしょう。
- ※参考:情報処理推進機構(IPA)
内閣サイバーセキュリティセンター
「内閣サイバーセキュリティセンター」は、2014年に成立した「サイバーセキュリティ基本法」にもとづいて内閣官房に設置されました。サイバーセキュリティに関する政府の活動報告や情報セキュリティに関する会議の内容、関連情報などを公開しています。サイバーセキュリティに関する国家戦略などの情報が収集できます。
- ※参考:内閣サイバーセキュリティセンター
セキュリティ関連の資格取得も有効
IPA では、国家試験である「情報セキュリティマネジメント試験」を実施しています。これは、情報セキュリティ対策のリーダーとしての知識などを問う試験で、安全な IT 活用の知識を持っていることの証明になります。セキュリティマネジメント人材の育成は急務ですから、企業として資格取得支援を行ってもよいでしょう。
まとめ
サイバー攻撃の進化や巧妙化に対応するために、情報セキュリティ対策は欠かせません。常に同じ対策を続けるのではなく、定期的に見直し・更新することが重要です。
SBテクノロジーの「マネージドセキュリティサービス(MSS)」は、24時間365日システムの監視を行う最先端のセキュリティ監視センター(SOC)を完備しています。また、セキュリティ専門アナリストたちが豊富なノウハウを活かしてシステムを守るため安心です。情報セキュリティ対策をお考えなら、ぜひお問い合わせください。
