岐阜でアクセス解析に興味があればご連絡ください。岐阜を中心にITコンサルティングを行っています。

自社のセキュリティ対策に不安を覚えたら読む本

あなたの会社のセキュリティ対策は大丈夫でしょうか?

個人情報漏洩がニュースになったり、ランサムウェアの被害が報告されたり、情報セキュリティに関するニュースはとても身近になっています。

またマイナンバーの取り扱いも始まり、企業が個人情報保護に配慮しなければいけない状況は確実に増えているのが現状です。

では、「自分の会社のセキュリティ対策はどこまでできているのか」をどう評価すればよいでしょうか?意外と難しくありませんか?そういう悩みを持ってる方には、まずこの本を読んでみることをお勧めします。

 

企業経営の観点から、情報セキュリティをどう捉えるかをわかりやすく説明した1冊です。本書を参考に、いくつかセキュリティのトレンドをご紹介しておきます。

 

サイバー攻撃は守る側が不利

大前提として、サイバー攻撃とは一方的に攻撃を受ける状態であり、一般の企業は防御に専念することになります。「攻撃は最大の防御」という言葉もありますが、防御する側と言うのは一般的に不利な立場にあります。それは、相手がどのような攻撃をどこから行ってくるのかを、くまなく予想して対策を取る必要があるからです。

その前提で考えたときに、どこまでセキュリティ対策として投資するかは、よくよく考えなければいけません。全部やればもちろんより安全になりますが、お金や人が無限にあるわけではないからです。やはりそこは、費用対効果で考えるべきでしょう。

 

それに関する部分を、本書から引用しましょう。

まず、経営層がセキュリティ投資についてどう判断するか考えてみよう。難しく考えることはない。どのような投資であれ、投資したら得をする、逆に投資しなかったら損をすると判断された場合に「投資する」という意思決定が下される。セキュリティに対する投資では、「投資しなかったら損をする」ことをいかに経営層が理解し、納得できるように説明できるかが鍵となる。

 

防御策は年々見直す必要がある

情報セキュリティ対策は、一度導入してしまったら終わり、というわけではありません。実際、どんどんサイバー攻撃は巧妙になっており、従来行われていた対策では十分ではなくなってきています。

特に昔はいたずらや自己顕示を目的としたウィルスが多く、実被害と言う点では非常に少ない例も多かったですが、最近は直接的な金銭目的の攻撃が増えています。重要な個人情報を大量に抜き出したり、ランサムウェアの様に情報を暗号化して使えなくし、それを盾に身代金を要求するのもそうです。

 

攻撃が高度化することに伴って、セキュリティ対策も難しくなっています。それは、本書のこのような記載からもよくわかります。

従来は攻撃者がウイルスを作り、そのウイルスがばらまかれていく過程で自社がその被害に遭うというパターンだった。ウイルスは全方位にばらまかれるため、ばらまかれたウイルスはユーザーにも届くが、同時にウイルス対策ソフトのベンダーも検体を入手することが可能で、ウイルス定義ファイルを作成することができた。つまり、ウイルス対策ソフトのベンダーが広く網を張っていれば、自社が被害に遭う前にウイルス対策ベンダーがウイルスの検体を入手し、ウイルス定義ファイルを供給するという現実的なシナリオが描ける。

 

多層防御で考える

本書の中でも防御方法の考え方について触れられていますが、基本的にはいくつかの防御方法を組み合わせて行うことで、全体としてのセキュリティレベルを向上させます。

昔のようにファイアウォールやウィルス対策ソフトを入れれば十分というものではなくなっており、それ以外のセキュリティー機器やセキュリティ関連ソフトを導入し、いろんな攻撃に対して防御できるようにする必要が生じているのです。

 

機械やソフトウェアで完全に防御するのは無理

どれだけセキュリティ機器やセキュリティ関連ソフトウェアを導入しても、それだけで完全に防御するのは難しい、というのもIT関係者の間では一般的な認識になっています。

例えば、ソーシャルメディアなど、個人がすぐに公のメディアに情報書き込める時代になっています。一方で、業務時間外の個人のソーシャルメディアへの書き込みを、企業が技術的に制御することはできません。このような場合は、従業員に対するセキュリティリテラシー教育を行うことで、ソーシャルメディアへの書き込む事等で企業やその個人にどのような影響を処罰が与えられるかということを、ルールとしてはっきり認識をしてもらう必要があるでしょう。

 

また、内部犯行というのは、セキュリティ対策の抜け穴を知っている人が行うケースになるので、それだけ経営にネガティブなインパクトを与えるリスクが高くなります。ベネッセの個人情報流出事件はまさに内部犯行が経営危機をもたらしたものです。

本書でも、総合的なセキュリティ対策の重要性が述べられています。

内部不正のような、人に起因する事故が増えてくると、経営層としてもITだけでセキュリティ対策をカバーしきれないと考えるようになる。包括的なセキュリティ対策の必然性がより高まってきている。

このように、技術だけでは完全に情報資産を守るのは難しくなっています。それを認識した上で、ちゃんと運用できる組織を作っていくのも経営の重要な課題になっているのです。

 

本書は、経営目線でセキュリティを語っていて経営者にとっては理解しやすいでしょう。またセキュリティ対策の考え方や、お金を抑制しつつ行う現実的なアプローチも紹介されています。興味がある方は、ぜひご一読ください。