経営に重大な影響を及ぼす情報セキュリティリスク

情報セキュリティのリスクは自然災害や市場の悪化などと同様、会社を大きな危機に陥れる可能性があります。過去には、自社の顧客情報の情報漏えい事故が発生したことで、数百億円に上る額の損害賠償請求や補償対応、被害者からの集団訴訟へと発展した例もあります。一度毀損した会社のブランドイメージは、顧客離れなどその後も経営に影響を及ぼし続けます。企業がセキュリティ対策を怠ったと判断された場合、経営層は刑事罰や損害賠償責任などの法的責任を負わされるケースもあるため、その対策は経営課題と捉えるべきでしょう。そのような危機的状況を招かないためにも、企業の経営層はセキュリティ対策のための予算や人材などを確保する必要があります。

とはいえ、自社の限られた予算とリソースをどのような情報セキュリティ対策に振り分けるのかは難しい判断です。そこで今回は、昨今の情報セキュリティのトレンドを踏まえ、経営層が意識しておくべきセキュリティのポイントを、４つの軸をもとに解説していきます。

１）情報セキュリティ強化を図るための人材はいるか

一般的に、企業の情報セキュリティ体制として、各部門にシステム管理者と情報セキュリティの部門責任者、それらの全責任を負う情報セキュリティ責任者を配置することが求められます。

実務者層・技術者層の理想的な体制は、セキュリティ対策や管理・運用を行う専門の部署があることです。しかし、多くの企業では情報セキュリティ対策はコストとみなされ、一人で情報システムの面倒をみている「一人情シス」や、総務部や人事部がセキュリティ担当を兼ねる「ゼロ情シス」も珍しくありません。サイバー攻撃は高度化、巧妙化し、大手企業で被害が拡大した「ビジネスメール詐欺」など新たな脅威が次々と登場しており、単一のウイルス対策ソフトやセキュリティ対策機器（ファイアーウォール）の設置だけでは対応できなくなっています。

そういった背景から、昨今では情報セキュリティ対策を自社で運用や管理をするのではなく、サイバーセキュリティの運用を外部に委託するマネージメントサービスが増えています。そのため情報セキュリティ強化を図るため自社に最低限必要なのは、情報セキュリティの基本を理解し、自社でできることと外部に委託することの判断や、情報セキュリティ製品やサービスを取り扱う事業者についての知識がある人材であることが要件となるでしょう。

２）OSやネットワークの脆弱性対策は万全か

情報セキュリティ対策で重要なポイントとして認識しておきたいのが「脆弱性」です。脆弱性とは、ソフトウェアの不具合（弱点）のことで、「セキュリティホール」とも呼ばれます。脆弱性にはさまざまな種類があり、中には悪意のある第三者に自由に操作されてしまうものもあります。サイバー攻撃には、世間で広く使われている「Windows」「Office」「Acrobat」などの脆弱性が悪用されるケースが多く、ソフトだけでなくネットワーク機器などに脆弱性が発見されることもあります。製造業のセンサーなどで普及が進んでいるIoT（モノのインターネット）機器は、昨今特に狙われやすくなっています。

脆弱性が発見されると、そのソフトのメーカーは修正プログラム（パッチ）を作成します。そして、脆弱性情報を公開するとともにパッチを提供し、ユーザーに適用を求めます。しかし、こうした情報はサイバー攻撃者も見ているため、マルウェア（不正プログラムの一種で、広義のコンピュータウイルス）を作成し、サイバー攻撃を行います。そのため、脆弱性対策では自社で使用しているソフトや機器について常に情報を収集し、バージョンを最新に保てる社内運用の仕組みや社員への周知・教育が大切です。ただし、脆弱性については数多くのサイバー攻撃者が調査しているため、メーカーが対応していないうちに脆弱性情報が公開されてしまうこともあります。これは「ゼロデイ脆弱性」と呼ばれ、修正プログラムでは対応できない危険な状態です。そのためゼロデイ脆弱性ついて「仮想の修正プログラム」などを使って対応できるセキュリティ製品も登場しています。検討の際は、まず製品を取り扱う事業者に話を聞いてみることをお勧めします。

３）マルウェア、ランサムウェア対策は万全か

サイバー攻撃による被害の大半は、マルウェアが原因です。マルウェアの種類はさまざまで、感染するとPCの動作を重くしたり広告を表示させたりするものや、情報のハッキングや業務システム上で誤作動を起こすプログラムウイルスなどが存在します。

一般的に、標的型攻撃ではマルウェアに感染していることをユーザーに気づかせないよう秘密裏に活動しますが、最近では金銭目的のためユーザーへ感染をアピールするタイプのマルウェアもあります。それがランサムウェアです。ランサムウェアは、感染するとパソコンのデスクトップやドキュメントフォルダにあるファイルを片っ端から暗号化し、“身代金”を要求する画面を表示します。こうなるとファイルが開けなくなるので業務が行えなくなり、仕方なく身代金を支払ってしまう企業もあります。しかし、それでファイルが元通りになる保証はありません。むしろ「身代金を支払うカモ」としてその情報が他の攻撃者にも連携され、再三にわたり狙われるようになってしまいます。

マルウェア感染のきっかけは、ほとんどがメールによるものです。こうしたメールにはマルウェアが添付されていたり、メール本文にマルウェアを感染させるサイトへのリンクが記載されていたりします。メールは差出人を詐称しており、本文にはそれらしいことが書いてあるので、受信者は騙されてファイルを開いたり、サイトを訪問してしまったりするわけです。マルウェアは特定の企業にターゲットを絞って、ビジネス文面に偽装してメールを配信する「標的型攻撃」にも使用されます。2021年11月に活動再開が確認されたEmotet（エモテット）は、従来メールに添付されたWordやExcelファイルに含まれるマクロなどを利用して侵入する手法が主流でしたが、通常やり取りされているメールに割り込む形で不正なファイルをダウンロードさせる手法も取られており、対策が困難になっています。

マルウェア・ランサムウェアへの対策としては、まずは不審なメールに気づくことが重要です。日本語が怪しくないか、URLにおかしな点はないかなど、社員が不審なメールに気づくことができるような教育をしていくことでリスクも軽減するでしょう。もちろん、アンチウイルス（コンピュータウイルスを検出・除去するためのソフトウェア）の導入など、システム的な対策も必須といえます。ランサムウェア対策としては、データを定期的にバックアップする仕組みの導入も有効となります。

４）働き方改革に対応したセキュリティ対策はとれているか

「働き方改革関連法」の一環として2019年4月から「時間外労働の上限規制」（中小企業は2020年4月1日から）、「年5日の年次有給休暇の確実な取得」「フレックスタイム制度の拡大」「健康管理面からの労働時間の把握」などが施行されています。企業が守らなかった場合の罰則規定もあり、多くの企業にとってこれらに対応するための職場環境の整備が急務となっています。

働き方改革に対応するために不可欠と言えるのが、テレワークができる職場環境の整備です。テレワークとは、情報通信技術を活用して自宅や外出先から柔軟に業務ができる形態です。時間の効率化や育児や介護など多様な働き方を実現することで雇用の幅を広げられるといった理由から導入する企業も増えていますが、在宅や外出先などリモートワーク環境の整備には「情報セキュリティ対策」が重要な課題でしょう。

テレワークでは主に、持ち運びができて業務に使える端末、Wi-Fiを含むインターネット回線、クラウドサービスなどを利用するため、それぞれに対策が必要になります。たとえば、持ち出し端末は、紛失や盗難で第三者の手に渡った際、端末内に保存していた重要な情報が流出してしまう可能性があります。また、外出先からインターネットに接続できるフリーWi-Fiは、カフェなどさまざまな場所で手軽に利用できる反面、不正アクセスやウイルス感染の危険性も潜んでいます。デバイスがウイルスに感染し、そのまま社内のネットワークに接続することで、ウイルスが社内に拡大してしまうケースもあります。

テレワークを素早く推進させたいあまりに、情報管理されていない私物のUSBメモリや、個人所有のノートPC／スマートフォンを安易に活用させることはお勧めしません。これらの対策として、データを端末に保存せずに社内システムにアクセスできる仮想デスクトップ（VDI）や通信を暗号化する仮想回線（VPN）などがあります。また、社内に情報セキュリティ対策を担当できるシステム担当がいない企業に対して、あらかじめ情報セキュリティ対策が施された端末とネットワーク環境をセットで提供するセキュアPCの活用も効果的でしょう。