Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

企業経営においてはさまざまなリスクが存在しますが、特にここ数年は情報セキュリティのリスクが増大しています。サイバー攻撃や従業員のミスによる情報漏えい事件・事故、ランサムウェアやビジネスメール詐欺(BEC)などによる金銭的損害は、会社の存続にも影響を及ぼしかねません。本記事では、企業の経営層が意識しておくべき4つのセキュリティポイントについて解説します。

経営に重大な影響を及ぼす情報セキュリティリスク

情報セキュリティのリスクは自然災害や市場の悪化などと同様、会社を大きな危機に陥れる可能性があります。過去には、自社の顧客情報の情報漏えい事故が発生したことで、数百億円に上る額の損害賠償請求や補償対応、被害者からの集団訴訟へと発展した例もあります。一度毀損した会社のブランドイメージは、顧客離れなどその後も経営に影響を及ぼし続けます。企業がセキュリティ対策を怠ったと判断された場合、経営層は、場合によって刑事罰や損害賠償責任などの法的責任を負わされ場合もあるため、その対策は経営課題と捉えるべきでしょう。そのような危機的状況を招かないためにも、企業の経営層はセキュリティ対策のための予算や人材などを確保する必要があります。

とはいえ、自社の限られた予算とリソースをどのような情報セキュリティ対策に振り分けるのかは難しい判断です。そこで今回は、昨今の情報セキュリティのトレンドを踏まえ、経営層が意識しておくべきセキュリティの4つのポイントを軸に解説していきます。

セキュリティ対策を考えるうえで確認しておきたいポイント

  1. 情報セキュリティ強化を図るための人材はいるか
  2. OSやネットワークの脆弱性対策は万全か
  3. マルウェア、ランサムウェア対策は万全か
  4. 働き方改革に対応した情報セキュリティ対策はとれているか

1)情報セキュリティ強化を図るための人材はいるか

情報システム担当者など実務者層・技術者層の理想的な体制は、セキュリティ対策や管理・運用を行う専門の部署があるといわれています。また、各部門にシステム管理者と、情報セキュリティの部門責任者、さらには、それらの全責任を負う情報セキュリティ責任者を配置することが必要になります。

しかし、多くの企業では情報セキュリティ対策はコストとみなされ、一人で情報システムの面倒をみている「一人情シス」や、総務部や人事部がセキュリティ担当を兼ねる「ゼロ情シス」も珍しくありません。サイバー攻撃は高度化、巧妙化し、大手企業で被害が拡大した「ビジネスメール詐欺」など新たな脅威が次々と登場しており、単一のウイルス対策ソフトやセキュリティ対策機器(ファイアーウォール)の設置だけでは対応できなくなっています。そういった背景から、昨今では情報セキュリティ対策を自社で運用や管理をするのではなく、サイバーセキュリティの運用を外部に委託するマネージメントサービスが増えています。そのため情報セキュリティ強化を図るため自社に最低限必要なのは、情報セキュリティの基本を理解し、自社でできることと外部に委託することの判断や、情報セキュリティ製品やサービスを取り扱う事業者についての知識がある人材であることが要件となるでしょう。

2)OSやネットワークの脆弱性対策は万全か

情報セキュリティ対策で重要なポイントとして認識しておきたいのが「脆弱性」です。脆弱性とは、ソフトウェアの不具合(弱点)のことで、「セキュリティホール」とも呼ばれます。脆弱性にはさまざまな種類があり、中には悪意のある第三者に自由に操作されてしまうものもあります。サイバー攻撃には、世間で広く使われている「Windows」「Office」「Acrobat」などの脆弱性が悪用されるケースが多く、ソフトだけでなくネットワーク機器などに脆弱性が発見されることもあります。製造業のセンサーなどで普及が進んでいるIoT(モノのインターネット)機器は、昨今特に狙われやすくなっています。

脆弱性が発見されると、そのソフトのメーカーは修正プログラム(パッチ)を作成します。そして、脆弱性情報を公開するとともにパッチを提供し、ユーザーに適用を求めます。しかし、こうした情報はサイバー攻撃者も見ているため、マルウェア(不正プログラムの一種で、広義のコンピュータウイルス)を作成し、サイバー攻撃を行います。そのため、脆弱性対策では自社で使用しているソフトや機器について常に情報を収集し、バージョンを最新に保てる社内運用の仕組みや社員への周知・教育が大切です。ただし、脆弱性については数多くのサイバー攻撃者が調査しているため、メーカーが対応していないうちに脆弱性情報が公開されてしまうこともあります。これは「ゼロデイ脆弱性」と呼ばれ、修正プログラムでは対応できない危険な状態です。そのためゼロデイ脆弱性ついて「仮想の修正プログラム」などを使って対応できるセキュリティ製品も登場しています。検討の際は、まず製品を取り扱う事業者に話を聞いてみることをお勧めします。