2017年10月30日

【第1話】情報セキュリティとは、何を守るのか?(渋屋隆一)

いまや中小企業もサイバー攻撃の標的になる時代。「うちには守るほどの情報なんてない」という考えは危険です。情報セキュリティの基礎を3回にわたって紹介します。

1. 「うちに“秘密情報”なんてないよ」の間違い

「うちみたいな小さい会社に秘密情報なんてないよ」

情報セキュリティの話をしたとき、多くの中小企業経営者が示す反応です。気持ちはよくわかりますが、注意を払う必要があります。事業を継続していれば、秘密情報を必ず保持しているからです。この連載では、企業における情報セキュリティ対策の基礎を3回にわたって紹介します。第1話では、「何を守るのか?」を中心に考えます。最初に守るものが明確でなければ、その後の対策ができないからです。

気づかぬうちに“秘密情報”は増えている


“秘密情報”の具体例を見てみましょう。日々、お客様や取引先からいただく名刺は、立派な秘密情報(個人情報)です。同様に、従業員のマイナンバー、住所、給与明細も秘密情報です。また、取引先ごとの仕切り額一覧表や、これまでの取引実績も重要な情報です。取引先から取扱注意と言われた情報もあれば、社内で保持している大切な新製品の設計書や開発情報などもあるでしょう。これらの情報が全くないという会社はありません。事業を継続していれば新たな取引先が自然と増えるなど、秘密情報は増える傾向にあります。

2. 機密性、完全性、可用性の視点から情報資産を洗い出す

秘密情報は具体例に挙げたものだけではありません。企業によって「秘密」に該当する情報は異なります。「自社にとって守るべき情報は何か」を見極めることが必要です。しかし、いきなり「秘密情報はどれ?」と問われても判断が難しいでしょう。そこで、情報セキュリティで重要とされる3つの視点から考えてみましょう。

1つ目は、「情報が漏れないように管理しなくてはならないもの」です。例えば社員の給与情報は、経理部のみが見られるのが一般的です。間違って一般公開されてしまったら、大変なことになるかもしれません。

2つ目は、「情報を正確かつ最新の状態に保たなくてはならないもの」です。お客様の連絡先一覧を保持していても、その情報が古ければ、連絡を取ることができません。

3つ目は、「情報を使いたいときに使えること」です。例えばお客様の連絡先など、使用できなくなると直ちに業務やサービスに影響する情報は、いつでも使える状態を保たなくてはなりません。

このように3つの視点から、「漏れたら困る(機密性)」「正確かつ最新でないと困る(完全性)」「使いたいときに使えないと困る(可用性)」情報を洗い出します。

3. 守るべき情報資産とリスクに点数をつけて“見える化”する

次に洗い出した情報資産に点数をつけてみましょう。最重要2点~困らない0点です。

新製品の設計図は流出したら競合他社に模倣されますので、機密性は最も高い2点です。完全性は1点とします。完全性が保たれているに越したことはありませんが、自社内の新製品関係者だけが参照する情報なので、ある程度融通が利くものとして扱います。一方、自社のホームページは、一般公開されている情報ですので、機密性は0点です。しかし、公開されている情報が勝手に書き換えられることや、見たいときに見られなくなることは、信用問題です。完全性や可用性が2点になります。

このように、洗い出した情報資産に起こりうるリスクを検討し、リスク発生の頻度(高~低)を考えます。新製品の設計図をUSBメモリで持ち歩いていたら、「紛失」や「盗難」がリスクになります。自社のホームページだったら、外部からの攻撃による「改ざん」や「システム停止」がリスクです。

情報資産・リスクを洗い出し、点数化することで、セキュリティ対策を考える際の優先度がはっきりするはずです。

4. 情報セキュリティ対策を怠ることで何を失うのか?

ここまで、「秘密情報」の考え方について説明してきましたが、企業における情報セキュリティの重要性を認識するためには、「なぜ守らなくてはならないのか?」という側面から理解を深めておく必要があります。情報セキュリティ対策を怠ったとき、どのような不利益を被るのを考えてみましょう。

・金銭的損失

警察庁によれば、平成27年度の被害額は合計30億7300万円です(インターネットバンキング利用時の偽サイトへの不正送金やクレジットカードの不正利用などによる直接的な損失のみ。他にも情報漏えいによる損害賠償などがあるため、実際の金銭的損失はより大きい)。その対象は大企業のみならず、零細企業、個人にまで及んでいます。

・顧客の喪失

情報セキュリティ事故を起こした企業からは、顧客が流出してしまいます。同様の商品・サービスを提供する企業があれば、そちらに移るからです。

・業務の停止

情報セキュリティ事故が起きると、一部システムを停止せざるを得ません。その間、関連業務は止まってしまいます。結果的に売上などの金銭的損失も発生してしまいます。

・従業員への影響

情報セキュリティ事故は社会的評価を著しく低下させます。社員から見れば、会社を信用できなくなってしまいます。情報セキュリティ対策の不備を悪用した内部不正が容易に行えるような職場環境は、従業員のモラルにも悪影響を及ぼします。

5. サイバー攻撃の傾向は、「愉快犯」から「地味な金銭目的」へ変化

かつてのサイバー攻撃は「愉快犯」がほとんどでした。改ざんしたホームページに犯行声明を載せるなど、攻撃者の技術力を誇示することが目的だったのです。

しかし現在は、ほとんどの攻撃が「金銭目的」です。攻撃者から見ると、情報セキュリティ対策が後手に回りがちな中小企業は、絶好のターゲットです。ですから、しっかりとした情報セキュリティ対策が必要になるのです。

6. 情報セキュリティ事故で経営者が負う責任

ひとたびセキュリティ事故が発生すると、企業は大きな損害を被ることになります。経済的な損失だけではなく、経営者が負う責任についても考えておかなくてはならないでしょう。万が一、情報セキュリティに関わる事故や法令違反が起きた場合、2つの責任を追及されることになります。

ひとつは「法的責任」です。個人情報やマイナンバーに関する違反があった場合、刑事罰が科されます。また秘密情報を漏洩させ、民法上の不法行為とみなされた場合には、損害賠償責任を負うこともあります。

もうひとつは、「社会的責任」です。法的責任だけでも重いですが、実際には関係者への責任も伴います。情報セキュリティ事故は会社の社会的評価を著しく低下させます。その結果、顧客・取引先・従業員、あるいは株主などに対して、経営者として責任を果たす必要があります。

いずれにしても、経営に重大な影響が及ぶことは避けられません。企業は「責任をもって」情報を守ることが求められているのであり、そのためには情報セキュリティについて正しい知識を持ち、十分な対策を行うことが重要なのです。

第1話では「何を守るのか?」「守らないと、どう大変なのか?」を見てきました。情報セキュリティ対策にとって大切なのは、まずは現実を知ることなのです。具体的な対策については、第2話第3話でご紹介します。

著者:渋屋 隆一(しぶや・りゅういち) 株式会社 B.S.JAPAN
大手システムインテグレータにて、ITエンジニアとマーケティングとして活動。2012年に中小企業診断士登録後、2015年に独立。以降、中小企業を中心に、IT導入支援やマーケティング支援を行っている。
著書:『【図解】コレ1枚でわかる最新ITトレンド』(技術評論社)、『「埋もれた数字」が利益を伸ばす 社長はデータをこう活かせ!』(日本実業出版社)など

関連するコラム
  • 記事を読む
“あおり運転”から営業車両を守るドラレコ

自動車社会の深刻なリスク「あおり運転」。このリスクに対しては、一般のドライバーのみならず、営業車両を保有し、日々の業務に活用している企業も対策を講じなければなりません。そうした対策としてのドライブレコーダーの有効性についてご紹介します。

  • 記事を読む
セキュリティ管理が重要な医療現場でのモバイル利用

医療現場では、モバイル端末で患者や医療に関する重要な情報を日常的に扱うため、セキュリティ管理が重要です。今回は医療現場でのモバイル端末の利用法をご紹介します。

  • 記事を読む
データで確認!情報インシデントの傾向と対策

情報セキュリティは重要と知っていても、どんな施策がいいか悩むことがありますよね。そんな悩みを解消すべく、いま気になる情報セキュリティ対策についてご紹介します。

  • 記事を読む
新入社員を情報漏えいリスクから守る

社会人一年目の社員の方は、スマートフォンを仕事で使うことに慣れておらず、安全対策上のミスを冒してしまうリスクがあります。そのリスクを低減する方策をご紹介します。

関連する導入事例
  • 記事を読む
クラウド型ビジネスツールで市議会運営を効率化

秋田市議会の運営を行う議会事務局。2018年度にタブレットを導入したが連絡業務に費やす時間に頭を悩ませていた。しかし、Gsuiteの導入により議員との意思疎通もスムーズに。他にも多様なビジネスツールが事務局職員を助けている。

  • 記事を読む
タブレットの紛失盗難対策を強化して営業効率アップ

富国生命の営業活動を支えるタブレット端末。ドコモの運用管理サービスを導入してセキュリティ対策を強化したことにより、大切なお客様情報を守りつつ、活用頻度が向上。営業効率のアップに成功した。

  • 記事を読む
スマホで変える銀行のコミュニケーション

愛媛県松山市に本拠を構える伊予銀行は約2,850台のスマートフォンを一挙に導入し、ビジネスチャットとクラウド電話帳によるコミュニケーションの効率化を推し進めている。

  • 記事を読む
通話を効率化する「オフィスリンク+」で働き方改革
サブ画像

「最もお客さまに支持される損害保険会社」をめざす、損保ジャパン日本興亜株式会社。全国に約6,000名在籍する営業社員の業務効率化を図るため「オフィスリンク+」を活用しています。

メールマガジン登録

Biz Solution by docomoでご紹介する導入事例や最新ビジネストレンドなどの記事を無料でご案内いたします。

お問い合わせやご相談はこちら

サービスについて詳しくお知りになりたい場合は、
メールまたはお電話でご依頼ください。