経営者必見!企業が守るべき情報セキュリティスタンダード
ニューノーマルな世の中で急激にDX(デジタルトランスフォーメーション)が進行し、いまや“情報こそが資産”といえる時代に突入しています。企業はサイバー攻撃による情報漏洩リスクに常に備える必要があることは言わずもがなですが、サイバー攻撃の種類は日々増えており、専門性を増しながら、企業の資産を脅かしています。また、一度サイバー犯罪の被害にあった企業は、最悪の場合は経営悪化から倒産などの事態に陥る可能性も否定できません。
・うちの会社にはサイバー攻撃が来るはずがない
・ウイルス対策ソフトを導入しているから大丈夫だ
・いままで一度もセキュリティ事故を起こしていないから問題ない
以上のような考えを持っている経営者の方、情報セキュリティ担当者の方、サイバー攻撃はすでに水面下に潜んでいると考えるべきです。
この記事では、情報セキュリティ対策の必要性を紐解いていきたいと思います。
情報セキュリティマネジメントはなぜ必要なのか
DX(デジタルトランスフォーメーション)をうたわない企業はほとんど存在しないほど情報システムやインターネットは、いまや企業の運営に欠かせないものになっています。しかし、情報システムへの依存による利便性の向上と引き換えに、企業は企業経営に関わる大きな危険性を抱え持つことになってしまいました。
情報システムの停止による情報損失や、顧客情報などの個人情報の漏洩による企業の信用の失墜など、情報セキュリティ上のリスクは、企業に大きな被害や影響をもたらします。また、多くの場合、被害や影響は取引先や顧客などの関係者へも波及します。
セキュリティリスクは経営リスクの一つであり、解決すべき経営課題の一つです。経営者は、企業が安全に事業を継続していくための責務として、情報セキュリティ対策を推進していかなくてはなりません。
個人情報の流出
企業は顧客情報はもちろん従業員などの個人情報を多く保有しています。最近ではLINEの個人情報が中国や韓国へ流出している可能性があることが問題になりましたが、大手企業ですら気づかないセキュリティの脆弱性が存在します。直近では、個人情報保護法の改正により2022年度から、個人情報保護の法令違反企業に対する罰金が最高1億円まで引き上げられました。このことからも、社会的に個人情報保護に関する関心が強まっていることがうかがえます。
情報システムの停止
社内の基幹システムが停止してしまうと、社内の業務が停止するのはもちろん、取引先や顧客にも被害や影響が及ぶ可能性があります。販売機会の損失を招かないためにも、当たり前ではありますが、企業のシステムはいつ何時も正常に稼働している必要があります。
サイバー攻撃によるウイルスへの感染
ウイルス感染は上記の事象を起こしうることはもちろん、感染したパソコンを気づかずに利用し続けることによって他のパソコンやネットワークにも感染を広げる危険性があります。結果的に取引先や顧客に損害を招いてしまい損害賠償請求をうける可能性もあります。
知らない間にサイバー攻撃の加害者に
自社に価値のある情報などないからとセキュリティ対策を怠っていると、サイバー攻撃者はその脆弱なシステムから侵入し、次なるサイバー攻撃の中継地点として利用します。サイバー攻撃の踏み台となったサーバーは、一見サイバー攻撃の加害者として認識されてしまいます。世間は知らぬ間に加害者になっていた企業に対してサイバー攻撃の被害者ではなく、セキュリティ対策を怠って他社に危害を加えた企業としてみなすでしょう。この信用の失墜は会社にとって大きなダメージです。
企業がまず行うべきセキュリティ対策とは
情報セキュリティ対策は、事業を安全に維持していくための安全装置として必要不可欠です。経営者はセキュリティ対策に対し、安定した事業を継続して従業員の雇用を守るための責務として、必要な投資であると認識すべきでしょう。
インシデント(情報セキュリティ事故)は起るか起こらないかの問題ではなく、「いつ起こるか」だけの問題です。これを念頭に組織は一丸となって取り組んでいく必要があります。
そこで最も重要なことは、組織のリーダーが情報セキュリティ対策に注力することを内外に宣言することです。それによって組織のメンバーのセキュリティに対する意識が向上し、対外的にも信用度を増すことになります。
まずは、組織的対策として情報セキュリティに関する基本方針や行動指針を定めるために「情報システム部⾨、または、担当者」を設置しましょう。ここで注意するべきポイントは情報セキュリティ対策を情報システム部門のみに押し付けないことです。社内の各部門にその部門の業務に関する専門知識を持ったセキュリティ担当責任者を置き、セキュリティ部門以外の従業員の当事者意識の低下を防ぎましょう。
会社全体に情報セキュリティの意識を根付かせるためには「セキュリティガイドライン」などを作成し、情報セキュリティ教育や情報共有、こまめなアップデートをしていくようにしましょう。
情報セキュリティでは、機密性、完全性、可用性に対する様々な脅威から守るべき情報資産を守ることが基本となります。ISMS(情報セキュリティマネジメントシステム)を整え、ISO27001規格の認証を取得すれば他社へ自社の情報セキュリティ対策のアピールにもなります。
企業には、ISO以外にも守るべきセキュリティやプライバシーに関するコンプライアンスが多数あります。(HIPAA,PCIDSS,CCPA,GDPR,DFARSなど) 企業によって準拠すべきコンプライアンスはさまざまですので、自社の業務内容に沿って取捨選択しましょう。
経営者がセキュリティリスクを認識するために、現場に指示すべきポイントをまとめたガイドラインが経済産業省から出ています。まずは経営者が先頭に立って一読しましょう。
ここまでセキュリティ対策は経営者が責務として取り組むべき経営課題であることを述べてきましたが、実際のセキュリティ対策は高度な専⾨知識を必要とするため、外部の専門業者とも連携して情報セキュリティ対策を行っていくことも検討してみてはいかがでしょうか。
