情報セキュリティ対策は、敵を知り己を知ることから

■情報セキュリティ対策は、自分の会社に関係ない?

情報セキュリティ対策は、まずできることから取りくむことです。そして対策のポイントは孫子の「敵を知り、己を知れば百戦危うからず」にあります。サイバー攻撃は多様化しており、攻撃対象は大企業だけでなく中小企業や個人に広がっています。
といっても、中小企業の多くは、「自分の会社は大企業ではないので、狙われるような情報は持っていない」、「自分の会社の社員には、情報を横流しするような不心得者はいない」、「情報セキュリティにコストをかけても、それで利益は生まない」などを理由に、対策は後回しになりがちでないでしょうか。実際に、自社の情報セキュリティ対策をセキュリティポリシーとしてルール化している中小企業は15%、情報漏えいなどがおこった際の対応方法を定めている中小企業は21%にすぎません。(出典:情報処理推進機構 2016年度中小企業における情報セキュリティ対策に関する実態調査)
しかし、どの企業でも顧客情報、取引情報、製品開発・製造の情報、従業員の個人情報(マイナンバーなど)、取引先から預かった情報などが存在するはずです。もしも、それらの情報が社外の第三者に漏れた場合、被害者への損害賠償、顧客との取引停止など自社にもたらされる被害は想像に難くありません。

■情報セキュリティ事故の主な原因はヒューマンエラー

情報セキュリティ事故といえばサイバー攻撃による不正アクセスを想像しがちです。しかし、実際にはメール誤送付が21%、書類などの紛失が22%とヒューマンエラーによる事故が多いといえます。このため、誤送付しないようメール送信前に宛先を最後に確認する、重要な情報やパソコンが入ったカバンを電車に置き忘れしないよう網棚にあげないなど、普段の行動にすこし気をつけるだけでも事故の発生を防ぐ効果があります。

【個人情報の取扱いにおける事故報告の原因別割合】
出典:日本情報経済社会推進協会(平成27年度)個人情報の取扱いにおける事故報告にみる傾向と注意点

■攻撃側は、会社の資金を狙っている

攻撃する敵は、かつての知能犯よりも金銭を目的とした窃盗犯が主流になりました。そのため、たとえば会社の大切な資金を狙ったフィッシング詐欺の被害が続いています。フィッシング詐欺とは、金融機関などになりすまして、「パスワードの期限が迫っています」などのメールを送信し、そこで指定されたURLにアクセスすると、本物そっくりに偽装されたウェブサイトに誘導され、そこで入力された口座番号・パスワードなどの情報を盗み出し悪用するものです。
フィッシング詐欺への対策は、取引している金融機関が発表しているセキュリティ対策の注意事項に定められた対策を行うことです。金融機関によってはワンタイムパスワードの使用、専用のセキュリティ対策ソフトの導入などを定めている場合もあります。金融機関では預金の不正払戻しへの補償制度がありますが、定められた注意事項を守っていなければ補償対象にはなりえません。

■己を知るために、「これだけはやっていただきたい」こと

己を知るために、情報セキュリティ対策の現状について最低限として以下の項目をふりかえることをおすすめします。

(1)OSやアプリケーションソフトは常に最新の状態になっていますか?

OSやアプリケーションソフトの弱点は頻繁に発見されており、その脆弱性を補修するセキュリティパッチが次々と配布されています。OSの自動更新だけでなく各ソフトウェアメーカーが公開したパッチを忘れずに更新することです。

(2)ウイルス対策ソフトを導入していますか?期限は切れていませんか?

ウイルスのなかには、ユーザーの操作なしに起動するものもあります。「危ないサイトにアクセスしないし、迷惑メールの添付ファイルを開けない」だけでは感染を防ぐことはできません。ウイルス対策ソフトは基本的に有償ですので、期限が切れていれば最新のウイルス定義ファイルを入手することはできません。

(3)パスワードの管理は甘くないですか?

①機器購入当初のパスワードから更新する、②英数字記号を含めて8~10文字以上にする、③名前・電話番号・生年月日・簡単な英単語などをパスワードに使わない、④同じID・パスワードをいろいろなウェブサービスで使いまわししない、などパスワードを長く、複雑にし、使いまわししないことが肝要です。

(4)共有設定は、必要な範囲に限定されていますか?

クラウドサービスやネットワークに接続したハードディスク・複合機は必要な人だけが、必要な情報のみ共有されているか、設定を改めて確認することをおすすめします。

■最後に めざすは、情報セキュリティへの意識の共有化。カギは継続的な従業員教育

情報セキュリティのリスクは目に見えないため、従業員の間で意識の差を生みやすいものです。このため、敵と己を知ったうえで自社に必要な対策を見極め、情報セキュリティへの意識の共有化にむけて継続的に従業員教育を行うことが大切です。小規模企業であれば経営者自らが従業員に直接教育することも有効です。
ネットワーク化された今日において、自社でできる情報セキュリティ対策の有無を取引先などから当たり前のように求められる時代になりました。情報セキュリティ対策に継続的に取り組み、取引先などからの信頼をいち早く確保していきましょう。