日本では政府のサイバーセキュリティへの対策が遅れている現状もあり、ITとセキュリティをセットで捉えられないケースが多くあります。セキュリティ対策がなされないままIT化が進めば、企業活動にどんな影響が出るのでしょうか。
コンテンツ目次 [開く]
製造業のITセキュリティ:対策が遅れると何が起こる?!
起こり得るセキュリティ事故
- 情報漏洩
- サイバー攻撃の加担
- データ改ざん
- データ損失
情報セキュリティ対策が遅れると、大きくは上記のような結果が想定されます。これらの事故が示すものは「企業の社会的信用の失墜」です。セキュリティ対策をしていながらも、情報漏洩発覚後の対応が後手に回り、社会的に信用を失ってしまった大企業もたくさんあります。
失った信用を取り戻すのは並大抵のことではありません。損害を賠償し、会社名を変えて尚「情報を漏洩した会社」としてのレッテルを貼られ、マイナスからの再スタートとなります。賠償額によっては会社倒産ということもありうる時代です。
日本企業の情報セキュリティへの関心は、世界的に見ても先進国の中で特に低いと言われます。
情報漏洩の原因の8割は内部のヒューマンエラー
企業が保有する個人情報や客先データなどが流出してしまう原因の8割は、ヒューマンエラーと言われます。人が介在した「誤操作」や「過失」、「紛失」などですね。企業側の従業員・データへの管理体制が大きく問われる流出要因です。
いくら高額機器を導入し、サイバー攻撃を対策しても、内部の人間が情報漏洩してしまえば防ぎようもありません。
- 個人情報が入ったUSB・PCを紛失した
- データを家に持ち帰り、自宅PCから流出した
- 故意に個人情報を持ち出し、売った
- 企業情報を関係ない相手へメールしてしまった
などなど、「人と情報漏洩」はつながる接点が非常に多いのです。サイバーセキュリティ対策は企業がお金をかけてすべき対策として定着しつつありますが、従業員への教育が遅れている現状が、今の大規模な情報漏洩事故を招いているとも考えられます。
あなたの会社に「情報セキュリティ規定」のような確固たるポリシーは存在しますか?
IPA(情報処理推進機構)が策定する「中小企業の情報セキュリティ対策ガイドライン」に一度目を通し、社内規定の刷新・作成を進めることをおすすめします。作った規定が間違いなく運用されているかのチェック体制も当然必要になります。
「うちはISO規定で文書管理はちゃんとしているから~」などとぬるいことを言っていると、情報漏洩は対岸の火事では無くなります。
上記のガイドラインはVerが2以上になり、非常に見やすく・使いやすくなったと評判です。企業にセキュリティ担当者が居ない中小企業でも、導入しやすい内容となっています。
ヒューマンエラーにつながる企業風土となっていないか
昨今の情報漏洩事故の内容を見ても、企業の情報漏洩に対する意識と教育をもってすれば、事故に至るケースを大きく減らせることがわかります。
メディアの紛失や、従業員にデータを盗まれるといった事案は、やはり企業の風土や日々の不満の表れではないでしょうか?「持ち出してはいけないデータを持ち出してまで、(家で)仕事をさせていないか」、「データを売ってお金にしなければならないほど、従業員の仕事に対する対価に不満が無いか」。このあたりは、経営層がもう一度しっかり調査すべきです。
働き方改革のしわ寄せが、従業員の不満につながるようでは、この国の未来は暗いと言えます。
最悪の事態を想定し、常に最新情報を入手する
情報セキュリティ、そのなかでも特にITに関するセキュリティは非常に難しい分野です。社内で担当者を決めたからと言っても、カバーする範囲が広すぎて、とても片手間に対策出来るものではありません。
経営層が自ら勉強し、今、世界ではどんな情報漏洩やセキュリティ事故が起こっているか、現状を把握しましょう。セキュリティに関する最新情報が得られるサイトとITセキュリティ関連のおすすめ書籍を紹介します。
セキュリティ最新情報サイト
セキュリティ専門家による事故ケースや対策が日々更新され、日本のサーバーセキュリティ関連においてはトップクラスの情報量です。とくに製造業向けの記事が多い印象です。セキュリティ担当でなくとも、知っておきたいサイトの一つ。
経産省所管の、日本のIT技術・人材育成のための独立法人。各種セミナーや資格情報も充実しており、セキュリティに関する相談窓口もあります。
IT、IoTセキュリティに関するおすすめ書籍
セキュリティ対策への投資は企業活動の一環
セキュリティ事故への対策は、今は企業活動に内包すべき項目となっています。対策をしているのは当たり前。その対策も随時更新し、社員教育も徹底されるまで何度でも繰り返すことが、最も事故確立を減らす方法とされています。
サイバーセキュリティ対策は、ソフト面でもハード面でもお金がかかります。しかし、もし情報が流出してしまえばその被害額は甚大で、あとからでは取り戻せない「信用の失墜」ということもあります。
お金をかけられるだけかければよい、というものでもありませんが、最悪の事態を想定し、できる範囲で最大限の対策を進めましょう。事故が起きてしまった時に「わが社ではこれだけの対策はしていました」と言えるだけの体制は整えておく必要があります。
これだけ世間をにぎわせている情報漏洩事故の内容を知りながら「対策をとっていませんでした」、「対策が古いままでした」では、お恥ずかしい限りです。
まとめ
まとめ
- 情報漏洩は社会的信用を失う
- 情報漏洩の賠償で倒産するケースもある
- 情報漏洩対策は社員教育とITセキュリティ対策
- ITセキュリティ対策はいますぐできる
「情報セキュリティに備える」とは、セキュリティに対する意識を高めることに他なりません。どんなセキュリティ事故があるのか、どんな対策があるのか。日々、刻々と変わるサイバーセキュリティに対する対策も、「一度導入したから」といったセキュリティで本当に大丈夫なのかのチェックが必要です。
下記の今すぐできるセキュリティ対策も併せてお読みください。
-
IoTセキュリティ今すぐできる対策2項目【情報漏洩待った無し】
セキュリティ対策のされていないIoTデバイスが、攻撃者の対象になるまでどれくらいの時間がかかるか知っていますか? ある研究では数秒~数分のうちに攻撃者によって汚染されるといわれています。対策無しで機器 ...
続きを見る
