DXナレッジ

備えあれば患いなし、DX時代の情報セキュリティ

解決提案 2023.04.03

DXビジョン＆ビジネスモデルDX DXビジョン＆ロードマップ構築・推進支援コンサルティングリスク戦略・計画策定

企業が抱える課題

情報セキュリティ理解及び危機感不足による経営リスクの顕在化

デジタルテクノロジーの進展により生産性が向上し、新たな価値創造が可能となりました。しかし、物事には必ず光と影があります。影の部分として、取り扱う情報セキュリティへの危機意識・管理意識を高く持ち適切な備えを施している企業は、実のところ多くはないのが実情です。
情報セキュリティとは「情報の機密性、完全性および可用性を維持すること」と定義されています。自社の財務、人事、顧客、戦略及び技術情報などの目に見えない資産、いわば情報資産に対し不動産や商品と同じ意識で管理できている企業は少ないのではないでしょうか。

解決策

リスクの正しい定義・可視化と情報資産の予防保全

経営上重要な情報の損失は、企業にとっても個人にとっても非常に大きな負の影響をもたらします。企業の場合はその存続自体を脅かす場合もあり、情報資産を守る方策は経営上重要です。

外部のリスク要因を想定し備えよ

ウイルス、ワームなどに代表される悪意のあるプログラムであるマルウエアは、これまで多くの種類が流通し社会・企業経営に大きな影響を与えてきました。またインターネット上の不正アクセスはシステムの脆弱性を突き、ID・パスワードの不正利用が行われます。企業としては侵入行為を事前調査・権限取得・不正実行・後処理の4段階で行われると想定し、各段階ごとに侵入防止対策を施すことが重要です。パスワード管理・認証方式の強化や、インターネット上の防波堤であるファイアウォール（防火壁）によるアクセス制御は当然のことながら、パーソナルファイヤーウォールが実装されているウイルス対策ソフトの導入活用も有効です。リスクをもたらす要因ですぐに浮かぶのはこれら外部からの要因ですが、後述する組織に内在している要因を見逃してはいけません。情報漏洩や不正アクセスに関する調査によると、外部要因よりも内部要因による情報セキュリティ事故の方が多いというデータもあります。バランスよく対策を講じていくことが必要となります。

内部のリスク要因を想定し備えよ

情報セキュリティの脅威は、システムを構成するコンピュータやソフトウエア自体にも存在しています。コンピュータやソフトウエア自体の弱点をそのままにしているからこそ、弱点を突かれた攻撃を受けることになります。これば脆弱性、もしくはセキュリティホールと言います。OSやソフトウエアの静寂性はもちろん、そもそもセキュリティリスクの高いインターネット上のWEBアプリケーションの脆弱性を防ぐ対策が必要です。
また、近年スマホなどの携帯機器やIoT機器の普及が進んでいますが、このデバイスの脆弱性に対しての攻撃も増えてきています。テレワーク進展によるVPNなどの機器にも脆弱性が見つかり、パスワード流出などの被害が出ていることも注意すべきです。
日々刻々と新しい技術が生まれる中、悪意ある攻撃・対策は「いたちごっこ」にならざるを得ません。しかし、内部外部の発生要因を想定し、対策をし続けることが重要です。

「組織内在リスク要因対策こそ真の情報セキュリティである」

情報セキュリティ対策は、常に危機意識を持ったうえでの終わりなき性悪説での戦いです。技術的な対策は、投資などのコスト負荷や専門性の観点から、完全な備えができないことが多いです。しかしながら、即時対策を行えることがあります。例えば情報漏洩の原因は「紛失、置き忘れ、誤操作、管理ミスなど」が6割を占め、外部からの不正アクセスを上回っているとのデータがあります。つまり、外部の脅威よりも、組織体制、管理・運用の不備、いわば「情報マネジメント不足」などの「組織内在リスク」が真因であるといえます。
企業経営にとって、情報資産を守る情報セキュリティ対策は経営リスクを低減するために非常に重要です。だからこそ、経営者が健全な危機感を持ち、強い意志と行動力でリーダーシップを発揮して経営資源を割り当てることが必要となります。この情報セキュリティコミットメントに基づき、従業員の理解と協力を得たルールの設定と実行徹底こそが、情報セキュリティの本質であるといえます。