見出し画像

自社ブランドや事業自体も守る情報セキュリティ対策のイロハ①

財務会計システムで知られるMJSですが、
実は経営に役立つさまざまな製品・サービスを扱っています。

その一つに「情報セキュリティ対策関連ソリューション」があります。
事業を革新的に発展させるDX(デジタル・トランスフォーメーション)に注目が集まっていますが、デジタル化が進行することで同時に考えないといけないのが情報セキュリティ対策です。

MJSでは以前からその問題意識のもと、さまざまな観点から情報セキュリティ対策を提案しています。

特に中小企業では、事業の優先順位付けにおいて情報セキュリティ対策が後回しになりがちです。
しかし社会がこれだけデジタル化している中、自社の信頼性を担保する上でも積極的に取り組む必要があります。

そこで、今回から3つの記事に分けて、事業規模や社員数にかかわらず行うべき「情報セキュリティ対策」について考察します。

情報セキュリティの定義とは

はじめに、「セキュリティ」とは何かを確認してみましょう。広辞苑によると、セキュリティは①安全。保安。防犯。②担保。③証券。とされています。
では、「情報セキュリティ」についても見てみます。総務省が概念としてホームページに掲載している内容※1は、「企業や組織における情報セキュリティとは、企業や組織の情報資産を『機密性』、『完全性』、『可用性』に関する脅威から保護すること」と定義されています。

※1 https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_executive_02.html

●情報資産(じょうほうしさん)
企業や組織などで保有している情報全般のこと。顧客情報や販売情報などの情報自体に加えて、ファイルやデータベースといったデータ、USB メモリやSDカードなどのメディア、そして紙の資料も情報資産に含まれます。

●機密性(きみつせい)
情報にアクセスすることが認可されたものだけがアクセスできることを確実にすること。
国際標準化機構(ISO)が定める標準に定義されるもので、Confidentiality(コンフィデンシャリティ)の訳語です。

●完全性(かんぜんせい)
情報および処理方法の正確さおよび完全である状態を安全防護すること。
国際標準化機構(ISO)が定める標準に定義されるもので、Integrity(インテグリティ)の訳語です。

●可用性(かようせい)
認可された利用者が、必要なときに情報にアクセスできることを確実にすること。
国際標準化機構(ISO)が定める標準に定義されるもので、Availability(アベイラビリィティ)の訳語です。

出典:総務省ホームページ

専門用語も出てきて難しい話になりそうなので、少し視点を変えて会社の設備面(ファシリティ)を対象に、実施されているセキュリティ対策を見ていきましょう。
もちろん会社の規模や入居する環境によりますが、どのようなセキュリティ対策がされているのか、少し規模の大きな会社を例に来訪して面談するまでの間でどのような関門があるかを考えてみます。

設備面の整備だけでは守れない

まず訪問する会社が入居する建物では、入口に警備員、そして受付があり入館手続きが必要となります。もちろん建物への出入りは監視カメラなどで記録されており、警備員や受付が設置されていないケースでも玄関先には監視カメラ、入口はオートロックがあるなど、いくつものセキュリティ関門が設けられているケースが増えています。

続いてオフィスの入口にはカードや顔認証など入退室管理が設けられ、執務エリアには関係者以外立ち入り禁止の環境が構築されています。さらに、機密情報や貴重品を管理する上で執務エリア内の個室の施錠、金庫の設置など複数階層のセキュリティ対策が施されています。

シミュレーションは以上です。

このような設備面の整備ができていても、情報資産のデータセキュリティ面ではさらなる対策が必要になります。社内からの情報流出の例では、社内の機密データを、インターネットを介して外部に持ち出しが行われたり、USBメモリなどを用いてデータを持ち出しされたりするケースがあります。外部からの侵入では、インターネットを通じて、ウイルスを送りつけられたり、サーバやシステムへの不正アクセスによりデータを搾取されたりするケースなどがあり、設備面だけでは防ぐことができないのが現状です。
つまり、自社が保有する情報資産を把握し、何をどう守るのかを認識した上で、個別具体的な対策として、どのようなITツールを用いてそれらのリスクを回避していくかが肝要になります。

情報セキュリティ対策と一言でいってもその領域は幅広いので、このシリーズ記事では「データを守る」をテーマにします。
例えば、ひとたびデータの流出(情報漏洩)が発生してしまうと、自社のブランドイメージが傷つくだけでなく、顧客や取引先などステークホルダーからの信頼を失い、取引の停止ばかりか、場合によっては、民事上の損害賠償や、刑罰の対象になるリスクがあり、事業継続が危ぶまれることもありえます。

東洋経済ONLINE(https://toyokeizai.net/)の記事によると、身代金型ウイルス「ランサムウェア」の被害が増えているそうです。パソコンなどに保存されているファイルを暗号化して使用できないようにし、復旧と引き換えに金銭を要求してくるものです。

出典:東洋経済ONLINE

規模別の被害件数を見ると中小企業が最多! 気を付けないといけませんね…。
「うちの規模なら大丈夫」と考える経営者の方もいるようですが、中小企業では被害を受けても気づかないこともあるといいます。
しかしサイバー攻撃を受けると、その被害は甚大です。復旧や事後対応には相当な時間とコストを要し、5000万円以上の費用がかかることも!!

そこで、事業規模や社員数にかかわらず組むべきこととして、「外部からの攻撃対策」、「内部からの流出防止」について、次回以降2つの記事に分けてご紹介する予定です。

次回のシリーズ記事投稿まで少し時間が空く予定なので、よろしければ本アカウントをフォローいただき、今しばらくお待ちください^^

最後までお読みいただきありがとうございました!