「カテゴリー別リスクマネジメントの進め方」第3回: サイバーセキュリティを考える
掲載:2016年10月03日
執筆者:代表取締役社長 副島 一也
コラム
サイバー攻撃は日々増え続けており、どんな企業もその標的となる可能性があります。サイバー攻撃を受けると何が大変なのか、最低限やっておくべきセキュリティ対策は何なのかを紹介します。
サイバー攻撃を受けると何が大変なのか?
前回までのコラムで人的なリスク管理や品質管理について書きました。さて、今回はサイバーセキュリティについて考えていきます。「情報セキュリティ」ならやっている、なぜ「サイバー」なんだ、と思われるかもしれません。
しかしながら、以前はロッカーや金庫の中に紙で保管されていたあらゆる情報が、今はメールやメールの添付文書でやり取りされ、社内ネットワークや時には社外のクラウド上のデータベースに保管されるようになってきました。そうなると、ネットの環境につながっている以上、原則的には海外からでもどこからでもアクセスでき、仕事で使うあらゆるサイバー空間でサイバー攻撃に遭う可能性が十分に出てきたわけで、対策を強化しないと大変なことになりかねない状況になってきました。
では、サイバー攻撃を受けると何が大変なのか?ここでは最も嫌な3つのことだけを例に挙げます。
サイバー攻撃を受けた際に最も嫌な3つのこと
- 「失う」…情報を失う
- 「漏らす」…情報を漏らす
- 「止める」…システムを止める
何より怖いのは、無くしてはいけない重要な情報を無くしてしまうことです。これまで長年かけて獲得してきたビジネスの根幹を失うことにならないでしょうか。
次に、お客様の機密情報や社員の個人情報など、漏らしてはいけない情報を漏らしてしまうことです。こちらも対象者に多大なインパクトを与え、自社にとっては一気に信頼とビジネスを失うことにならないでしょうか。
3つ目は、システムを止めてしまうことです。社内のあらゆる管理業務に影響を与え、システムによってはお客様の業務にも影響を与えないでしょうか。
上記3つがどのくらいの影響があるかは組織によりさまざまと思いますが、現代においては、ほぼ全ての企業でそうしたリスクは十分に起こり得るものです。自社は残念ながらそんなに有力有名企業じゃないし、狙われないよ、という声も聞こえてきそうですが、サイバー上での攻撃は、日々、攻撃が容易な弱いネットワークに、ほぼ自動的に侵入し、ウイルスを送り込んできており、攻撃件数は日々増え続けているのが実情です。
サイバーセキュリティ実践のヒント
もし、自社もまずいのではと感じられたとして、何をしたらよいのか? 今回のコラムでは最低限やったほうが良いことを4つだけお伝えします。
1.ウイルス対策する
全てのPCやサーバー上にウイルス対策ソフトは入っているでしょうか? 定期的にモニタリングされているでしょうか? 気になったら今すぐチェックしましょう。なぜかウイルスに感染しているものです。ウイルスに感染していたら、あっという間にネットワークに侵入されて情報を消されたり、改ざんされたり、盗まれたりするかもしれません。
2.パッチを当てる
使用しているWindowsなど、バグ対応で修正用のパッチがメーカーから提供されます。適宜更新して安全な状態を保つことが重要です。
3.ユーザーIDとパスワードを強くする
同じIDやパスワードをどのシステムでも利用していたり、「1234」など著しく弱いパスワードの設定をされたりしているケースは良くあります。大文字、小文字、英数字、記号などを組み合わせ、強いパスワードを設定しましょう。
4.社員教育する
前述の1~3項の対策は主に、ITの管理者側が中心に進めるものですが、ITを使う全社員への定期的なセキュリティ教育が必要です。例えば以下のような内容です。
- 不審なメールや添付ファイルは開かない
- 不審なWebサイトにアクセスしない
- パスワードは定期的に変えて、強いパスワードを設定する
- 携帯や個人PCで会社のメールやファイルにアクセスしない
ここではたくさんのことはお伝えしません、が、上記のようなことをやっていないとするならば、あなたの会社は「失う、漏らす、止める」が実際に起こる可能性が日々高まっているかもしれないのです。
