あとで読む
セキュリティリスク対策は、自社や関連会社、また競合会社で何か被害が起こってしまったときに考え始める企業が多いのが実情です。
なぜなら、セキュリティリスク対策には「ヒト・カネ・モノ」がかかるうえに、投資をしたところで売上に直結しないと考えられているからです。
日本システム・ユーザー協会「企業IT動向調査報告書 2016」の調査結果によると、6割以上の経営者は「自社におけるセキュリティリスクは認識しているが、対策はIT部門など担当部門に任せている」「自社におけるセキュリティリスクおよび対策状況について、ほとんど会話されることはない」と考えています。
つまり経営者とシステム/ウェブ部門がセキュリティについて会話をしていなかった場合、セキュリティ事故が発生したときにはシステム部門やウェブ担当者にお鉢が回ってくる可能性が高い、ということなんです。
たとえば、以下のようなウェブ系のサービスが関連したセキュリティ事故が発生したときに、もし経営層と会話をしていなかったときにはどうなるでしょうか?
おそらく経営層や関連部署から矢継ぎ早に質問と指示が飛んでくることでしょう。
「どうなっているの?なんとかなるの?状況分かるように説明して!」
「お客さまに謝罪しないといけないから報告書すぐ出して!」
「ウェブ担当者、ちゃんと対策していたんでしょ?人的ミスなの?原因何?いつ直るの?」
みなさんの会社ではいかがでしょうか?経営層とセキュリティリスクについて会話をしていますか?
経営者との対話の頻度を上げて、自社のビジネスにおける影響を具体的に数字にして説明したり、他社の事故事例をもとに話をしたりなど、リスク対策の重要性をまず理解してもらうことが大切です。
多くの企業で問題になっているセキュリティ人材の確保や、IT投資が少ない中でセキュリティへの投資が困難な中小企業においても、経営者を巻き込むことでリスク対策を会社全体で進めていけると思います。
セキュリティ企業シマンテック社の調査によると、サイバー攻撃の標的はこれまで大手企業が対象でしたが現在ではあらゆる規模の企業が対象になっています。
以下の図は、スピア型フィッシング攻撃(*)の標的となった企業規模を2011年と2015年で比較しています。
(*)スピア型フィッシング攻撃とは、特定の人物や個人を陥れるもので、たとえば会社の上司や知人をよそおってメールを送り機密情報や個人情報などを入手する標的型メール攻撃などが含まれます。2015年に起こった日本年金機構による個人情報漏洩事件がこの手口でした。
参考:www.symantec.com/content/ja/jp/enterprise/infographics/ig-attackers-strike-large-business-jp-1.pdf
攻撃全体を100%とした割合で比べると、大企業は減っているのに対して小企業への攻撃が大きく増えていることが分かります。
では次に、日本では最近どのような企業が狙われ、情報漏えいやサイト改ざん被害を受けているのでしょうか?
ここで取り上げた事件は、ニュースになっているごく一部であり、他にも多くの企業や個人が被害を受けていると思います。
このようなセキュリティ事故事例およびそのときの原因や対策などをまとめておくと、経営層や関連部署とリスク対策の話をしていくときの参考になります。
優先順位は、どのリスクからどの程度対応しておくか、を決めておくことです。
たとえば、ECサイトでの収益がメインとなるビジネスを行っている企業では、Webサイトへのリスク対策の優先順位が高くなると思います。そのWebサイトのリスク対策の中でもどのリスクから対応するのか、を決めていきます。
経営者と話をするときには、セキュリティ事故が発生したときのリスクシナリオを会社のビジネス戦略に合わせてまとめておくと伝わりやすいと思います。
(例)
経営層はビジネス戦略を常に考えています。そのビジネス戦略への影響が高いリスクへの対策から対応から優先順位をあげて考えていくことはリスクマネジメントの進め方のひとつです。
「セキュリティリスク対策の相談が…」とシステム部門やウェブ担当者が経営層に相談にいくと、「よく分からないIT用語で話をされて、起こってもいない事故への対応、と高いシステム導入費用を言われる」とITに強くない経営層の方は身構えてしまいます。
リスク対策のひとつに、最近よく耳にする「インシデントレスポンス」があります。
「インシデントレスポンス」とは、セキュリティ事故の発生から対応までのプロセス、ルール、体制を決めておくことです。「インシデントレスポンス」により迅速な事故対応ができるようになり、被害の影響を最小限にとどめることができます。
リスク対策は、セキュリティ事故が起こる前に行うこと、事故が起こった後に行うこと、に分けて考えましょう。
また被害状況・対応状況についての報告の出し方、見せ方、出すタイミングなども決めておきましょう。
顧客対応や取引先・関係各所への対応は、後手に回れば回るほどどんどんお金も時間も人も必要になってきます。
セキュリティ事故発生時の対応や体制を決めておくことは重要であり、かつお金がかからないことです。
経営層を巻き込んで話をしていくには一番進めやすいことかもしれません。
JNSA(日本ネットワークセキュリティ協会)「2015年 情報セキュリティインシデントに関する調査報告書」によると、2015年に個人情報漏洩があった事故件数は799件、1件あたりの平均損害賠償額は3億3705万円でした。
情報漏洩をしてしまった個人への一人あたり損害賠償額は、5000円-1万円未満が27%、1万円-2万円未満が25.9%、2万円-5万円未満が21.5%となっています。
お客さまへの損害賠償以外にも、人件費やサポート費用など復旧作業に要するコストもかかってきます。
上記の数字をベースに、セキュリティ事故が発生したときにかかるコストがどのくらいかを算出し、経営層と話をしてみましょう。
ウェブ担当者であるみなさんにとって「SNS」と言えば想像する言葉は「SNSを活用したウェブマーケティング」だと思います。FacebookやTwitter、LINE、InstagramなどのSNSでの情報発信やアクティブサポートなどの業務もウェブ担当者の方が中心となって行っていることと思います。
SNSにも大きなリスクがひそんでいます。
1,2に関しては社内で教育をしていくことが大切です。教育もリスク対策です。
また3.に関しては、ソーシャルメディア監視などのツールやサービスもあります。
SNS活用をビジネス戦略のひとつとして考えている企業は、SNSのリスク対策の優先順位を上げてもよいかもしれません。
また、顧客データの情報漏えいがSNSから発覚することもあります。
「○○サイトで買い物してから変なメールが届くようになった。情報漏れてるんじゃない?」
といったお客さまのつぶやきが拡散され炎上していることに、SNSを監視していなかった企業が気づかず対応が遅れてしまうことがあります。
情報漏えいを自社で発見したパターンであれば、事故発生時の対応・体制を決めておけば遅れずに対応でき被害を最小限に食い止められます。
しかしいったんSNSで広がってしまうと、もし、漏えいが間違った情報だったとしても信用は失われてしまいます。
また、情報漏えいが正しい情報だった場合には、「対応が遅い」「実は分かっていて隠していたんじゃないか?」とやはり信用が失われてしまいます。
SNSの利用者が増えた今だからこそ考えておかないといけないリスク対策かもしれません。
「企業規模にかかわらずサイバー攻撃はやってくる。Webサイトを守れ!(3)」につづきます。
※この記事は、大手企業から中小企業まで数多くの企業においてリスクマネジメントコンサルティングを行っている某企業セキュリティコンサルタントに内容を監修していただき、ウェブ通事務局がまとめています。
「ムダな情報で頭脳を消耗することなく考える時間を確保する」
ウェブのノウハウだけに限らず、広告やマーケティング全般の知識、時には組織論や時事に至るまで、最先端や未来予測などみなさんにとって本当に必要な情報だけをお届けします。
