ブロードバンドセキュリティ

なぜ、セキュリティ対策を実施しても、情報漏洩が起きるのか

ブロードバンドセキュリティ

企業サイトへの不正侵入による情報漏洩事件が多発している。ほとんどの企業では何らかのセキュリティ対策を実施しているにもかかわらず、なぜこのような事件や事故が起こるのだろうか。企業のサイバーセキュリティに詳しい、ブロードバンドセキュリティの大沼千秋氏に、その原因や対策のポイントを聞いた。

「ウチには狙われるような情報はない」と
考えるのは危険

企業や団体のサイトからの大規模な個人情報漏洩事件が相次いでいる。

ブロードバンドセキュリティの大沼千秋氏は「インターネットという開かれたネットワークができたことで、世界中と情報がやりとりできる利便性が生まれた一方、企業の持つ情報が24時間狙われることになりました」と指摘する。具体的には、顧客のクレジットカードナンバー、企業独自の営業情報や技術情報、さらには、今後は従業員や取引先のマイナンバー情報などもそれに相当する。

高度情報セキュリティサービス本部
B2SIRT
副本部長
大沼千秋

大沼氏が「企業の情報を盗もうとする側の手口も年々進化しています」と語るように、メールに悪性ウイルスを仕込んだ添付ファイルを付けて送信し、開封すると情報を窃取される「標的型メール」のほか、特定のサイトにウイルスを埋め込むような攻撃も増えているという。

さらに大沼氏は、「企業によっては、『当社のような中小企業には盗まれるような情報はないのでセキュリティ対策は必要ない』と話されるところも多くありますが、そのような企業のサイトが他の企業への攻撃の『踏み台』になり、サイトを閲覧するお客様や取引先にウイルスを感染させ、最終的に莫大な損失を生んでしまうことがあります。大手企業のサプライチェーンに組み込まれている中小企業が攻撃の入口になる場合もあります」という。

経営者が率先して取り組むべき、
セキュリティの「心技体」とは?

事件や事故が起こると、漏洩した個人情報への補てんや信用の喪失など、経営に大きなインパクトを与えかねない。そのため、どの企業も何らかのセキュリティ対策を行っていると思われる。それにもかかわらず、情報漏洩事件が頻発しているのには、どのような原因があるのだろうか。

「セキュリティ対策とは、技術的な対策だけを行っておけばよいというものではありません。当社では、セキュリティは『心・技・体』であるとお話ししています。『心』は従業員の意識付け(教育とその浸透)、『技』は技術ソリューション、『体』は組織体制(緊急対応や日々のチェック体制)を表します」と大沼氏は語る。3つのすべてが重要だが、「技」には関心があるものの、「心」と「体」が不足している企業が少なくないという。

「さらに」と、大沼氏は加える。「不足点をあぶり出し、それをどこまでやるのかを決めるのは、企業の経営者の役割です。セキュリティ対策は、企業の重要な経営テーマなのです。ところが対策をどこまでやれば有効なのか、自社ではなかなか判断できません。そこで当社がおすすめしているのが、第三者による評価です」。

以下のバナーからダウンロードできるPDFでは、セキュリティ対策の不足を防ぐために、「自社対策の不備や、やるべきこと」が見える、サイバーセキュリティに対する第三者評価の活用法について、大沼氏が解説している。情報漏洩を防ぐために自社がまず何に取り組むべきか、そのヒントが知りたいという方は、このPDFを参考にされてはいかがだろうか。