儲かるビジネスと化した｢サイバー攻撃｣の脅威 謝罪と禁止は卒業､セキュリティ強化の近道は

私は、自社のビジネスのフレームワークとセキュリティの両方を語ることができる、たとえ若手であっても優秀な人材をボードメンバーに入れ、経営陣がセキュリティ投資の必要性などをディスカッションできるようにすることがセキュリティ強化の近道と考えています。

ただ、日本の年功序列制度の下では抜擢人事のハードルは高く、こうした日本の企業文化がセキュリティの脆弱性につながることを懸念しています。

「致命傷」を負わない仕組みに

――攻撃者にシステムへの侵入を許してもセキュリティを担保できる対策を「デザイン」するポイントはありますか。

私は空手をしているのですが、格闘技ではスピード、パワーで劣っていても、相手の得意技や攻撃パターンを知り、攻撃されても致命傷になるのを避ければ、ダウンすることはありません。その点、何をされたら組織として致命傷になりうるのか知っておくことが大切です。

企業にとって致命傷となるセキュリティ問題の1つに顧客情報の漏洩があります。顧客の信用を失えばビジネスは大ダメージを負います。逆に言えば、顧客情報が漏洩しても信用が低下しなければ、大きな問題になりません。

澤円（さわ・まどか）圓窓 代表取締役（元日本マイクロソフト業務執行役員）／生命保険のIT子会社勤務を経て、1997年に日本マイクロソフトへ。2006年にマネジメントに職掌転換。幅広いテクノロジー領域の啓蒙活動を行うのと並行して、サイバー犯罪対応チームの日本サテライト責任者を兼任。2020年8月末に退社し、2019年より現職。日立製作所など、数多くの企業の顧問やアドバイザーを兼任し、テクノロジー啓蒙や人材育成に注力している（写真：本人提供）

例えば、漏洩した情報が氏名だけなら、個人が特定され、情報を悪用されるおそれは高くありません。しかし、氏名、電話番号、クレジットカード番号、生年月日などがセットになった顧客データは、攻撃者にとって利用価値の高い情報になります。

そこで氏名、電話番号、クレジットカードなどの個人情報をそれぞれ別々に管理し、それらをつなげて使えるのは、社内ネットワーク内に限定します。さらに社員の生体認証が必要な場合に限ります。こうしたデザインにすれば攻撃者は、社員の“身体”を盗んで生体認証することは困難なので、セキュリティは格段に高まるはずです。

一方で、使い道が難しいデータを盗むのではなく、データをロックして身代金を得ようとするランサムウェア攻撃も流行しています。侵入を完璧に防げるようなセキュリティ対策はありません。

それでもビジネスを継続していこうとするのであれば、OSやソフトウェアは常に最新のものに更新して、現時点で「最強」を保ち続けるようにする。サプライチェーンの一部がサイバー攻撃で停止しても、すぐにリカバリーできるようなプランを用意しておく――といった対策が必要でしょう。

セキュリティはIT部門だけの問題ではなく、ビジネス継続の基礎でもあり、災害等に備えたBCP（事業継続計画）の一部なのです。ビジネス継続を望むことを諦めないのであれば、経営者はセキュリティをコストではなく、不可欠な投資と考えたほうがいいと思います。

東洋経済Tech×サイバーセキュリティのトップページはこちら

著者フォローすると、新木 洋光さんの最新記事をメールでお知らせします。