サイバー攻撃から企業を守る 経営戦略の柱の一つに情報セキュリティ対策を
情報セキュリティの問題は、一企業の顧客情報や技術情報流出というレベルでは済まない。情報セキュリティへの無関心は、社会全体の危機を招く。そのため、BCP(事業継続計画)の一環として、経営レベルで検討すべき課題だ。起こりうるITリスクを把握し、何か起きたときに迅速に対処するための手順をあらかじめ決めておく必要がある。
そのためにもまず、自社がサイバー攻撃を受けた場合のリスク分析を行う必要がある。サーバーの復旧コスト、ダウンしている時間の機会損失、顧客への補償、信用やブランドを含めた企業価値の逸失などが主な要素だ。それに見合うITセキュリティ投資を考える必要がある。
米国ではIT投資自体が戦略投資と位置づけられ、情報セキュリティ投資はIT投資全体の10%に上る。だが、日本の経営者の多くはITへの支出をコストと見なす。「中でもセキュリティは純然たるコストと見なす風潮が強く、5%程度にとどまっている」と三菱総合研究所情報技術研究センター・クラウドセキュリティグループ主席研究員の村瀬一郎氏は経営の意識の低さを指摘する。
それでも必要最低限やるべきことがある。第一に、ウイルスは閉鎖系ネットワークでも感染しうることや、スマートフォン、クラウドの広がりなどの環境変化を認識すること。最近は、複数の攻撃手法が組み合わされるなど、新たな攻撃手法が現れている。
ハッカー対策も重要だ。今年4月のソニーのユーザー情報流出事件は、想定外の機能を持つ、ソニーにとって好ましくないソフトを製品に組み込んだユーザーを排除しようとしたことが引き金だった。ソニーのこうしたやり方に反感を持つユーザーたちが、システムの脆弱性に対して集団的な攻撃をかけたのだ。IT技術を身に付けたアクティブなユーザーに対しては、メーカーの知的所有権を振りかざすだけでは逆効果になりかねない。
