田舎にいても常時戦場

「ここはのどかでいいでしょう。事務所を空ける時もほとんど鍵を閉めることがなくても泥棒に入られることもないですから」。地方の企業を訪問した時、確かに自然に囲まれたその立地は普段街中で生活しているものにとって、心洗われるような気分に浸ることができた。しかし、インターネットで世界中と繋がっている今日、私たちを襲う脅威は目に見えるものばかりではない。特に全国の企業相手のサイバー犯罪の相談件数は、警察の調べによるとここ1,2年は頭打ちではあるものの、その内容は年々変わって深刻化しつつある。

企業が関わる情報リスクといえば、多分真っ先に思い浮かぶのが情報漏洩だろうが、リスクはそれだけではない。内部不正や人的ミスによる事故が増えている。今や世界の人口は76億人、インターネットに接続されている機器は200億台とも言われているが、その台数はIoTの波によってさらに加速度的に増えようとしている。インターネットに関する限り、企業の立地が日本の片田舎であろうと、東京やニューヨークであろうと、まったく同様に常時戦場にあるようなものだ。

攻撃はますます多様に

インターネットを使った攻撃手法も多様化している。「7、8年前までは不正アクセスが主だったが、サイトの改ざん、不正ログイン、標的型攻撃、不正送金、ランサムウェア、負荷攻撃、内部犯行…と多岐に渡る」と話すのは株式会社神戸デジタルラボの三木剛取締役だ。「今や企業の情報システムは100%攻撃されていると言っていい」と言い切っておられる。ただ、その攻撃が仕掛ける方から見て成功しているかどうか、仕掛けられた方は気付いているかどうか、ということに過ぎないそうだ。

だから、中小企業も情報漏洩だけに気をつけて、たとえそれがあったからといっても隠せるからいい、なんて考えてるようでは、いざという時に企業の存続に関わるほどの危機にいきなり直面させられることになる。何しろ、企業におけるリスクでは、事務作業の停止に追い込まれたり、生産ラインが止まったり、外部との関係においても、取引先との連絡が不能になる可能性も容易に想像でき、いろいろな形で業務の遂行が妨げられることが考えられるからだ。

現状の対策のチグハグさ

「95%と10%」。この数字が何を表すかお分かりだろうか。95%というのはサイバー攻撃のアプリケーションに対する攻撃の割合。一方、10%というのはそのアプリケーションにおけるサイバー攻撃への対策費の割合だそうだ。つまり、想定されるサイバー攻撃のリスクに見合った投資がまったくできていないということだ。これによると、サイバー攻撃の対策として、実際には5%しか攻撃を受けていないネットワークにかける費用が90%も占めていて、まったくチグハグな対応になっている。

企業が取り組むべき情報セキュリティの対策としてはいくつかポイントがあるようだが、まず何よりリスクの把握をしなければならない。つまり、それぞれの企業にとって、どんなリスクが考えられるかということだ。これまで警察が関わった案件でも、退社した元社員が持ち出した営業情報を、その企業が機密情報として扱っていなかったということがあったようだ。似たような状況が存在するようなら、まず企業が守るべき情報資産にはどんなものがあるのか(必ずあるはず)、その利用者のアクセス方法の検討、流出する可能性のある経路の調査、被害時に想定される影響などの調査を行う必要がある。

社員全員が当事者意識を

そして、事故が起きた際に素早く対応するための体制を整えておくことが何より肝要だ。「情報システム部門に任せているから大丈夫」「外部のベンダーがいるから大丈夫」などと、どこか一つの担当者や部門、外部の企業に任せて済むものではない。不審なメールが送られてきた時の対応一つとっても、社員全員が共有し、実行できるようにしておかねば何の役にも立たない。そのうえで、情報システムの監視はどこがするのか、事故が起きた初動体制はどうするのか、誰の責任で対応するのかをそれぞれ決めておくのだ。

サイバー攻撃を無くすことはできない。事故は起きるものと考え、被害を最小限に留める工夫をし続けなければならない。だから情報セキュリティの対策にも、自然災害への対策と同様に終わりはない。あるのは「減災」のためにいかに普段から準備をしておくかだ。折から、日本では来年にG20サミット、ラグビーのワールドカップの開催、そして再来年は東京オリンピック・パラリンピックの開催と国際的な行事が続く。華やかな舞台の裏で、その逆の立場から面白おかしく脚光を浴びたいと思う、不埒な輩も多くなることが予想される。それに今から十分に備えておかねばならないだろう。