多くの企業が、ITを活用したビジネスモデルの変革を進めています。こうした流れを「DX(デジタルトランスフォーメーション)」と呼びます。
DXとは、「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること」です。
DXでは、ツールの選定、業務プロセスの変革、新規事業の創出が議論の中心となりますが、これらを進める上で忘れてならないのがセキュリティ対策です。効率性や生産性を追求する一方で、情報漏洩などが頻発するようでは本末転倒です。つい見逃しやすいサイバーリスクと、具体的なセキュリティ対策を紹介します。
1 新たな働き方に追随するセキュリティ対策を整備せよ
企業のセキュリティ対策は、必ずしもあまり進んでいません。総務省「令和元年版情報通信白書」によると、ウイルス対策ソフトをインストールするなど基本的な取り組みは実施されているものの、それ以外のセキュリティ対策は十分とは言えません。
(参考:総務省「令和元年版情報通信白書」)【企業における情報セキュリティー対策の実施状況(2018年:複数回答)】
(出所:総務省「令和元年版情報通信白書」)
さらに、IPA(情報処理推進機構)が2019年12月19日に公開した「中小企業の情報セキュリティ対策ガイドライン」では、サイバー攻撃は巧妙化し、事業に悪影響を及ぼすリスクはさらに高まると指摘されています。
(参考:IPA(情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン」)広まっているテレワークでも、セキュリティのリスクが顕在化しています。
例えば、社外から業務システムにアクセスできるようにとクラウドを導入したものの、誰がいつ利用しているのか分からない、安全性を確認していない自宅のPCからクラウドにアクセスしているといった問題が出てきているのです。
では、具体的にどんなセキュリティ対策を実施すればよいのでしょうか?
2 テレワーク時のリスクと対策
1)利用者や利用端末を制限する
テレワークの実施に伴ってウェブ会議システムを導入する場合、セキュリティに配慮して運用しなければ、意思決定に関わる重要な会話や社外秘の資料などが、インターネット経由で漏洩する被害が起こりかねません。
そこで、会話や、やり取りされるファイルを暗号化する機能を備えていることを前提に、特定の利用者や端末しかウェブ会議に参加できないように制限する機能があるかをチェックすべきです。
運用上の注意も必要です。限られた人しか参加しない会議の場合、不特定多数がウェブ会議に参加できるURLを発行して誰でも参加できるようにすべきではありません。特定のメールアドレスやIDを持つ人しか参加できないようにして参加者を制限します。
社外の顧客や取引先と商談や打ち合わせをする場合は、事前にメールアドレスを登録しておく、もしくはパスワードを発行して入室を制限するなどの対策を施しておくのが望ましいでしょう。
2)個人所有の端末が使われることを想定した対策を行う
個人所有のPCやスマートフォンを業務に使うBYOD(ブリング・ユア・オウン・デバイス)も問題となります。
自宅のPCを使って資料を作成したりメールを送信したりする際、顧客や取引先のメールアドレスなどが企業として認めていないPCに保存されてしまうかもしれません。
BYODについては賛否があるものの、認めないならテレワークの対象となる従業員に業務用PCを貸与するなどの策を検討します。
認めるなら個人所有端末とはいえ、ウイルス対策ソフトを必ずインストールする、自宅のPCでどんなデータを使ってよいのかを明確に定めるなど、最低限必要な方針を示すことも必要です。
3 クラウド利用時のリスクと対策
1)ログインするためのID・PW(パスワード)を厳重に管理する
「令和元年版情報通信白書」によると、クラウドを「全社的に利用している」「一部の事業所または部門で利用している」と答えた割合は58.7%です。その割合は年々高まっており、今後もさらに高くなることが見込まれます。
クラウドの場合、これまで社内に保存していたデータを社外に保存するのが一般的です。そのため、大事なデータが社外に漏洩するなどのリスクを伴います。また、クラウドを利用するのに必要なIDやPWが悪意ある第三者に盗まれたら大変です。
そうならないように、ログインするためのIDやPWを、適切に管理、運用するのは基本的な対策です。たとえ旧知の同僚であってもIDやPWを使い回さないよう注意します。
また、複数の業務アプリケーションなどで共通のPWを使用しない、簡単に見破られそうなPWではなく複雑なPWにする、定期的にPWを見直すなどといった対策も必要です。
2)クラウドの利用履歴を細かく把握する
「誰が、いつ、何を参照したのか」といった利用履歴を把握できるようにします。大事な業務システムの利用状況が誰にも分からないといった運用では、リスクに十分対処できているとは言えません。
クラウドの中には、管理者向けに利用履歴を確認する機能を備えたものがあります。管理台帳を作成して記録するのが手間なら、こうした機能を活用するのも手です。もし情報漏洩があったとしても、利用履歴から原因を早期に特定しやすくなります。
4 押さえておこう! 基本的なリスクと対策
1)不正アクセスなどのサイバー攻撃に備える
ITを利活用することで情報はデータとして管理され、商品開発、販促施策、業務プロセスの改善などに役立てられるようになります。
JUAS(日本情報システム・ユーザー協会)が2020年5月に発表した「企業IT動向調査報告書2020」によると、データ活用に前向きな企業は約8割に達します。今後はデータ活用がさらに進み、データを事業にどう活かせるかが、自社の競争優位の源泉になっていくに違いありません。
(参考:JUAS(日本情報システム・ユーザー協会)「企業IT動向調査報告書2020」)【データ活用への取り組み状況】
(出所:JUAS「企業IT動向調査報告書2020」)
一方、データ化によって、簡単にコピーされる、勝手に使われるなどのリスクも高まります。誰がどのデータを何に使ったのか、どこに保管しているのかを追跡しきれなくなり、気づいたときにはコピーした情報が外部に漏洩していたなどのリスクに遭いかねません。
そこで、まずは不正アクセスやマルウエア、標的型攻撃などといったサイバー攻撃に備えた、基本となるセキュリティ対策を徹底することが必要です。
業務で使用するPCやスマートフォンのOS、それらの端末で使用する業務アプリケーションやウェブブラウザなどは、システムに影響がない限り常に最新バージョンにします。古いバージョンのまま運用すると、コンピューターウイルスなどが侵入しやすい状態となり危険です。
一般的に、最新バージョンが公開される時期は未定です。そのため常に最新情報をチェックし、古いバージョンのまま運用する期間をできるだけ短くするよう注意します。
2)従業員のITリテラシーアップと運用体制の整備を図る
セキュリティ対策にコストを掛け、体制や環境を整備したとしても、ITツールを扱う従業員が間違えた運用や操作をすれば情報漏洩は起こります。ITツールを使う従業員のリテラシーアップや意識改革に取り組むことが不可欠です。
例えば、ITツールの正しい使い方や不適切な使い方などをまとめた運用ルールやポリシーを用意し、従業員に徹底させます。
なお、テレワークに取り組む場合、便利だからという理由で、従業員が勝手にコンシューマー向けのクラウドサービスを使ってしまうことがあります。「社外の取引先とファイルを共有するなら〇〇クラウドサービスを使いましょう」などのように、業務で必要となるサービスを一覧にまとめ、従業員に通知するのもよいでしょう。
また、ITツールが苦手で操作をミスしそうな人がいると想定し、基本的な操作をまとめたマニュアルを用意しておくのも一案です。
5 「事故が起きたとき」にも備える
セキュリティ対策に万全を期しても、実際にシステムや情報を扱うのは人です。ヒューマンエラーや故意の情報漏洩などのリスクをゼロにすることはできません。そのため、事故が起きたときの被害を最小限に抑えるための備えも必要です。
仮に情報漏洩が発覚した場合、大事な顧客情報などが漏洩してしまえば自社の信用失墜に発展しかねません。風評被害も誘発し、ひいては取引先や顧客に損害を与えてしまいます。
このとき企業は、事故の原因、被害範囲の調査、弁護士やコンサルティング会社などへの相談、問い合わせ専用コールセンターの設置、被害者へのお詫びなど、さまざまな対応が求められます。これらに掛かる費用も膨らみかねません。
最近では、情報漏洩、不正アクセス、データ改ざんなどが発生した際に、調査や弁護士費用、賠償費用などを総合的に補償してくれる保険が登場しています。サイバーリスクへの備えとして保険を検討するのも一策です。
以上
(執筆 日本情報マート)
生21-10,法人開拓戦略室
