経営者の皆様は、「情報セキュリティ事故」というワードを聞いてどのようなものかすぐに判断ができますか?ここでひとつ、簡単なクイズを行いましょう。以下に挙げる5つの例のうち、なにが情報セキュリティ事故に当たるか、〇か×かで判断するだけです。
1.社内のサーバに不正アクセスされ、顧客情報が窃取された。
2.社外作業用の端末を社員が不注意で紛失した。
3.社外秘を従業員がSNS上に掲載した。
4.社員が業務上得た情報を漏洩し、資金を得た。
5.上司や経営者、取引先を装ったメールの内容を信じ、第三者口座に送金した。
答えはすべて「情報セキュリティ事故である」です。ここまでは誰しもわかることでしょう。しかし、勘の鋭い方はお気づきになられたかもしれません。そうです、これらは全てなんらかの「情報」に関わる事故です。さらに言えば、これらが露呈すれば当該企業の信用が失墜し、経営が危うくなります。「情報セキュリティ事故」と言うとなにやら小難しいように感じられますが、簡単にまとめると「情報に関する失敗のうち、会社の経営等を揺るがすような重大な事象」が情報セキュリティ事故、と言えます。
これらの情報セキュリティ事故は起こしてしまっては取り返しがつきません。そのため、起こさないようにする予防策が重要です。
情報セキュリティ事故の予防策、と聞いて真っ先に思い浮かぶのは、悪質なコンピュータウィルス等の対策となる、アンチウィルスソフトの導入でしょう。確かにそれも重要な対策ですが、それだけでは足りません。
先ほどのクイズをもう一度ご覧になれば、従業員のミスが原因で起こる情報セキュリティ事故があるとご理解いただけるでしょう。すべての情報セキュリティ事故を防ぐためには、情報に関わる関係者全員の教育を徹底する必要があります。
日本の企業の多くは、情報セキュリティ事故対策は社内のシステムエンジニア等の専門家チームが行い、責任も彼らにあると考えています。しかしそれは誤りです。社員1人ひとりが当事者意識を持たないことには、どれほど高性能なアンチウィルスソフトを導入しようと、定期的にセキュリティウォールを修繕し、セキュリティの穴を埋めても意味がありません。
また、ある情報セキュリティ会社が日本・アメリカ・シンガポールの3か国で行った調査によると、日本企業で発生する情報セキュリティ事故の多くがヒューマンエラーに起因しています。人間である以上、ミスを完全に無くすことはできませんが、情報セキュリティへの意識が低いからこそこのような結果になると考えられます。
対策を考える前に必要なことは、まず、現在の攻撃のトレンドや情報セキュリティ対策がどのようなものであるかを知ることです。企業の今後を左右する問題であるからこそ、早めに情報を集め、対策に乗り出すことをおすすめします。