情報セキュリティは一人ひとりのリスク意識改革が不可欠

各個人がリスク意識を持たなければ、日常業務レベルまで浸透させることは難しい

情報セキュリティは、情報は漏えいしても、消えてしまうわけではないので、情報が流出した

ことに気づきにくく、火災や交通事故とは異なって、事前のリスクに気づきにくいという特徴

があります。

そして、ファイルを開く、情報システムにアクセスしたりするためのパスワードを定期的に変

更することは「面倒臭い」などを理由に、パスワードの使い回しをすることが多くみられま

す。

しかし、パスワードが不正アクセスなどによって外部に流出する原因としてあげられるのは、

パスワードの使い回しで簡単に情報システムにアクセスされてしまう可能性があります。

例えば、「パスワードリスト攻撃」は、別のサービスやシステムから流出したパスワードを用

いてログインを試みる手法ですが、この攻撃によって大きな被害を受けた事例があります。

一人ひとりが「自分のこと」としてとらえて行動する環境づくり

情報セキュリティ対策としては、「対策をこれだけすれば大丈夫」という簡単な対策ではな

、攻撃側は様々な種類の新しい攻撃を仕掛けて攻撃の複雑性が増しています。

そして、守備側の対策も複雑化せざるをえず、ユーザは社内外、国内外を問わず広範囲に及ん

でいるからです。

また、社員一人だけがその重要性について理解しても、社員全員が対策を守らなければ

情報セキュリティは確保することはできません。

そこで、まず社員一人ひとりが重要性について理解してルールをしっかり守り、

対策を必ず実施するという基本を従業員に遵守させるように徹底しなければなりません

2015年5月に発生した日本年金機構のウイルス感染による125万人分の個人情報の情報漏えい

事件では、個人情報を共有サーバに保存する際、情報セキュリティ対策として、システム上自

動的にパスワードが付与される仕組みになっていましたが、ウイルス感染により流出した個人

情報の一部には、パスワード設定もアクセス制限もされていないことが分かっています。

このような事件の前の定期点検では「個人情報のパスワード設定についてはすべて実施した」

という報告もあったようです(日本年金機構調査報告書)。

つまり、対策の実施状況をしっかり確認せずに報告して、やるべきことをきちんと実施してい

なかったことが問題になりました。

情報セキュリティでは、たとえ面倒と感じることがあったとしても、実施しなければならいこ

とを確実に実施することが非常に重要です。

そのことを常に経営者および従業員が意識して、ルールを守らなければ意味がないのです。

また、セキュリティ対策を実施するように管理・指導していかなければなりません

「内部犯行」が与える企業への情報セキュリティ・インシデント

情報セキュリティ・インシデントが発生すると、企業に多きな損失を及ぼすことになります。

たとえば、大手の教育関連企業で発生したシステム管理者による個人情報漏えい事件では、

企業の信用が失墜し、巨額の損害賠償金の支払い、また、多くの顧客が離れてしまい経営自体

に大打撃を及ぼしました。

このように、企業の信用が失墜すると、その影響は計りしれないほど大きなものになります。

さらに、情報が漏えいした場合、費用も莫大で顧客への連絡、謝罪、監督当局やマスコミ対応

などにあてられます。

コンプライアンス違反によって、例えば、食肉偽装を行なった食品メーカーや、燃費を改ざん

した自動車メーカーでは、その後自動車販売数が激減したり、多くの企業が倒産や廃業に追い

込れまいた。

コンブライアンス違反の場合には、企業などが加害者になるのに対して、情報セキュリティ・

インシデントの場合には、企業は被害者と加害者の両方となる点で、情報セキュリティ・イン

シデントとコンブライアンス違反とでは、大きな違いがあります。

被害者となる例としては、外部からの不正アクセスによって情報が窃取や改ざんされたり、内

部犯行によって情報を窃取されたりするケースが挙げられます。

加害者となる例としては、業務データファイルの保存されていたUSBメモリをどこかで紛失に

よって情報が漏えいしたり、伝票を紛失したりするケースが挙げられます。

情報セキュリティ・インシデントについても、コンプライアンス違反と同様に事業運営に影響

を与える時代になっていることを従業員の一人ひとりが自覚しなければいけませんし、経営者

や管理者は従業員を適切に監督・指導することが求められています。

まとめ

各個人がリスク意識を持たなければセキュリティトラブルが発生し、その一人の誤った行動が

企業の信用の失墜や莫大な損失、被害につながる可能性がある非常にリスクの大きなもので

す。

だからこそ、社内のすべての人が正しい知識をもって業務に取り組むことが求められます。

従ってコンプライアンスを作成して終わりではなく、組織の末端まで浸透するよう、

しっかりと教育活動を行う必要があります。

社員へのセキュリティ教育の重要性について、今一度考え直してみてはいかがでしょうか?

シェアする

  • このエントリーをはてなブックマークに追加

フォローする