情報セキュリティを蔑ろにする弊害
従来、企業の経営資源は人材と物、そして金の3つがありましたが、現在は「情報」も資産の一つです。企業活動は、顧客情報・市場情報・生産管理情報など様々な情報を元に管理・運用されています。
もし、企業が情報セキュリティの重要性を無視した場合、どんなインシデントが起こるのでしょうか。2020年において、企業が最も注意すべき障害は内部不正による情報漏えいリスクです。
2019年12月、情報機器業者の社員が廃棄される予定だったHDDを不正に持ち出し、ネットで転売した事件が起こりました。※
このような内部不正の予防対策として、社員に情報セキュリティの重要性を理解させ、モラルの向上を図ることが求められます。
また、トレンドマイクロ株式会社が日本法人組織の情報セキュリティ・社内 IT・経理責任者ら 1,030 人を対象に調査をした「ビジネスメール詐欺に関する実態調査 2018」によれば、全体の39.4%にあたる406人が経営幹部や取引先などになりすまし、金銭や特定の情報を騙し取るメールの受信経験があることが分かっています。
大規模な自然災害などの環境的脅威は起こりにくいものの、脅威はゼロになることは絶対にありません。潜在的な脅威に備えることは組織にとって難しいことですが、起こるかもしれない脅威を想定し、できるだけ備える努力を常にし続けることが大事になります。
- ※参考:リース契約満了により返却したハードディスクの盗難について
https://www.pref.kanagawa.jp/docs/fz7/prs/r0273317.html
情報セキュリティ運用の重要性
ここからは、情報セキュリティ運用の重要性を見ていきましょう。
1.同業他社との差別化と信用の強化に繋がる
企業の規模に関わらず、企業経営において情報を収集・共有・活用することは重要ですが、あわせて情報を適切に管理し、安全に守ることが求められます。
国際規格である「ISO/IEC27001:2013」や「ISO/IEC27001:2014」、また一般財団法人日本情報経済社会推進協会が承認するプライバシーマークなど、外部機関の審査を受けて取得することが可能な各種セキュリティ認証を受けることは、自社の信用強化と同業他社との差別化に繋がります。
また認証の取得が難しい場合でも、セキュリティポリシーなど、自社がどのように情報を管理しているかを対外的に公開することで、自社の信用強化に一定の役割を果たすと考えられます。
2.対策が十分でないと責任問題に発展する
外部不正アクセスにより顧客や取引先の情報が漏えいした場合、企業は十分な対策を講じなかったとして、法令違反や賠償責任を問われる可能性があります。
インシデントが発生することで、情報漏えいを誘発してしまったとして間接的に加害者の立場になってしまったり、社会的な信用を失い、事業の停止に追い込まれるリスクもあります。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
情報セキュリティ運用時に注意すべきこと
ここからは、情報システム担当者が情報セキュリティ運用時に注意すべきことを見ていきましょう。
1.セキュリティ運用のPDCAサイクルを回す
情報セキュリティポリシーを運用する際にはPDCAサイクルによる定期的な見直しが大切です。
PDCAサイクルとは、Plan(計画)→Do(実行)→Check(評価)→Action(改善)を繰り返すことによって、継続的に業務を改善していく手法のことです。
定期的に問題点を分析して、適切な対策を立て直すプロセスをくり返し実行することで、より精度が高い情報セキュリティ運用が可能になります。現場レベルの評価は各部署や個人がPDCAサイクルを実行します。会社全体でPDCAサイクルを行う場合は第三者機関による外部の専門家に依頼すると効果的です。
2.社内で研修を実施して社員の理解力を深める
情報セキュリティの問題は社内にいる全社員が重要性を理解することが大切です。IDカード・顧客の名刺をなくしたり、自宅でパソコン操作をしたりすることで、情報漏えいするリスクもあります。
企業の情報資産を守るために定期的に研修や勉強会を実施して、社内全体で情報セキュリティポリシーの周知に努めましょう。
3.情報セキュリティポリシーは明確にする
情報セキュリティポリシーが抽象的で曖昧な内容であった場合や、現実不可能な場合は長期的運用に向きません。また、情報セキュリティを適切に管理するためにコストがかかりすぎると、ポリシーが変わってしまいます。
情報セキュリティポリシーは長期運用できるように、実現できる内容を提示することが大切です。情報システム担当者だけではなく、全社員と顧客、取引先にも理解してもらえるように分かりやすいポリシーを心がけましょう。日頃から情報の取り扱いがしっかりしていれば、社会的な信用も高まり、企業信頼度もアップします。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
まとめ
予測可能な情報セキュリティのインシデントは、情報システム担当者が事前にセキュリティ対策を講じておく必要があります。また万が一の情報漏えいや、システム障害、大規模な自然災害が発生した場合のリスクに備えておきましょう。
情報セキュリティポリシーは定期的に見直して、常に正しく情報を管理・運用することが大切です。特にクラウドサービスの運用上における情報漏えいが一番のリスクです。Googleドライブ、チャットワーク、Slackの活用をしている企業は多いと思いますが、DropboxやEvernoteの利用は禁止している企業もあります。
高すぎるセキュリティでは便利なサービスも活用はしづらいかと思いますが、情報セキュリティ対策を確立しながらも、クラウドを安全に活用する方法もちゃんとあります。
NURO Bizでは『クラウドサービスを さらに使いやすく、 高セキュアに運用する極意』という資料にわかりやすくまとめましたので、詳細をご覧になりたい方は、下記フォームより資料をダウンロードください。
パンフレットをダウンロード
「クラウドサービスをさらに使いやすく、高セキュアに運用する極意」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。
