セキュリティ対策は経営課題である

３月30日に開催された「サイバーセキュリティ × 経営 シンポジウム 2016」に参加させて頂きました。

「日本国内外において深刻なサイバー攻撃の被害の報道が続いています。これまで、サイバーセキュリティは技術的な問題と考えられてきましたが、明らかに経営レベルの問題に変容しています。しかしながら、日本の経営層では、セキュリティ対策への関心が低いこともあり、効果的な対策が打てないばかりか、IT の活用を否定するような対策が重視される傾向にあります。」

このような問題提起から始まったシンポジウムには、サイバーセキュリティに関わる専門家が一堂に会し、サイバー攻撃の現実や様々な取り組みについて紹介され､議論されていました。あらためて事態の深刻さを痛感すると共に、「セキュリティ対策は経営課題である」という自覚を持って対処しなければならい現実を痛感させられました。

会議の詳細な内容については、今後メディアでの報告もあるかと思いますので、私なりに考えたことを紹介されて頂きます。

こんな事件が起きている

「セキュリティ対策は経営課題である」という自覚を持って取り組むことが大切です。それがどういうことか、いくつかの事例でご紹介しましょう。

北米に2000件近い店舗を展開する大手スパーマーケット・チェーン「ターゲット」は、4000万件に及ぶクレジットカードとデビットカードの番号が盗まれ、さらにそこから7000万件に及ぶ買い物客の氏名や住所、メールアドレス、電話番号の記録も漏洩しました。この事件をうけて信用は失墜し、売上では前年比で5％、利益は46％も落ち込んでしまいました。さらに顧客から集団訴訟を起こされることになり、利用者１人当たりにつき最大１万ドルの和解金を支払うことで合意に至っています。また銀行からも合計10億ドル以上の訴訟を起こされており、システム改善の費用も最大2億ドルに上ると見られています。そして、事件後は株価も下がり、CEOも辞任に追い込まれてしまいました。

同社は決してセキュリティ対策を怠っていたわけではありません、むしろ同業種の企業の中では相当の対策をおこなっていたほうです。しかし、不正な攻撃が検知され警告が発せられていたにもかかわらず、それを無視し、自動でマルウェア（不正をおこなうソフトウェア）を削除する機能もオフにされていたそうです。技術的な対策、すなわち「道具としてのIT」は備わっていたけれど、それを業務プロセスの中で活かす取り組み、すなわち「仕組みとしてのIT」として、セキュリティ対策が考えられてこなかったということです。

我が国でも、あるオンライン・ショッピング・サイトがサイバー攻撃を受け、１週間業務停止に追い込まれたことがあります。その間に、その会社と売上で拮抗していた競合他社にお客様が移ってしまい、業務再開の後もお客様が戻らず、一気に売上を伸ばしたといった事例もあります。

また、最近では「ランサムウェア」と呼ばれるマルウェアによる事件が急増しています。ランサムウェアは、コンピューター内にあるファイルを勝手に暗号化して開けられなくなくしてしまい、「暗号化を解除して欲しければ、〇〇百万円払え！」と身代金を要求するものです。その結果、業務ができなくなってしまい、結局は身代金を払わされたという事態も起こっています。

巧妙な攻撃に対処するのは容易なことではない

感染は、電子メールに添付されたファイルを開くことや、マルウェアが仕込まれたWebサイトにアクセスしたことによるものです。ならば、「そんな電子メールを開かければいい」、「そんなWebサイトにアクセスしなければいい」といいたいところですが、そんな簡単な問題ではないのです。

例えば、「〇〇社からクレーム、緊急の対処が必要」というタイトルのメールが、担当営業に送られてきたとしましょう。たぶん担当営業は「これは大変だ！」とメールを開き添付されている「クレームの経緯と内容」という添付ファイルを開くはずです。すると、そこに仕込まれているマルウェアがパソコンに感染し社内のネットワークに拡がって行くのです。

また、取引先のWebサイトにアクセスしたところ、そこに社外から不正に仕込まれていたマルウェアに感染してしまったということも起きています。実に巧妙に攻撃を仕掛けてくるのが昨今のサイバー攻撃です。

サイバー攻撃の経営上のインパクトを軽んじてはいけない

この事例でもおわかりの通りサイバー攻撃によって、売上や利益の減少、株価の低迷、役員の辞任や更迭といった経営問題に発展する場合があることがおわかり頂けたのではないでしょうか。また、知らないうちにマルウェアが仕込まれたWebサイトがお客様に被害を与えるといった事態ともなれば、長い時間をかけて積み上げた信用は一挙に失墜してしまいます。

昨今のセキュリティ侵害は単に信用の失墜ということではなく、価値ある情報を窃取し、それを転売したり身代金を要求したりと経済的利益を求めることにシフトしつつあります。つまり、これは自然災害のような偶発的なものではなく、悪意を持って意図的におこなわれる犯罪であって、対策しなければならないことなのです。例えば、強盗に入られるかどうか分からないから、「家には鍵をかけない」のか「家に鍵をかける」のか、どちらが正しい選択でしょうか。実際のサイバー攻撃の犯人は、「強盗」以上に手強いかもしれません。高度なITスキルを持ち、しっかりと作戦を立て、確実にターゲットを狙ってきます。しかも、個人犯罪ではなく組織犯罪としての攻撃です。これはもうテロリストとの戦争と言えるかもしれません。この現実を理解することが大切です。

最近は、大手企業のセキュリティ対策が進み攻撃者は彼らから経済的利益を上げることが難しくなりました。そのため、対策の手薄な中小企業への攻撃が増える傾向にあることも気になるところです。

ではどうすればいいのか

この事態に対処するためには、経営者が「セキュリティ対策は経営課題である」ことを自覚し、社内の業務部門や情報システム部門、法務担当者や広報担当者に加え、外部の弁護士や専門家と協力し合いながら以下の対応ができるように取り組まなくてはなりません。

1. いち早く攻撃を検知する
2. 迅速な初期対応をおこなう
3. 事態を収束させる
4. 再び起きないように対策する

ITとビジネスの一体化が今後さらにすすむことになれば、経営や業務への影響はさらに大きなものとなるでしょう。セキュリティ対策のための機器を導入する「道具としてのIT」の取り組みに留っていては不十分なのです。例えば、

• セキュリティ機器が効果をあげているかを定期的に評価する。
• 業務プロセスの変更や社員の知識や意識を高めるための研修をおこなう。
• 週次の役員会で攻撃の実態を担当者から報告させる　など

「仕組みとしてのIT」として継続的にPDCAを回してゆかなければなりません。経営者は、セキュリティ対策は経営課題であることを肝に銘じ、先頭を切って対策を進めてゆくことが求められています。

【最新版】最新のITトレンドとビジネス戦略【2016年4月版】

＊＊＊　全て無償にて閲覧頂けます　＊＊＊

【大幅改訂】新入社員研修のための「ITの教科書」

いよいよ、新入社員研修が始まりますが、そんな彼らのための「ITの教科書」を作りました。
よろしければ、ご活用ください。

さて、この教科書を作った理由ですが、新入社員に教えるITの基礎知識ですが、それこそ30年前の常識を教えることに留まり、クラウドやIoT、人工知能などの最新の動向を教えないといった企業も少なくないからです。未来を担う新人たちにそんなことでいいはずはありません。

そこで、そんな彼らのために最新のITトレンドを教えると共に、その前提となる基礎知識についても、最新の動向の理解を助ける内容として、作りました。

改めて基礎的なこと、そしてITの最新動向を整理したいという皆さんにもお役に立つと思います。

ITの基礎
情報システムの基礎
ITの最新トレンド

それぞれ、プレゼンテーション（PPTX形式）と教科書（DOCX形式）がダウンロードできます。
ダウンロード頂いた資料はロイヤリティフリーですから、それぞれに合わせて自由に加工編集してご活用下さい。

【最新版リリース】ITのトレンドとビジネス戦略・最新版【2016年4月】

【インフラ・プラットフォーム編】（267ページ）

• PaaSの内容を更新しました。
• APIエコノミーについての解説を追加しました。
• データベースの内容を更新しました。
• 新たに「ストレージの最新動向」の章を追加しました。

閲覧は無料です。ダウンロード頂く場合は会員登録（500円／月）が必要となります。
http://libra.netcommerce.co.jp/

まずは、どのような内容かご覧頂ければ幸いです。