企業のセキュリティ対策のために知るべき3つの知識 ―監修:ITセキュリティコンサルタント 大和田康博
社内でセキュリティ対策が必要なことはわかっていても、どうすればいいのかわからずにお困りではないでしょうか?ツール選定や認証の取得、社員のリテラシー向上など企業活動においてセキュリティ対策の方向性は多岐にわたります。
中でも押さえておくべきは、セキュリティ対策の領域と対策を進める具体的手順です。
自社に合ったセキュリティ対策を行うために頼るべき「企業内セキュリティ専門家」の役割も含め、本記事では要点を3つの知識としてまとめました。
目次
1.セキュリティ対策が自社に必要かどうかの判断基準
セキュリティ対策を始めたほうが良い企業の特徴
漠然とした形であっても、何かしらセキュリティに対する疑問がある場合はセキュリティ対策が必要な企業の範疇にあると言えます。 以下はその一例となります。
・システム構築をしただけでセキュリティ対策をしていない ・会社にセキュリティに関するルールが何もない ・外部の人が手続きなしに自由に会社に出入りしている ・セキュリティとは具体的に何なのか、何をすべきなのかわからない ・顧客のクレジットカード情報など個人情報を保持しているが、特に対策をとっていない ・USBやメールで会社PCやサーバーに保存してある重要データを簡単に持ち出せる ・社員のセキュリティに対するリテラシーが低い など
一つでも当てはまる場合は、セキュリティ対策を検討した方が良いでしょう。
企業に潜むセキュリティリスクとは?
そもそもなぜセキュリティ対策が必要なのか、対策をしない場合のリスクもしっかり理解しておかなければなりません。 セキュリティリスクの例
(1)社内の人間の故意・過失による個人情報流出 (2)外部からの不正侵入による個人情報の流出 (3)取引先企業からのセキュリティ監査不通過による取引停止 (4)故意・過失による法律への抵触 (5)Pマークなどのセキュリティ関連認証の未取得による顧客信用の獲得不可
(1)、(2)はいずれも個人情報の流出というリスクで、(4)にも関連します。これらが実際に起きると社会的信用の低下や、罰則・罰金、損害賠償の支払いなどが発生します。(3)のセキュリティ監査不通過の場合は、取引先からのセキュリティ監査が通らないことよって、取引停止が考えられます。(5)は正確にはリスクではないのですが、PマークやISMSといった認証を取得していない場合、取得済みの企業に比べると自社の信用度が競合他社に対して不利な状況となり、顧客離れにもつながります。
個人情報流出時の具体的な被害例
少し古いデータですが、JNSAの「情報セキュリティインシデントに関する調査報告書(2003年第2部)」に、セキュリティリスクが顕在化した際に被る被害について、よくわかる例があります。従業員30名程度のインターネット通販会社から会員30万人分の個人情報が流出した場合の被害額の試算で、直接被害、間接被害、潜在化被害を合計すると約3億8,237万円です。
ただし、こちらの試算は少し古い試算データのため、現在の一般的な情報漏えい時の対応内容や平均的な損害賠償額(※1)を考慮すると、現在は同じケースであってもこの金額のおおよそ3~5倍程度の費用がかかると考えられます。体力のある大企業であればともかく、中小企業において個人情報が流出すると、それだけで致命傷です。
※1 JNSA「2018年 情報セキュリティインシデントに関する調査結果~個人情報漏洩編~(速報版)」では、2018年1月~12月に発生した個人情報漏洩に伴う損害賠償額は、1件当たり平均6億3,767万円となっています。
2.セキュリティ対策の進め方
企業内におけるセキュリティ対策は4つの領域で構成されている
一般的にセキュリティ対策を行うときは、以下の4つの領域に対して行うことになります。どれか1つに特化すれば良いのではなく、すべての対策を網羅的に行うことが重要です。
技術的対策
ウイルス対策ソフトやファイアウォール、WAF、IDS/IPSなどの正しい配置と運用による防御。常時監視、定期チェックによる検知・発見 など
物理的対策
オフィスへの入退室・施錠管理。PCなど情報機器やUSBメモリ、紙などの記録媒体の管理(移動・輸送・廃棄を含む) など
人的対策
従業員一人ひとりのセキュリティリテラシーの向上、規則遵守(コンプライアンス)の徹底。目配り気配りの実施。運用と管理態勢の構築 など
組織的対策
ルール作り、ルールを守る取り組み、ルールが守れるPDCAの運用 など
継続的にセキュリティ施策を行うためのセキュリティ管理態勢の構築
上記にご紹介した具体的対策を進めるには、まずはセキュリティ施策を進行管理するための仕組みや体制を決定しなければなりません。ここではこれを「セキュリティ管理態勢の構築」とします。
アプローチ手順は以下のとおりです。
1.企業内セキュリティ専門家と契約する 2.セキュリティ管理態勢を構築するための体制案を決める 3.体制案に必要な人員を社内外から調達する 4.セキュリティ対策にかける予算を決定する 5.ロードマップを作成する 6.施策実行
セキュリティ対策は利益を生まない施策ですが、会社を守るためにも必ず実施しなければならない施策です。しかし、企業によっては、セキュリティ対策にそれほど資金をかけられないといった企業も多くあります。 そのような場合は、専門家と相談しながら体力に見合った予算、ロードマップを一緒に作成していくことをお勧めします。 また、セキュリティ対策にどれくらいの予算をかければ良いのかという質問をいただくことも多いのですが、ある調査によれば、日本企業の約9割はIT予算の3~10%程度をセキュリティ対策予算として割いています。海外企業の場合はセキュリティ対策の重要性をより認識しているためか、IT予算の10%以上の予算を確保する企業が全体の5割以上という調査結果もあります。今後、日本もセキュリティ意識を高めていく必要はあるでしょう。
3.企業内セキュリティ専門家の役割
直接企業の中に入ってセキュリティ対策を行う専門家の意義
セキュリティ管理態勢構築のアプローチ手順1で「企業内セキュリティ専門家と契約する」とご紹介しましたが、企業内セキュリティ専門家は、文字通り企業に入ってセキュリティ対策を行う人材のことです。特定分野のスペシャリストであるセキュリティベンダーとは異なります。
例えばファイアウォール一つを取っても、数百という単位のセキュリティベンダーが存在します。企業内セキュリティ専門家は、こういったさまざまなセキュリティベンダーと直接交渉したり、最適なソリューション選定のサポートをすることによってセキュリティ対策を進めていく役割を担います。 その他にもセキュリティ対策の担当者に対するアドバイス、レビュー、セキュリティに関する調査、資料作成、研修、教育、管理態勢構築、人員調達サポート、ロードマップ作成など、セキュリティベンダーがあまり行わない部分についても専門家がサポートします。
セキュリティ対策に関して何もわからない、教えてほしいというような場合は、企業内セキュリティ専門家と協働で対策を進めることによって、企業にセキュリティのノウハウを蓄積できるのです。
企業の希望によって企業内セキュリティ専門家の関与率は異なる
企業内セキュリティ専門家はさまざまな形で企業に関わることができますが、大きく分けると3つです。
ある程度企業のセキュリティリテラシーが高く、すでに体制も構築されていて自分たちで業務推進を行えるような場合は、アドバイザーや顧問という形で相談受付や情報提供、簡単な調査などを行いサポートします。
セキュリティへの知見は多少あるものの、未知の部分が多く頻繁にサポートが必要な場合は、社内のプロジェクトや体制へ直接参画し、PMOやアシスタントという立場でPMやマネージャーをサポートします。
セキュリティに対して全く知見がなく、直接部下たちを指示して業務を進めてほしいという場合なら、PMやマネージャーとして参画します。
質疑応答
質問:具体的なセキュリティ対策としてとりあえず押さえておくべき内容について教えてください。
最近は個人情報が特に重要なものとなっています。個人情報を保持している企業においては、セキュリティ対策は欠かせないものになっています。一部でも流出すると莫大な金額の被害が出ますから、個人情報へのセキュリティ対策はしっかりしておいた方が良いでしょう。 また、取引先からのセキュリティ監査が近年特に増えています。以前は金融機関などのセキュリティ意識の高い企業からの監査が多かったのですが、最近は全体的なセキュリティ意識の向上から、金融機関以外の多くの企業でも行っているケースが見受けられます。取引先の企業がセキュリティ対策をしていないとそこから情報が漏れてしまうため、自社を守るための取り組みとして行っているのです。 あとは社内規程、ルール、契約書等の整備です。例えば社員やアルバイトの方が個人情報を勝手に持ち出してしまったとしても、社内規程に書かれていなかったり、そのような契約を取り交わしていないと、持ち出した本人に対して責任を問うことができない可能性もあります。また、規程、ルールが無い場合、従業員は指標とするものがない状態になる為、リテラシーも低い状態のままになってしまいますから、重要となります。
質問:セキュリティ対策はどこまで行うべきなのでしょうか。やりすぎると事業のスケールを阻害してしまうのではと思います。
セキュリティ対策には終わりがなく、運用し続けなければなりません。日々新たなセキュリティ脅威も登場します。ですから、セキュリティ対策は毎年一定の予算を決め、その範囲内で行うのがベストなのです。 セキュリティ対策を行うことによって通常業務に生じる影響については、「そういうものだ」と認識してもらうしかありません。過去に個人情報を流出させ、流出後に厳重なセキュリティ対策を実施した企業で働いていたことがありますが、セキュリティ対策後は通常業務の工数が増え、対策前の業務を1とするのなら、対策後は同じ業務でも3~5倍の工数がかかるようになりました。当初は社員からも不満の声がありました。ただ、半年ほど経過すれば慣れますし、何より社員のリテラシーも向上して「やらなければ個人情報を守れない」という意識が生まれ、社員からのクレームも徐々になくなっていきました。
質問:社員が持つべきセキュリティのリテラシーはどの程度のレベルなのでしょうか。
専門家レベルになる必要は全くありません。一般社員においては、基本的なセキュリティ知識や何をしたら法律や社内の規程に引っかかってしまうのかを認識してもらう程度で大丈夫でしょう。ただ、マネジメント・経営層の方は、より深いセキュリティ知識や社内の規程や法律をよく理解して、部下が業務を遂行していく上でアドバイスできるようになる必要があります。
社員が間違った行動をしたときに指摘できれば、会社全体のセキュリティリテラシーのレベルが高まるからです。
質問:企業内セキュリティ専門家の関与率によって、稼働時間はどのように変わるのでしょうか。
アドバイザーや顧問レベルなら週2~4時間ほど、PMOやアシスタントレベルなら週8時間ほど、マネージャー、PMレベルなら週9~16時間ほどが目安です。実務内容は相談に応じて取り決めていくことになります。
質問:セキュリティ対策はどの程度の規模の企業なら行えるのでしょうか。
きちんとしたセキュリティ対策を行う場合は、ある程度規模の大きい企業でなければ難しくなります。目安は20~30名からではないでしょうか。 とはいえ、AWSなどでサーバー構築を行いアプリケーションを公開しているといったような事業内容であれば、たとえ5名規模の企業であっても少なからず対策が必要です。会社の規模感に合った対策を専門家と一緒に行っていくのが良いでしょう。
質問:PマークやISMSの取得にはどのくらいの期間を想定しておけば良いのでしょうか。
緊急度や予算にもよりますが、急がないなら1年ほど、特急で取得したいという場合であれば最短で2~3ヶ月前後です。認証取得は認証取得専門のコンサルティング会社と直接やり取りして進めてもいいのですが、専門的な内容を進めていくため、ある程度の知識、経験がないと結構難しいです。そのような場合は、企業内セキュリティ専門家にサポートしてもらうのも良いでしょう。
本記事の監修: ITセキュリティコンサルタント 大和田 康博