取引先への損害、信用失墜
−サイバーセキュリティ対策を実施しない最大のリスクは何でしょうか。
「社会的な信用を失うことです。個人情報の話はよく報道されるので認識が高まっていますが、自社が踏み台
1にされ、知らないうちに自分がマルウェア
2を送り込む側となり、お客様や社会に被害を与える可能性があることにはまだ気がついていないところも多いと思います。そのため、サプライチェーンを通じたサイバーセキュリティが重要と言われています。
3」
−対策が不十分な中小企業こそターゲットになりますね。
「はい、サプライチェーンの最も弱いところが狙われます。サイバー攻撃というのは、狙いがあってやってくるという認識を持つ必要があります。それでも自分のところは狙われるような資産はないと考える方も多いと思いますし、これまで取引先からサイバーセキュリティ対策について聞かれたことなどないとおっしゃるかもしれません。しかし逆の立場になってみてください。取引先が事故を起こした場合、何も言わないでその企業と取引を継続するでしょうか。そのあたりも突き詰めて考えてみると認識も変わってくるかなと思います。」
基本的対応で防げる事故が大半
−今日からでもできる対策はありますか。
「よく言われることですが、セキュリティ事故の大半はごく基本的なことがちゃんとやられていないことに原因があります。高価なツールを入れていないといけないということでは必ずしもありません。例えば、古いOSを使っていないかチェックする、最新の状態にアップデートするなど、それだけでも随分違うはずです。」
出入り業者扱いされがちな情報システム部門
−社内で情報システム部門の位置づけが低い企業もあります。
「経営者が情報システムの責任者に聞くと、「うちの会社は対策が出来ています」と言われたりするものですが、実際にログを見ている人達やネットワークの管理をしている人達は冷や冷やしているはずで、そういう現場の人達から素直に話を聞けるようにしておくべきです。情報システム部門は現業部門からなぜこれができないのかと、まるで出入りの業者のように言われたりして肩身が狭かったりしますが、大きな事故を経験した会社の経営者ほど、情報システム部門に対して日頃から耳を傾けています。」
1 サーバやPCが外部の第三者に乗っ取られ、不正アクセスの中継地点や迷惑メールの発信源などに利用されてしまうことを、「踏み台にされる」といいます。
2 マルウェアとは、ウイルスソフトなど、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。
3 材料や部品の調達から製造、出荷、流通、販売などの「モノの流れ」を指すサプライチェーン(供給連鎖)のうち、セキュリティ対策が不十分な企業を狙ったサイバー攻撃が発生しており、サプライチェーン全体でのセキュリティ対策が重要と言われています。
サイバー攻撃は、現実世界に被害をもたらす
−サイバーセキュリティ対策を実施しないリスクは何でしょうか。
「セキュリティ事故は一度起きてしまうと、コントロールできないということです。例えば、個人情報を漏洩させると回収は不可能なため、リスクは最大化してしまいます。サイバー空間だけの話であれば、データを盗まれてもそれだけだという見方もできるかもしれません。しかし、今はサイバー空間で起こったことは、現実空間にフィードバックされ、身近な現実世界で被害をもたらすケースが多く、パソコンのように再起動したり、リセットしたりすることもできません。被害を元に戻すことはできないので、事故が起きてから対策するというのでは遅いということを分かっていただかなければなりません。」
確認できても安全とは言い切れない現実
−サイバーセキュリティ対策は難しいという印象があります。
「デジタル情報というのは、コピーできて劣化しないという点が最大の特徴ですが、それが改変されたりするので、何がリアルなのかが分からなくなってきていて、人間がその真偽を確認できるかどうかも怪しくなっています。だからセキュリティというものもよく分からないという意識もあると思うのですが、世界中で起こっている事例を見ていくと、訴訟リスクも、法的リスクも、経済的リスクもあり、現実として発生している問題だということを受入れざるを得ません。同じことが自分の会社では起きないと信じる理由はどこにもなく、当事者感覚が不可欠ですが、自分にとって難しいのであれば、それを理解して解説できる人をまず一人見つけて指名する、というところが第一歩かなと思います。」
経営者は日々の綱渡り感を共感できるか
−経営者は情報システム部門とどう接するべきでしょうか。
「例えば個人情報保護は、セキュリティの技術的な問題というよりもコンプライアンスの問題で、とにかくそれを守らないといけないというコンセンサスがあるので、出来ないと本当に会社が潰れるという話になります。情報システム部門は、そういう分野で日々ものすごいリスクにさらされていて、正直綱渡りみたいな感じでやっていますが、その綱渡り感が共有できるかというところになります。そんなの関係ない、利益に直結しないという経営者がいるとすれば、それはどうしようもないです。逆に経営者が聞く耳を持ってみようと思えば、自ずとよいコミュニケーションができるのではないでしょうか。」