さて、今回から
「小さな中小企業とNPO向け情報セキュリティハンドブック」
(今後は「ハンドブック」と言います)の
第1章「まずは情報セキュリティの基礎8項目を理解しよう」
から、お話ししようと思っていたのですが、そこに入る前に、改めて、情報セキュリティ事故の概要とその背景、についてお話ししたいと思い直しました。
と、言うのも、前回、私は
"サイバー攻撃の「自社に与える影響」を知ること"
と記しましたが、後で見るように、情報セキュリティ事故とは、必ずしもサイバー攻撃によるものだけではないからです。
特に中小企業・中堅企業の管理者の方においては、これを再認識して頂いたほうがよいと考えました。
また「サイバー攻撃」にしても、そもそも、それが発生する根本の前提を、本当の意味で理解されていることが、その後の対策の理解につながるからです。
そういう意味で、「もう、そんなことは十分、分かっているよ」と言う方は、本記事はお読みになる必要はございません。
インターネットに全くつながらなければ、サイバー攻撃には遭わない、でも・・・
経済産業省所管の独立行政法人である情報処理推進機構(「IPA」と呼ばれます。以下はIPAと記載します)では、毎年、情報セキュリティ10大脅威という資料を作成し、国民に注意喚起をしています。
今年度のものは「情報セキュリティ10大脅威 2019」として、既に資料がアップされています。
これによると、組織向けの10大脅威は、以下の順に記載されています。
- 標的型攻撃による被害
- ビジネスメール詐欺による被害
- ランサムウェアによる被害
- サプライチェーンの弱点を悪用した攻撃の高まり
- 内部不正による情報漏えい
- サービス妨害攻撃によるサービスの停止
- インターネットサービスから個人情報の窃取
- IoT機器の脆弱性の顕在化
- 脆弱性対策情報の公開に伴う悪用増加
- 不注意による情報漏えい
と、まずはその前に、「そもそも、サイバー攻撃って何?」ですよね。
「サイバー攻撃」を見るといろんな定義がありますが、
インターネットを通じ、企業などのシステムを攻撃する行為。が 端的な定義です。もちろん、対象は企業だけではなく、国家や何らかの団体、あるいは個人にも及びますが。
ここでのポイントは「インターネットを通じ」という言葉です。
つまり、
自社のコンピュータが、全くインターネットにつながっていなければ、そのコンピュータに対するサイバー攻撃は発生しない。インターネットにつながっているから攻撃される
です。
インターネットとは言わば「街」です。街に出ると、楽しいお店やレジャー施設もあり、買い物などいろいろ便利ですが、反面、危険なお店・人物・場所などもあります。また、交通事故などに出会う可能性もあります。
子供に「外で遊ぶときは、気をつけなさい」というのは、そうした危険な場所や人物に近寄るなということですが、インターネットの世界とは、まさにそういうことです。
ITに話を戻すと、実際、中堅・大企業などでは、今でも一部の重要な機密情報の入ったコンピュータなどは、直接的、間接的にもインターネットにつながらないようになっています。
このような状態では、外からのサイバー攻撃は発生しません。
だからもし、
「このパソコンには機密情報が入っていて、サイバー攻撃から絶対盗まれないようにしたい」
と本当に思うなら、そのパソコンのネットワーク=インターネットだけでなく、内部のネットワークも含めて=をつながずにスタンドアロンの状態にする、ということも、立派な対策の一つなんです。
ただし・・・私は上で「スタンドアロン状態」のことを、
「直接的、間接的にもインターネットにつながらないように」
「パソコンのネットワーク=インターネットだけでなく、内部のネットワークも含めて=をつながずに」
と書きました。
これは、そのコンピュータAが直接インターネットに接続していておらず、社内ネットワークだけにつながっている(つもり)だったとしても、そのコンピュータとやり取りする、他の社内のコンピュータBがインターネットにつながっているのなら、Aは間接的にインターネットにつながっている、すなわち、スタンドアロンではない、ということです。
実際、大企業でサイバー攻撃で情報が盗まれたりする場合は、その情報の入ったコンピュータAはインターネットに接続していない、でも、他のインターネットに接続しているコンピュータBとAは社内ネットワークでつながっているため、マルウェア(ウイルス)はコンピュータBからコンピュータAに文字通り感染して、被害が出るわけです。
たとえで言うと、悪者Xは、お金持ちのAさんに近づくため、まずはAさんの遠く離れた友達であるDさんに近づき、うまくそそのかし、Dさんから社内のCさん、Cさんから同じく社内のBさん、そして最終的にBさんから標的であるAさんに近づく、というイメージですね。
まさに「友達の友達の、そのまた友達の友達も、また友達」みたいなものです。
もっとも、この友達の輪は、質の悪い友達の輪ですし、また、友達自体にも罪はないのですが。
で・・・特定のコンピュータのみ、上で書いたスタンドアロン状態にすることは可能ですが、既にインターネットに囲まれた状況では、全ての社内のコンピュータ=ここには社内用のスマホやタブレットなども含む、をスタンドアロンにするのは、現実的に困難ですよね。
メールも、Webの閲覧も、クラウドサービスを使うことも、また、次回以降で述べるOSやアプリのアップデートなども、全てインターネットにつながっていることが前提ですから。
従って、インターネットにつながっている限りは、どこの会社・個人でも、サイバー攻撃のリスクがある、そしてITを業務で使う以上、インターネットを使わないという選択肢は現実的にはありえない、ということになります。
だからこそ、サイバー攻撃に対する対応が必要となるのです。
だからこそ、サイバー攻撃に対する対応が必要となるのです。
サイバー攻撃以外の情報セキュリティ事故にも留意する
ちなみに、先にIPAの10大脅威に中でのサイバー攻撃とは「5.内部不正による情報漏えい」と「10.不注意による情報漏えい」を除く全てが該当します。
逆に言うと、
サイバー攻撃以外でも、情報セキュリティ事故は発生する
ということです。
「5.内部不正による情報漏えい」とは、文字通り内部不正、すなわち悪意を持った従業員なり、その会社の関係者が、機密情報に正当にアクセスできる権利を悪用して、機密情報を抜き取ったうえで、外部の業者に販売したり、拡散したりすることです。
上記で従業員だけでなく、「その会社の関係者が」と書いたことに留意してください。
ベネッセ個人情報流出事件は、まさにその典型であり、ベネッセのグループIT企業の派遣社員が起こした不正情報流出事件でした。
また「10.不注意による情報漏えい」は、上記と異なり全く悪意はなく、不注意で情報を外部に漏らしてしまった例で、端的には、紙ベースの個人情報が入ったファイルをどこかに置き忘れ、それが流出したとか、パソコンをどこかに置き忘れ、その中に機密情報が入っていて、それが外部に流出してしまった、などです。
お取引様様宛に送ったつもりの機密情報を含んだメールが、実は宛先を間違えて全くの別人に送ってしまった、などもそうですね。
管理者の方にご認識して頂きたいのは、
- このようなセキュリティ事故は昔からあること
- これらの事故は、今でも相当数発生していること(だから10大脅威に入っている)
ここで何が言いたいかと言うと、単にITによるセキュリティ対策を強化するだけでは不十分で、従業員へのセキュリティ教育の重要性、従業員の処遇や不満などに対する管理や、関係会社との機密情報に関するやりとりの契約厳格化などの、ITによる手段以外の対策も、セキュリティ対策の一環として講じる必要がある、ということです。
従業員の処遇や不満などへの対応は、これはもう、ITではなく、経営におけるマネジメントの問題ですね。つまり、一言でセキュリティ対策と言っても、幅は広いということです。
こう考えると、
「いやあ、ほんとに、セキュリティはめんどくさいわ・・・第一、投資しても金を生むわけではないし・・・」と考える気持ちは十分、うなづけます。
私は、これについては、
「リスクが発生したときに考えられる可能性と損失をざっくりでもいいから見極めたうえで、セキュリティ対策にいくらまで投資するかどうかを判断すべき」
と考えています。
たとえば、以下の例のようなリスクがあったとします
- (例1)コンピュータAには10000のお得意様の情報を格納している。これが何らかのセキュリティ事故によって流出してしまう損失額
- (例2)営業担当者のパソコンがマルウェアによって壊れてしまう損失額
一方、例2は、その営業担当者のパソコンに入っている情報にもよりますが、例1と比較すると被害程度は小さいですよね。
そこで、どちらのリスクにどの程度対応すべきか、を決めていけばよいのだと思います。
長くなりましたが、まとめると
- サイバー攻撃の源は「インターネットにつなぐこと」だが、インターネットの利便性と社会での普及から「インターネットを使わない」という選択肢はない。したがって、相応のサイバー攻撃に対する備えは必要である。
- セキュリティ事故はサイバー攻撃のみならず、昔からの情報漏洩(悪意による情報の盗み取りや過失によるもの)もあるが、これにも目を配る必要がある
- セキュリティ対策にどこまでの費用をかけるかは、発生する損害とその可能性から考えるべき
では、次回もよろしくお願い申し上げます。