【目次】
情報セキュリティリスクとは?
情報セキュリティリスク対策を怠った場合の被害例
情報セキュリティにおける「脅威」とは
情報セキュリティにおける「脆弱性」とは
情報セキュリティ被害の具体的な要因例
企業が行うべき情報セキュリティリスク対策
情報セキュリティリスク対策のひとつとしてサイバー保険の加入も検討しよう
情報セキュリティリスクとは?
企業における「情報セキュリティリスク」とは、企業が保有する重要なデータや、データを安定して利用するためのシステムがダメージを受け、企業が甚大な被害を受ける可能性のことです。
「情報セキュリティ」が保持できている状態とは「データ破損や漏洩がなく、使用したいときに常にアクセスできる環境を維持できていること」を指します。日本産業規格(JIS)などは情報セキュリティの三大要素として「機密性(情報へのアクセスを制限する)」「完全性(情報が欠けないよう防止する)」「可用性(情報が必要なときに問題なく使用できる)」と定めています。つまり、この三大要素が脅かされることが、企業に損害を与えるリスクにつながるのです。
例えば、マルウェア感染や不正侵入によるサービスの停止、故意または人的ミスによる情報の漏洩、そして自然災害によるシステムの損壊といった被害を受ける可能性が、情報セキュリティリスクとして挙げられます。
ITや、ITをベースとしたOT(オペレーショナルテクノロジー:社会インフラに必要な設備やシステム)と日常業務が切っても切れない関係にある現在、情報セキュリティリスクによって業務が脅かされないようにするための対策は必要不可欠といえるでしょう。
情報セキュリティリスク対策を怠った場合の被害例
情報セキュリティリスク対策を怠り、被害を受けると、情報漏洩による社会的信用の損失やサービス停止による業務停滞など、経営に深刻なダメージを受けます。
しかし、独立行政法人情報処理推進機構(IPA)が行った「2021年度 中小企業における情報セキュリティ対策に関する実態調査(外部サイトに移動します)」によれば、情報セキュリティリスクに対して投資を行っていない中小企業は全体の3割を占めています。対策に投資を行わなかった理由としては、「必要性を感じていない」が最多で4割に上りました。
背景には、情報セキュリティ被害の発生確率と、発生する内容の不確実性の高さがあります。起こらないかもしれず、起こるとしても何が起こるかわからないことから、投資をためらうケースが少なくないのです。
一時の手間と出費を惜しんで、情報セキュリティリスクへの対策を怠ると、多額の損失を受けるだけでなく、信頼も損失する危険性があります。以下に具体的な被害例を解説します。
<多額の損失を受ける被害例>
・ウェブサービスが停止したり、メールの送受信ができなくなったりすることによるビジネス機会の損失
・情報が漏洩した個人や取引先への損害賠償
・アクシデントの原因究明費用
・システムの原状回復や改善にかかる費用
・事業免許の停止、行政指導による業務停止などによる収益の減少
<企業に対する信用が失われる被害例>
・自社の情報セキュリティリスクに対する備えが不完全であることが対外的に露呈し、顧客や取引先からの信頼が低下
・漏洩した情報が第三者に悪用されるといった二次被害による顧客離れ
・個人情報保護法違反の場合は最大1億円の罰則の可能性(2023年8月現在)
・社外から激しい追及を受けた従業員がストレスを抱えて疲弊、休職や退職の人数が増加
情報セキュリティにおける「脅威」とは
情報セキュリティリスクを高める要因としてあげられるのは、「脅威」と「脆弱性」です。「脅威」とは、情報セキュリティを脅かす攻撃を意味し、「脆弱性」とは情報セキュリティの弱点を意味します。脅威と脆弱性はそれぞれに関係しており、例えば、次から解説する「意図的な脅威」は「ソフトウェアの脆弱性」によって引き起こされる可能性が高まります。ソフトウェアに弱点があると、悪意ある攻撃者によって不正アクセスがされやすくなるということです。
まずは脅威にどのようなものがあるのか、具体的に見ていきましょう。情報セキュリティにおける脅威は、大きく3つあります。
意図的な脅威
意図的な脅威とは、悪意を持った人間によって引き起こされるもの。外部の第三者が愉快犯的に、あるいは明確な恨みや計画をもって起こしたり、内部の人間が金銭的な目的で起こしたりするケースが多くあります。
具体的には、外部からの場合はマルウェア感染やウェブサイトの改ざん、不正アクセスなど、内部からの場合は、データの持ち出しによる情報漏洩が代表的な脅威としてあげられます。
偶発的な脅威
偶発的な脅威とは、意図的な脅威と同様に人間が引き起こすものですが、行った当人に悪意がない脅威のことです。社外に持ち出したパソコンや記録媒体を紛失する、重要な情報を記載した書類を置き忘れるといったケースが偶発的な脅威にあたります。
環境的な脅威
環境的な脅威とは、地震や落雷、地崩れなどの自然災害や、塩害や高温多湿などの地理的条件によって、情報を保管している建物やサーバーが物理的にダメージを受ける脅威のことです。サーバーが停止してサービスがすべて停止する、建物が壊れて保管している情報をすべて失い、事業を継続できなくなるといったことが考えられます。
関連記事:インシデントとは?意味やアクシデントとの違い、管理の手順を解説
情報セキュリティにおける「脆弱性」とは
情報セキュリティにおける「脆弱性」とは、脅威に対抗するOSやソフトウェア、ハードウェアなどのセキュリティ上の欠陥のことです。脆弱性も脅威と同様に、大きく3つに分けられます。
ソフトウェアの脆弱性
ソフトウェアの脆弱性とは、開発時の設計ミスやプログラムの不具合によって発生するリスク要因です。ベンダーやセキュリティ企業が気づいていない潜在的な欠陥も多く、常に最新の状態を維持していても、意図的な脅威であるサイバー攻撃などを完全に回避するのは困難です。
運用管理体制の脆弱性
企業が保有するデータや書類の管理体制、運用体制にも脆弱性が潜んでいます。機密性の高いデータが無造作に保管されていれば、意図的な脅威にさらされやすく、悪意ある従業員や外部の人間による漏洩や盗難の可能性が高まります。
また、システムの操作マニュアルや仕様書の不備も、誤操作による情報漏洩といった、偶発的な脅威を招くおそれがあるので注意が必要です。
立地の脆弱性
自然災害による影響が大きい場所は立地による脆弱性があるといえます。立地に脆弱性がある場所にデータセンターやオフィスを集約させている場合、地震や洪水などの環境的脅威にさらされやすいからです。
また、海外に拠点がある場合、国の治安も重要です。戦禍にある地域や、暴動がよく起きる地域も立地に脆弱性があるといえ、サーバーやシステム、データを守り切れない場合があります。
情報セキュリティ被害の具体的な要因例
IPAが発表した、社会的に影響が大きい情報セキュリティ事案のランキング「情報セキュリティ10大脅威 2023(外部サイトに移動します)」より、代表的な要因例を3つ紹介します。
ランサムウェア
ランサムウェアは、身代金要求型ウイルスとも呼ばれるプログラムで、システムに不正アクセスして企業がもつ情報を暗号化し、感染前の状態に戻すことを条件に金銭の支払いを要求します。
警察庁の「令和4年におけるサイバー空間をめぐる脅威の情勢等について(外部サイトに移動します)」によると、調査・復旧のために5,000万円以上の費用を要した事例や、感染したシステムの復旧に2ヶ月以上も要した事例も報告されています。ランサムウェアによる攻撃は、脆弱性のあるVPN機器から社内ネットワークへ侵入してウェブサイトを改ざんしたり、メールの添付ファイルから感染させたりする方法が一般的です。
サプライチェーン攻撃
サプライチェーン攻撃とは、取引関係がある企業間のうち、セキュリティレベルの低い企業を経由して不正アクセスすることです。
自社のセキュリティレベルが高く直接的なサイバー攻撃を受けないとしても、セキュリティ対策が脆弱な中小の関連会社や取引先が不正アクセスを受け、そこからのメールやネットワークアクセスを介して、ランサムウェアなどウイルスの侵入を許してしまうことがあります。自社だけのセキュリティ対策だけでは防げないのが、サプライチェーン攻撃の怖さです。
内部からの情報漏洩
内部からの情報漏洩とは、社内の関係者が故意、または悪意なく情報を持ち出したり、社員の不注意によるメールの誤送信によって情報が漏洩したりすることです。社内に導入しているセキュリティツールの不具合が原因の場合もあります。
取引先からの信用失墜、ビジネス機会の減少、事後処理に伴う費用の発生など、被害は多岐にわたります。
企業が行うべき情報セキュリティリスク対策
日に日に増加・多様化するサイバー攻撃に対して、企業が行うべき情報セキュリティリスク対策の一例を紹介します。
情報セキュリティリスクは多岐にわたり、次々と新しい攻撃の手口が登場しています。普段から最新のセキュリティ情報に気を配り、リスクの種類や性質に応じた対策を講じることが大切です。
認証システムの導入などによる情報アクセス権の整理
情報の安全性を保つために重要なのは、不用意に重要な情報にアクセスできないようにすることです。そこで、認証システムを導入するなどして、情報にアクセスできる権限の整理を行いましょう。認証システムは、利用権限の有無によってユーザーを識別し、情報へのアクセス可否を決定するものです。
情報へのアクセス権限を各担当者に適切に割り振ることで、有効な情報セキュリティリスク対策になります。
情報セキュリティマネジメントシステムの導入と運用
情報セキュリティリスク対策として、情報セキュリティマネジメントシステム(ISMS)を導入していない場合は、早急に導入の手配をすることをおすすめします。導入している場合でも、システムやソフトウェアの脆弱性の監視、アップデートを小まめに行うことも非常に重要です。
ウイルスなどの侵入にいち早く気づいて対処するシステムを導入することと、継続的な監視と早期発見・対処ができる人材を配して運用することの2つが大切になります。
社員教育の徹底
情報セキュリティリスク対策に欠かせないのが、社員教育です。
送信元に懸念のあるメールは開かない、URLに不用意なアクセスをしない、社内のデータを持ち出さないなど、社内でデータ管理のルールを確立し、ITリテラシーの向上を目指して社員教育を徹底しましょう。システムでどれほどの対策を講じても、社員の意識が変わらなければ、情報セキュリティリスクを低減することはできません。
サイバー保険への加入
情報セキュリティリスク対策として、サイバー保険への加入も検討しましょう。「リスクを未然に防ぐ」対策と併せて、「リスクが起きたときに備える」対策も重要だからです。
サイバー保険は、サイバー攻撃や情報漏洩などによって発生する賠償費用、復旧費用、損失利益などを包括的に補償するものです。サイバー攻撃の被害額は多額になることも多いため、万が一に備えておくと安心です。
情報セキュリティリスク対策のひとつとしてサイバー保険の加入も検討しよう
情報セキュリティリスク対策を行う際は、完全な回避・防御を目指しつつ、絶対的な対策はないことを前提として早期復旧・回復の準備をしておくことが重要です。
アメリカン・エキスプレス®・ビジネス・プラチナ・カードのように、サイバー保険が付帯しているクレジットカードもあります。ビジネスにより集中できる環境をつくるためにも、自社に合った方法で多方面からの対策を進めましょう。
万一のサイバー攻撃や情報漏えいなどのリスクにも備えられる、アメリカン・エキスプレス・ビジネス・プラチナ・カード付帯のサイバー保険。
(免責事項) 当社(当社の関連会社を含みます)は、本サイトの内容に関し、いかなる保証もするものではありません。 本サイトの情報は一般的な情報提供のみを目的としており、当社(当社の関連会社を含みます)による法的または財務的な助言を目的としたものではありません。 実際のご判断・手続きにあたっては、本サイトの情報のみに依拠せず、ご自身の適切な専門家にご自分の状況に合わせて具体的な助言を受けてください。