多発するサイバー攻撃から身を守る(第14回)

セキュリティを高めつつ自社ビジネスに注力する方法

posted by 株式会社アークコミュニケーションズ

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷

 IPA(独立行政法人情報処理推進機構)が公開した「情報セキュリティ事象被害状況調査」によると、約7割の企業が、電子メールなどを経由したコンピューターウィルスに遭遇しているとされます。

 被害も年々増加し、2014年では2013年の5倍の件数となり、なかにはコンピューターウィルスの感染によるインターネットバンキングの不正送金もあるといいます。

 外部からの攻撃に加えて、内部の関係者による不正行為も大きな問題となっています。もはやサイバー攻撃による被害は対岸の火災ではなく、どの企業も経営問題のひとつとして考えなくてはいけません。

 ここでは、経営とサイバーセキュリティについて考えてみましょう。

「サイバー攻撃の対策が重要である」といわれても……

 ICTの利用・活用が不可欠となった今日、サイバー攻撃への対策に注力する企業が増えています。IPAの調査では、調査対象企業のうち、ウィルス感染とサイバー攻撃によりECサイトが停止した企業は6.2%とのこと。これだけでも多くの損害が発生しますが、さらにシステム復旧のための費用や時間がかかっています。ひとたびサイバー攻撃に見舞われ、情報漏えいなどが発覚すれば、事業の継続性の危機となるのです。

 しかも、ウィルスによる被害は時を選んではくれません。24時間365日、ずっと監視し続ける必要があるのです。

 こうしたサイバー攻撃から会社を守るためにはどうしたらいいのでしょうか?

 経済産業省では「サイバーセキュリティ経営ガイドライン」という指針を策定しています。そのなかでは、経営者が認識すべき3原則と情報セキュリティ対策を実施の責任者である「CISO」などの担当幹部を置くべきとしています。

 「CISO」という聞き慣れない言葉が登場しましたが、これはChief Information Security Officerの頭文字で、「最高情報セキュリティ責任者」を意味します。同ガイドラインでは、サイバー攻撃は、企業経営上のさまざまなリスクのなかでも重要項目として位置付けなければならないと説いており、総務や経理などの部署と同等の規模の対策セクションが必要だと指摘しています。

 こうした責任者が確保できれば良いのですが、大企業ならともかく、中小企業で専任のセキュリティ担当重役を置くのは、人員確保・費用の両面から難しいケースもあります。中小企業の中には、業務の一環としてシステム管理者がセキュリティ対策を行っていたり、さらにはシステム管理者自体が存在せず、パソコンに詳しい社員が兼務しているケースも見られます。このような体制では、セキュリティ情報を的確にキャッチし、すばやい対応が行える可能性は低いでしょう。むしろ兼務になったことで、本来の業務に支障をきたす恐れも出てきます。

 一方で、費用をかけ、部署を設置し、従業員を教育したとしても、担当者が転職してしまうケースも考えられます。24時間365日、企業の情報セキュリティに目を配るスペシャリストなのですから、継続して従事してもらうためにはそれなりの待遇も必要です。自社で構築するのには、費用・人員確保の面でかなり難しいといえるでしょう。

「選択と集中」でアウトソーシングしよう

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷
株式会社アークコミュニケーションズ

株式会社アークコミュニケーションズ

メルマガ登録


スペシャルインタビュー

ページトップへ