現代では、コンピュータやネットワークを利用しなければビジネスが成り立たないといっても過言ではないほどに、ビジネスとコンピュータ・インターネットなどのICTは深く広い関わりを持っています。
ICTの発達はビジネスを加速させ、遠く離れた場所でも一瞬で通信が可能になるなど、企業人・消費者の双方にとって高い利便性を提供しています。
しかしその一方で、利便性が向上したことと比例して、情報の「保全」の重要性とそのハードルも高くなっています。
すなわち、企業にとっての情報セキュリティの重要性です。
DDoS攻撃や不正侵入といった高度なサイバー犯罪・サイバー攻撃のリスクも当然考慮する必要がありますが、個人情報が記録されたUSBメモリを置き忘れるなどのヒューマンエラーに近い情報漏洩への対策なども、見逃すことができない重要な情報保全の施策のひとつです。
かつては大企業など情報を扱う量の多い企業のほうが、情報漏洩のリスクが高いと考えられていましたが、現代では中小企業の情報漏洩対策についての重要性が注目されています。
この記事では、中小企業における情報漏洩対策が必要な理由や、具体的な中小企業における情報漏洩対策などについて解説します。
かつて、未だコンピュータが非常に高価で限られた人々の手にしかなく、通信インフラなども限られていた時代には、情報セキュリティというのは一般の人々や中小企業にとってはどこか遠い世界の話のように理解されていました。
しかし、そこからコンピュータや通信インフラが一気に拡大し、中小企業や一般ユーザーにとっても、コンピュータや通信環境があることが当たり前の世の中となりました。
そしてそれによって、コンピュータの中に重要なデータが格納されている可能性が高くなりました。
また、大企業はコンピュータ黎明期から大量のデータを保有していましたが、現代では中小企業でも多くの有用なデータを保有しているケースが多くなりました。
このようなことから、もはや現代においてはすべてのコンピュータが攻撃にさらされる危険性が高く、また攻撃対象とされるコンピュータも、かつてのようにサーバーやパソコンだけではなく、中小企業従業員が普段持ち歩く情報端末であるスマートフォンやタブレット、利用しているクラウドサービス、ファイル転送サービスなどへの外部サービスにも至ります。
では、中小企業に対してはどのような攻撃が行われるのでしょうか。
かつてサイバー攻撃といえば、企業内部のネットワークの弱点を探り、外部から企業のネットワーク環境へ侵入するといった攻撃手法が多く採用されていました。
もちろん現代のサイバー攻撃においてもこのような方法が採用されることはありますし、これらの攻撃が減少したというわけではありません。実際のところは、こうした攻撃が減少したというよりも、これ以外の、より簡便な攻撃手法が増加し、かつその種類も拡大したとみるべきでしょう。
現代ではコミュニケーションツールとしてチャットツールやグループウェアなどが広く使われていますが、企業間でのやりとりなどでは今でもメールは広く利用されています。
メールに不正なファイル、コンピュータウィルスの実行ソフトウェアを添付して送りつける方法というのは比較的古くから存在する攻撃手法ですが、現代では、一見問題のないファイルに不正なプログラムを仕込んで、正当な連絡のように見せかけて攻撃を仕掛けるという「EMOTET(エモテット)」と呼ばれる手法が利用されます。
このほか、企業で利用するクレジットカードなどの決済情報を不正取得するために、銀行やクレジットカード会社のメールを装ってURL付きのメールを送付し、そのURLに入力された情報を詐取するといった手法も多く見られます。
また、中小企業でも利用頻度が高いインターネット回線提供事業者、携帯電話回線事業者を装ったメールも増えています。
感染したコンピュータのデータをロックし、ビットコインなどの仮想通貨を要求する「身代金要求型ウィルス」である「ランサムウェア」による被害も無視できません。
かつては攻撃者が「攻撃対象としての優先度が低い」と判定していたような中小企業においても、現代においては重要データを保管している可能性が高いことから、様々な手法による攻撃の対象となっているのです。
サイバー攻撃は、中小企業の情報漏洩において代表的なインシデントの一種ではありますが、中小企業において情報漏洩が発生する事例はサイバー攻撃だけではありません。
以前から指摘されている危険性としては、メール・FAXなどの送信先を間違えて、関係のない場所へ重要な情報を送信してしまうという事例です。
メールに添付するファイルには、場合によっては数千件の個人情報などを含む場合もあり、一回の誤操作によって多大な損失が発生します。
このような場合、郵便などとは異なり送信してから相手先に到達するまでのタイムラグがなく、事態を把握した際にはすでに情報漏洩が発生してしまっているという状態に陥ってしまうという問題があります。
従業員が自分のアクセスできる顧客データや、取引先との機密データなどを外部記録媒体などに持ち出し、外部に売却・公開するという方法で行われます。
動機としては金銭目的のほか、会社への恨み・嫌がらせなどの怨恨によって行われるケースもあります。
従業員が外部でデータを取得し記録したUSBメモリなどの外部記録媒体、あるいはPCそのものを、電車内などに置き忘れてしまったり、窃盗に遭ったりすることで情報漏洩を招いてしまうケースも度々問題となります。
現代の外部記録媒体は大容量であり、USBメモリ1つだけでも多量の個人情報を保存することができます。また、こうしたヒューマンエラーによる情報漏洩は、企業規模の大小にかかわらず発生します。
そのため、中小企業においてもこうした情報漏洩が発生してしまうことに備えての対策が必要なのです。
このように、情報セキュリティが重要となる現代において、情報漏洩対策の緊急性は高くなっています。しかしながら、企業規模によっては効果的なセキュリティソフトウェアなどを導入するのが資金面などから難しい場合もあります。
では、中小企業では情報漏洩対策ができなくてもやむを得ないかというと、そうではありません。
企業規模にかかわらず、すぐにでもできる情報漏洩対策があります。
情報漏洩のうち、高度な技術を使って行われるコンピュータへの侵入やそれに対する防御というのはなかなか対策が難しくなりますが、不正メールに引っかからないようにする、誤送信や誤操作による情報漏洩を防ぐ、などといった場合には、経営者や従業員がある程度の情報リテラシーを身につけることによって防ぐことができる場合も多くあります。
情報セキュリティを含む情報リテラシーについては、現代においては教育の方法は多岐にわたります。
インターネット上で学習ができるe-ラーニングを使った仕組みや、動画教材、専門家によるビデオ通話を使ったオンライン講座などを利用するというのもよい手段でしょう。
また、情報セキュリティチェックリストなどを社内で作成し、折に触れて情報セキュリティインシデントの発生がないか確認したり、チェックリストを日々確認するなど、情報セキュリティに対する意識を改革することがそのひとつです。
安全性の高いセキュリティ対策ソフトウェアの導入や、個人情報へアクセスできる端末・人員の限定、メール添付ファイルの実行に特別の注意を払うなど、意識面のほかに機能面での対策もあります。
これらは具体的な内容ですが、何よりも「自分の会社は小さい会社だから狙われるはずがない」「個人情報を扱ってはいないから漏洩してもよい」「危ないサイトや危ないソフトは使っていないから大丈夫」という、油断や慢心を生じず、常に自社もまたサイバー攻撃の対象であり、また情報漏洩の危険がつきまとっているのだという認識を経営陣・従業員一同が共有することが肝要なのです。
中小企業経営者の中には、情報セキュリティやサイバー攻撃といった事象に対して、まだ「自社には関係がない」「もっと大きな会社でなければ狙われない」といった認識をアップデートできていないケースも多く見られます。
しかしながら、現代においては企業規模の大小を問わず、小さな企業や個人事業主であっても手当たり次第に狙っている攻撃や、むしろセキュリティの脆弱さから中小企業こそを対象として攻撃しているケースすらあります。
自社の業務内容や企業規模にかかわらず、経営者は従業員よりも常に高いセキュリティ意識を持ち、従業員の先頭に立ってセキュリティ対策や情報リテラシー教育に乗り出す姿勢が求められているのです。
