情報セキュリティの始め方・大切さ #3

情報セキュリティの始め方・大切さ #3

情報セキュリティの始め方・大切さ#2の続きです。一人一人の意識改革から情報セキュリティは始まります。

リスク意識の向上

情報セキュリティは、火災や交通事故とは異なって、リスクに気づきにくいという特徴があります。情報は漏えいしても、消えてしまうわけではないので、情報が流出したことに気づきにくいのです。ファイルを開いたり、情報システムにアクセスしたりするためのパスワードを定期的に変更することは面倒なので、パスワードの使い回しをすることが少なくありません。

しかし、パスワードの使い回しをしていると、パスワードが不正アクセスなどによって外部に流出して、簡単に情報システムにアクセスされてしまう可能性があります。例えば、「パスワードリスト攻撃」は、流出したパスワードを用いてサーバなどを攻撃する手法ですが、この攻撃によって大きな被害を受けた事例があります。

基本の徹底

情報セキュリティ対策としては、「これだけ行なえば大丈夫」という簡単な対策はありません。なぜなら、攻撃側は様々な種類の新しい攻撃を仕掛けてきますし、情報システムは複雑化し、ユーザは社内外、国内外を問わず広範囲に及んでいるからです。

また、自分だけがしっかり対策を実施していても、従業員全員が対策を守らなければ情報セキュリティは確保できません。そこで、まずルールをしっかり守り、対策を必ず実施するという基本を従業員に遵守させるように徹底しなければなりません。

情報セキュリティでは、面倒であっても、実施すべきことを確実に実施することが非常に重要です。そのことを常に経営者および従業員が意識して、ルールを守り、セキュリティ対策を実施するように管理·指導していかなければなりません。

情報セキュリティ·インシデントによる損失の大きさ

情報セキュリティインシデントが発生すると、企業などに多大の損失を及ぼすことになります。大手の教育関連企業で発生したシステム管理者による個人情報漏えい事件では、企業の信用が失墜し、多くの顧客が離れてしまい経営に大きな影響を及ぼしています。

このように、企業の信用が失墜すると、その影響は計りしれないほど暗くて大きなものになります。さらに、情報が漏えいした顧客への連絡、謝罪、監督当局やマスコミ対応などの費用も莫大です。コンプライアンス違反によって倒産や廃業に追い込まれた企業は多く、例えば、食肉偽装を行なった食品メーカーは倒産に追い込まれましたし、燃費を改ざんした自動車メーカーでは、その後自動車販売数が激滅してしまいました。

コンプライアンス違反と情報セキュリティインシデントの大きな違いは、コンプライアンス違反の場合には、企業などが加害者になるのに対して、情報セキュリティ·インシデントの場合には、企業は被害者と加害者の両方となる点です。被害者となる例としては、外部からの不正アクセスによって情報が窃取されたり、内部犯行によって情報を窃取されたりするケースが挙げられます。

加害者となる例としては、情報システムの操作ミスによって情報が漏えいしたり、強風にあおられて伝票を紛失したりするケースが挙げられます。情報セキュリティインシデントについても、コンプライアンス違反と同様に経営に大きな影響を及ぼす時代になっていることを従業員は自覚しなければいけませんし、経営者や管理者には従業員を監督·指導することが求められています。

セキュリティカテゴリの最新記事