情報セキュリティ対策は経営戦略だ!経営層が知っておくべき3原則
経営者および情報管理を統括する立場の方は、情報セキュリティという言葉についてどのような印象をお持ちでしょうか。
もしかしたら、IT技術者や管理部署の話で経営とは関係ない、と認識されている方もいらっしゃるかもしれないと考え、本テーマを取り上げました。
本記事では、IPA(独立行政法人 情報処理推進機構)から2023年8月に発行された「中小企業の情報セキュリティ対策ガイドライン第3.1版」に掲載されている情報をもとに、情報セキュリティに関して求められる中小企業の経営者による判断・行動について、解説させて頂きます。(出典:「中小企業の情報セキュリティ対策ガイドライン第3.1版」)
もし情報セキュリティ事故が起こると・・・
どのレベルまでセキュリティ対策を実施すべきかは、各組織の状況によって異なることを前提としながらも、一定のセキュリティ知識と必要な対策を理解し、それを行うことは経営者の責任であると言えるでしょう。情報セキュリティ対策を怠ることで発生する可能性がある不利益として、金銭の損失、顧客の喪失、事業の停止、従業員への影響等、経営に大きな影響を与えることは疑いの余地はないと言えます。
また、経営者は、経営責任以外に、「法的責任」と「社会的責任」が求められます。
法的責任として、サイバー攻撃による情報漏えいやサービス等の停止による利用者の損害で、損害賠償責任や違反等の刑罰を科されることがあります。
社会的責任として、信頼関係の喪失や株主代表訴訟を提起されることもあり、企業だけでなく業界全体のイメージダウンに繋がる可能性があります。
つまり、経営者は情報セキュリティ対策の判断・行動に関わり、対策実施において内部の連携・推進を行うことも自身の職責に含まれています。
経営者として企業の情報セキュリティを安全に維持するために、明確な方針を示し自ら実行するか、セキュリティ担当者を指揮命令する事が求められています。
情報セキュリティ5か条
いきなり複雑な情報セキュリティ対策は難しいと思いますが、まずは企業規模や業種に関わらず対策するのが望ましい5項目があります。これらを確認項目として実施することを検討していきましょう。
経営者自ら情報セキュリティへの関心を社内に伝え状況を把握していく過程で、企業全体の情報セキュリティに関する意識が高まります。
1. OSやソフトウェアは常に最新の状態にしよう!
OS やソフトウェアを古いまま放置していると、セキュリティ上の問題点が解決されず、それを悪用したウイルスに感染してしまう危険性があります。お使いの OS やソフトウェアには、修正プログラムを適用する、または最新版を利用するようにしましょう。
2. ウイルス対策ソフトを導入しよう!
ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態になるようにしましょう。
3. パスワードを強化しよう!
米国セキュリティ企業の「ホームセキュリティヒーローズ(homesecurityheroes.com)」の専門家によると、サイバー攻撃グループはAIによるパスワード解析ツールを利用していると分析しています。
パスワードが推測や解析されたり、ウェブサービスから流出した ID・パスワードが悪用されたりすることで、不正にログインされる被害が増えています。パスワードは「長く」、「複雑に」、「使い回さない」ようにして強化しましょう。
対策するためには大文字小文字、数字、記号の組み合わせを最低10文字以上が必須と言われており、今後も技術向上により文字数は増えていく可能性が高く、文字数については定期的な見直しが必要です。
4. 共有設定を見直そう!
ウェブサービスやネットワーク機器のアクセス制限等を行う設定を誤ってしまい、第三者に情報を覗かれるトラブルから大きな被害に繋がることがあります。
クラウド事業者による設定ミスで、サービス障害が起こったニュースを耳にされた方もいると思います。
特にテレワーク等による外部から社内へのアクセスルートを確認し、アクセスするユーザーやアプリケーションの制限について、安全が維持できているか一度確認してみましょう。必要に応じてルールの見直しをしていく必要が出てくる事もあるでしょう。
5. 脅威や攻撃の手口を知ろう!
サイバー攻撃はとても複雑ですが、最初の入口はとてもシンプルな場合が多いです。取引先や関係者と偽ってマルウェア付メールを送付し誘導したり、正規のウェブサイトを改ざんして偽サイトに個人情報を入力させる等、巧妙な手口が増えていますので対策をしましょう。
サイバー攻撃は素早い対応が求められます。何かあった時、最初に何をしなければならないか明確にすることで、慌てることなく余裕をもって対応できます。
経営者が知っておくべき「3原則」
企業で情報セキュリティに関して、経営者が取り組むにあたって意識する「3原則」があります。経営者として管理者・担当者へ指示する前に実施する方針として参考にして頂ければと思います。
1. 情報セキュリティ対策は経営者のリーダーシップで進める
経営者はITの利活用において、従業員が安心して業務に取り組める環境を提供し、かつ、利便性が低下しないようリーダーシップを発揮します。情報セキュリティ対策は経営者が判断して意思決定することで、自社の事業内容や規模に合った情報セキュリティ対策を実施できると言えます。
2. 委託先の情報セキュリティ対策まで考慮する
業務で取り扱う重要な情報を外部に委託し業務を遂行する場合、委託先や取引先等の情報セキュリティ対策を考慮する必要があります。提供した情報が漏えいまたは改ざんされた場合、委託先の不備でも委託元の管理責任を問われることがあります。必要に応じて責任範囲や契約内容等を見直していきましょう。
3. 関係者とは常に情報セキュリティに関するコミュニケーションをとる
情報セキュリティ上の信頼を高めるためには、内外関係者に説明できるよう普段から経営者自身が理解し、発信しておくことが重要です。情報セキュリティの取組方針を関係者やHP等から伝えていくことで、緊急事態にも会社内外に必要以上に不安を与えることなく信頼関係が維持できるといえます。
「3原則」まとめ
経営者の責任は、企業成長だけでなく情報セキュリティ対策に関する「法的責任」「社会的責任」も含まれています。情報セキュリティ対策の重要性を理解し、自ら情報セキュリティに関する活動を続けることで内外関係者に対して信頼関係を維持することができます。
ご紹介した3原則を意識しながら、実際の活動内容への取り組みを見ていきましょう。
経営者として実行すべき「重要7項目」の取り組み
次に、経営者が情報セキュリティを構築・維持するための役割として、必要な「重要7項目」をご紹介します。実際は責任者・担当者に指示する場合が多いと思いますが、場合によっては、経営者自らが実行することも必要になると考えられます。
1. 情報セキュリティに関する企業全体の対応方針を定める
自社に適した情報セキュリティに関する基本方針を定め、HP等で宣言します。経営において最も懸念される事態は何かを明確にし、具体的な対策を促していきましょう。
2. 情報セキュリティ対策のための予算や人材を確保する
情報セキュリティ対策は専門性が高いため、必要な予算と担当者を確保する必要があります。必要に応じて外部サービスの利用も検討します。
3. 必要と考えられる対策を検討させて実行を指示する
懸念されるリスクを洗い出し優先順位を整理し、責任者・担当者に対策を検討させます。実施する対策内容やマニュアルは文書化することで説明等に役立つため、併せて指示します。
4. 情報セキュリティ対策に関し適宜見直しを指示する
「3.」の情報セキュリティ対策の実施状況を点検し「1.」の方針に沿って進んでいるか評価します。業務の利便性や顧客の期待の変化も踏まえ、基本方針も適宜見直します。
5. 緊急時の対応や復旧のための体制を整備する
緊急時の被害拡大や早期対応をするための体制を作り、復旧手順をあらかじめ作成することで適切な対応ができます。体制構築後は予定通り機能するか模擬訓練を行い、経営者のふるまいについても冷静で的確な対応が可能になります。
6. 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
委託先で自社と同等以上のセキュリティ対策が行われるよう、契約書内で責任範囲やセキュリティ対策について明記し合意していく必要があります。IT技術に詳しい人材がいない場合は外部サービス利用を検討し、自社のセキュリティ対策に合っているか担当者に指示する必要があります。
7. 情報セキュリティに関する最新動向を収集する
IT技術の進化により日々サイバー攻撃やセキュリティインシデントも複雑に変化しています。ベンダーや公的機関の最新情報を収集し、コミュニティへの参加を行い社内へ情報を共有します。
情報セキュリティ対策まとめ
企業で情報セキュリティを維持・管理するために、経営者は「3原則」を認識した上で、「重要7項目」の実行に責任を持つ必要があります。
よく耳にするISO規格にあるISMS(ISO 27001)やPマーク(JIS Q 15001)は、企業戦略において情報セキュリティガバナンスとして情報セキュリティに関する枠組みを示しており、「計画」「実行」「監査・評価」「改善」のサイクルを骨格としています。
本格的な情報セキュリティへの取り組みのために
日本パープルでは企業の情報セキュリティ課題に合わせて様々なセキュリティサービスを提供しております。今回は、柔軟に貴社の情報セキュリティへの課題対応をカスタマイズできる「Coach Mamoru(コーチマモル)」をご紹介します。
これまでに300社以上のコンサルティング実績を持ち、社内検討では発見しにくい課題やリスクの発見など、会社規模や事業計画に合わせて丁寧に提案・対応致します。
本記事を御覧いただいて、改めて自社の情報セキュリティリスクについて見直したい、セキュリティ対策に不安を感じるとお考えなら、日本パープルへぜひお問い合わせください。