情報セキュリティの必要性
企業の情報資産は日に日に価値が高まっています。経営の三要素(ヒト・モノ・カネ)に情報が加わってからまだ日が浅いですが、今やパソコンやインターネット無くして生活や事業は成り立たなくなっています。
企業や組織には、重要な営業機密に関する情報や、顧客、社員などの個人情報など、多くの個人情報が保管されています。その為、企業や組織のシステムに不具合が生じ、サービスが停止してしまうことで、社会的に大きな影響を与えてしまう場合があります。また、企業が情報漏洩を行ってしまう事により、社会的な信用失墜による取引停止や営業機会の損失など企業のブランドイメージ低下に繋がってしまいます。
特に業務において、情報の価値は実際に利用しているユーザ以上に価値があるとされており、例えばネットバンキングやワンクリック詐欺といった金銭的な被害に遭うケースも急増しています。その一方で悪意をもった者が外部から不正にアクセスして情報を盗み取ったり、パソコン内のデータを破壊するウイルスを仕組んだりすることもあります。
特にデータを暗号化して開けなくするランサムウェア(身代金ウイルス)などは一度感染したらデータを復旧するのは極めて困難とされているため、企業にとって最も脅威だとされています。
企業にとって顧客情報や社員のマイナンバー、給与に関する経理情報など、企業や組織が厳重に管理しなければいけない情報は時代と共に多くなってきております。
情報漏洩による影響
業務の停止
社内の基幹システムが停止してしまうと、最悪の場合、業務自体が停止してしまうこともあります。特にランサムウェアに感染してしまうとデータを暗号化されてしまい、ファイルが開けなくなってしまったり、社内データが紛失してしまう恐れがある為、業務の再開が困難になってしまいます。その間に顧客が競合他社の製品導入やサービスに移動してしまい、販売機会を失ってしまう事になります。
情報流出
顧客情報や社員情報などの重要な機密情報の漏洩は企業や組織の競争力低下や社会的な信頼を大きく損なう事に繋がります。ウイルス感染や社員による不正な情報の持ち出し、または、記録媒体の紛失など、様々な原因で、多くの組織で情報漏洩が実際に発生しています。
特にウイルス感染による情報漏洩は、大きく分類すると、PC内に保存されている情報が外部の特定のサイトに送信されて起こる場合と、インターネット上に情報が広く公開され、事態の収拾が困難になる場合があります。ウイルスによって漏洩する情報は、ユーザIDやパスワード、パソコン内にあるファイルや社内メール、デスクトップの画像など、幅広くあります。情報漏洩を引き起こすタイプのウイルスには、利用者がキーボードで入力した情報を記録するキーロガーや、パソコン内に記録されている情報を外部に送信するスパイウェアと呼ばれるものなどがあります。この様なウイルスが感染パソコンにしていたとしても、画面上には何の変化も起こらないように見えてしまう場合が多く、利用者はウイルスに感染している事に気が付きません。
なお、漏洩した情報がインターネットに掲載され、公開されてしまった場合は、その情報をネットワーク上から完全に消去することは非常に困難です。
万が一、企業や組織が保有する個人情報を流出させてしまった場合、損害賠償や訴訟、行政指導などの大きな問題にまで発展する可能性もあります。また、企業のブランドイメージを大きく低下させる事になり、顧客離れによる売上低下など、経営に大きな影響が出る可能性があります。
知らない間に加害者になってしまう危険性
企業や組織のホームページが何者かに改ざんされてしまうというニュースが近年目立つようになってきました。インターネット上の企業の顔でもある、ホームページの改ざんは、企業イメージの損失に繋がります。さらに、ウイルスを埋め込まれてしまった場合には、ホームページへアクセスした訪問者に対してウイルス感染をさせてしまう事にも繋がり、知らない間に被害者の側から加害者になってしまう場合もあります。
これらのケースは、企業や組織としての情報セキュリティ対策不足を露にする事になり、取引先からの信頼低下による取引停止、風評被害による、企業活動への悪影響や現在はSNSが非常に発達している為、SNSや掲示板上への書き込みによる企業のイメージ低下に大きく繋がってしまいます。
ウイルス感染が引き起こす知らない間に加害者になるケース
パソコンのウイルス感染は、上記で述べたような様々なトラブルの原因になります。特に、ウイルスは、既に感染したパソコンを使って、ウイルス自身を複製して他のパソコンに感染を広げます。ウイルスに感染してしまうと、利用者が気付かない所で迷惑メールの送信やバックドアを仕掛けられて不正アクセスの踏み台にされ、知らない間に他者のパソコンを攻撃してしまっていたりする事があります。
踏み台とは、ウイルス感染により自分がボットネットの一員となってしまう事をいいます。ボットネットとは、攻撃者によって制御を奪われたパソコンやサーバの集まりの事を指し、数千~数十万というネットワークから構成されていることもあります。攻撃者がボットに一斉に指令を送ると、外部の他の組織に対して大規模なDDoS攻撃を行ったり、不正アクセスやスパムメールを送信してしまったりする事になります。
このように、ウイルス感染の被害に遭うと、知らない間に攻撃者の一員として利用されてしまうこともあるのです。
結果的に顧客や取引先に大きな損害を与えてしまい、社会的な非難を浴びたり、損害賠償請求を受ける可能性もあります。
情報漏洩による企業の信用失墜
企業を取り巻く様々な脅威に対して、企業は関係する法律を遵守しつつ、十分な情報セキュリティ対策を施す必要があります。
特に、情報セキュリティ対策を疎かにしてしまうと企業のビジネスチャンスを逃してしまう事にも繋がります。情報セキュリティ対策は、経営者が率先して、取り組む必要があり、この様なリスクが、組織規模に関係なくどのような組織にも存在していることを認識し、これらのリスクを可能な限り軽減するために、会社全体として情報セキュリティ対策に取り組む必要があります。
万が一、個人情報流出や顧客情報の紛失など情報セキュリティに関する事故、或いは法令違反を生じさせてしまうと、企業にとって大きな経営的打撃を受ける事になります。
特に以下の事が想定されます。
・損害賠償 ・行政指導 ・株価の暴落 ・取引停止 ・ネット上への書き込みによる企業の社会的信用低下 ・風評被害 ・企業のブランド力低下 ・営業機会の紛失 ・従業員の不平不満やモラル低下
企業や組織の幹部は、組織に適切な情報セキュリティ対策を導入する必要があります。