かつて、クラウドはセキュリティが大きな問題だといわれた時期がありましたが、それは誤解だという理解が広まってきました。自社で取り得る対策の質と量に比べて、大きなクラウドサービスを提供している企業のほうがはるかに強固なセキュリティ対策を講じていることが明らかになったからです。特に資金と人材に関しては、及ぶべくもありません。
しかし、だからといってクラウドサービスに任せきりにしてよいということではありません。また、従来の自社サーバーで運用する部分が残る場合も多いでしょう。日々、攻撃されるリスクに備えて予防的に対策を取らなければいけませんし、実際に被害が起これば、秒単位で早急に感知し、被害を最小にしなければならないことは言うまでもありません。
まず自社のパソコン、サーバーの点検、使用するクラウドサービスの対策状況、人的側面など、さまざまな観点から確認してみましょう。
1.ITの普及とコモディティー化に伴うリスクの高まり
これまでのセキュリティ対策とは、各人が保有するパソコンにウイルス対策ソフトをインストールし、パターンファイルを更新することでした。しかし、今の被害はパソコンごとに対策をとることでは防止できません。マルウエア、なりすましなど、もはや興味本位の愉快犯ではなく、多様なアタックを通じてID、パスワード、銀行やクレジットカードなどの個人の重要な情報を取得し、経済的な損失をもたらす組織犯罪になっています。
スマートフォンでSNSを閲覧するときや、電子マネーで買い物をするときなど、私たちは生活の中で多くの時間、ネットワークに接しています。ビジネスや企業経営においても、ITは不可欠な要素です。もはや、パソコンで対応できる時代ではなく、国を挙げて世界の犯罪組織と戦う時代になったのです。
技術革新により情報処理能力は格段に進歩し、また専門家でなくてもITを簡単に使うことができるようになりました。企業規模や業種を問わず、ITをうまく活用すれば業務の効率化、顧客サービスの向上により、経営成果を高めることが可能になりました。特に、中小企業にとっては、大きなビジネスチャンスの機会となっています。
しかし、技術革新の進化、適用範囲の拡大において、ITを適切に導入し管理することがますます難しくなっています。まず、次のような事故や障害を紹介しましょう。
(1)個人情報を含むUSBの紛失
ある一般財団法人が、最近、個人情報578件を保存したUSBメモリーを事業所内で紛失したことを明らかにしました。紛失したUSBメモリーには、センターの利用者578人に関する氏名や住所など、個人情報が保存されていました。同センターでは対象となる関係者には書面を送付して、事情を説明しました。
(2)Web不正アクセスによる情報流出
海外ブランドのある服飾雑貨販売業者は、そのオンラインショップが不正アクセスを受け、クレジットカード情報2万2544件が流出したことを明らかにしました。セキュリティ情報も含まれていました。何日間も攻撃され続け、サーバーへの侵入を許し、顧客のクレジットカード情報を取得されました。
クレジットカード決済代行会社よりカード情報が流出した可能性があると指摘を受け、サイトを停止して調査を行ったところ、はじめて情報流出が判明しました。各クレジットカード会社に不正利用のモニタリングを依頼し、利用者に対しても、カードの利用明細を確認して身に覚えのない取引があった場合は連絡するよう呼びかけました。
このような事故や障害は情報セキュリティ事故と呼ばれています。事故を起こした企業は顧客や取引先の信頼を失い、膨大な損失をこうむる可能性があります。当然、事業を続けられなくなったり、最悪の場合、存亡の危機に至るというケースもあるのです。