「情報セキュリティ事故は大企業のもの」という思い込み
もしもあなたが情報システム部門の担当者や社内のIT関係を任される立場だったとして、上司や経営層から「うちの情報セキュリティ対策は大丈夫なんだろうね」と問われたとき、どのように答えるだろうか。
ウイルス対策ソフトの導入や定期的な更新、ファイアウォールの設定、添付ファイルの暗号化など、様々な対策を施しているなら「きちんとやっている」自負はあるはずだ。しかし、それで万全か?と問われて「完璧です」と胸を張って言える人は実際のところ少ないのではないだろうか。
なぜなら現在の情報セキュリティの対策は多方面にわたり、対応すべき脅威も続々と増えているからだ。数年前の対策で今のリスクに対応できるのか、今は何に最も注目しなければいけないのか。それを追うだけでも精一杯だ。
標的型攻撃メールや内部不正による情報漏えい、ランサムウエアによるシステム停止などの被害、ビジネスメール詐欺(BEC)などによる金銭的な被害のように、情報セキュリティリスクは間違いなく存在し、形を変えて増えている。
例えばNPO法人の日本ネットワークセキュリティ協会の調査では、2016年の個人情報漏えいのインシデント件数は前年比320件減の468件だった(2016年情報セキュリティインシデントに関する調査報告書)。それがニュースの沈静化につながり、あたかも安全になったかのような印象を与えているが、必ずしも実態を示しているとは言えない。
特に中小企業レベルの、規模が少ない情報漏えい事故についての公表が減少していることが要因の1つとして考えられ、より大規模な情報漏えい事故だけが目につくようになったと見ることができる。そうした状況のもとで報道を見ているだけだと「情報セキュリティ事故は大企業のものだ」と感じてしまいがちだ。
しかし、企業規模にかかわらず脅威は襲ってくる。決して対岸の火事ではない。
事実、独立行政法人情報処理推進機構(IPA)では、中小企業における情報セキュリティ対策に関する実態調査を実施しており、この2016年度の報告書を見ると「中小企業だから安全」とは言えない実態が浮かび上がる。