情報セキュリティ検討で重要なのは「リスクの最小化」という発想

(写真=Thinkstock/Getty Images)


さまざまな「情報漏洩事件」の元凶

このところ、毎日のように情報漏洩絡みのニュースが報道されている。大規模な顧客情報流出で話題になったベネッセ <9783> の事例は周知のとおりだが、JAL <9271> の顧客情報流出事件をはじめ、遠隔操作でパソコンの操作内容や保存されたデータを盗み出すスパイウェアに感染してしまっていたという被害も複数報道されている。

また、東ガス <9531> が委託先企業におけるUSBメモリ2本の紛失を公表しており、社外に持ち出しを許可しているパソコンを置き忘れる可能性も当然あり、情報漏洩事故が発生する原因もさまざまだ。


企業存続にも影響しかねない情報漏えい事故の破壊力

情報漏洩が企業に与えるダメージは計りしれない。いったん情報漏えい事故が発生してしまったり、情報窃盗の被害に遭ってIDやパスワードが流出してしまったりした場合には、被害も甚大だ。直接的には、顧客な被害に対する損害賠償を行わなければならず、加えて、情報セキュリティを強化するためのシステム改善費用も当然、必要になる。

さらには、企業の社会的な評判や取引先からの信用の失墜を防ぐための広報活動を展開しなければならず、膨大な費用がかかることも必至だ。ともすれば、企業の存続問題にまで発展しかねない。

たとえばベネッセは、補償費用200億円など計260億円の特別損失を計上し、2015年3月期 第3四半期の連結業績(2014年4月1日~12月31日)の純利益は前年同期比82.2%減の36億4,600万円にまで減少した。しかしこれは、あくまでも「現時点では」の話であり、ブランドイメージの毀損や顧客流出は長い目でみて企業にとってより大きな打撃となる可能性も考えなければならない。


困難なITセキュリティ対策の投資効果判断

企業を評価する上で、ITセキュリティ対策への取り組み姿勢を重視しなければならないのは当然で、過不足な情報セキュリティ対策を行うのは容易ではない。なぜなら、情報漏洩のリスクを定量的に捉えるには、困難がつきまとうからだ。

さらには、情報セキュリティ対策のための投資が売上げの増大や業務効率の向上に直接寄与するわけでもなく、社内でコスト部門だと認識されかねない側面もある。転じて、システム部門に費用対効果の説得力を期待するのには無理があるだろう。

別の言い方をすれば、ITセキュリティに関する限り、一般的なリスク分析手法は適切ではないのだ。つまり、守るべき資産の価値や、それを脅かす要因の発生頻度、脆弱性、想定損失額などの定量的な把握を試みるという従来のやり方を見直す必要があるといえるだろう。


まずは手元でできる対策の実施を

こうした決して小さくはない問題であるにも関わらず、とられるべき対策が取られていないことさえある。例えば、株式公開を目前に控えた企業が、すでに公式なメンテナンスが終了したマイクロソフトのWindows XPをいまだに使用していたり、オペレーターによるタイピングミスを防ぐため、2重入力をデフォルトにし、さらに専用のツールを導入していることさえあるという。こうした、現場に無用な神経と作業を強いるケースも多い。

実際にこうした事例が数多く見られる作業現場からは、定量的な分析以前の、「セキュリティに対する企業姿勢そのもの」に対する疑念しか生まれてこない。

したがって、企業の情報セキュリティ対策を経営問題として検討する時に重要なのは、リスク最小化を実現できる環境となっているかということだ。いたずらに費用対効果分析にコストをかけることは、当然であるべき環境実現のための投資においては無用な浪費なのではないだろうか。「これだけは安全のために不可欠」という要素について、考えなければいけない時代なのである。(ZUU online 編集部)

【関連記事】
「いい副作用」を生むファシリテーション・ブレストの3つの条件とは?
閣議決定した「残業代ゼロ」法案、導入目的と問題点
今年はゆうちょやLINEの株も購入可能?直近2年で勝率82%以上の「IPO株」とは
手元資金300万円で1,000万円の融資を成功させた、スモールビジネスのM&Aプラットフォームを目指す
上場へ再申請!時価総額1兆円か?LINEのIPO株を最速で手に入れるには?