個人情報保護法の施行をひかえ、いま情報セキュリティ対策が注目されている。情報マネージャとして、経営層をはじめとする全社の協力を得てセキュリティ対策を実施するにはどうすればいいのか?
セキュリティ対策、社内からどう協力を仰ぐ?
情報セキュリティ対策が大きな課題になっていますが、タテマエはともかくホンネではあまり積極的ではない経営者や情報セキュリティ対策を誤解している経営者もいます。
質問1では、情報セキュリティ対策の目的を誤認しています。情報セキュリティ対策は自社のためだけではなく、社会的責任なのだという認識がないと困ります。質問2では、そもそも情報システム部門の責任としたことに問題があります。「情報」セキュリティ対策だと考えて、情報システム部門を担当にしたのでしょうが、情報セキュリティ対策は全社的な継続的改善運動であり、経営者自身が先頭に立って推進しなければなりません。
まず、質問1にお答えします。道義論と損得論の両方から説得しましょう。
「当社の情報など他社には価値はあるまい。その保護対策にカネを掛けるのはムダだ」
自動車を運転するには運転免許を持ち定期整備や始業点検をすることが義務付けられています。それは自動車事故を起こすと、自分が困るからというよりも、他人に損害を与える危険があるからです。インターネットに機器を接続するのは、公道に自動車を乗り入れるようなものです。すなわち適切な情報セキュリティ対策を講じることは、社会的責任なのです。
ウイルスの伝染基地にされる
情報セキュリティ対策が不十分だと、パソコンがウイルスに感染する危険があります。すると、そのパソコンから第三者へウイルスの付いた電子メールを自動的に転送します。すなわち、ウイルスの伝染を手助けすることになるのです。Webサイトの改ざんも話題になっていますが、そのサイトをアクセスするとウイルスに侵入されたり、個人情報を不正に収集されるように書き換えられたりすることもあります。
DoS攻撃の踏み台に
あるサイトに大量のメールを送り付けることにより、そのサイトの本来のサービスをできなくする攻撃DoS(Denial of Service Attack)攻撃といいます。銀行強盗をするには盗難車を用いるのが定石なように、ハッカー(*)は自分のパソコンから直接に攻撃するのではなく、あらかじめ情報セキュリティ対策の甘い多くのサイトにウイルスを潜入させておき、ハッカーの指示により一斉に目標のサイトへ大量のメールを発信させます。このようにされたサイトを踏み台といいますが、攻撃されたサイトからは踏み台が攻撃してきたように見えます。
このように、ハッカーにとっては、あなたの会社の情報などには関心はないのです。それよりも、あなたのサーバを加害者の一味にさせてウイルス伝染の媒体にしたりDoS攻撃の踏み台にしたりして利用したいのです。
* 「ハッカーとは、高度な情報技術にマニアックな人のことで、反社会的な行動などには無縁などころか、情報技術の発展に貢献しているのだ。ウイルス開発や不正アクセスをするような連中はクラッカーでありハッカーではない」のだそうです。しかし、ハッカーという言葉がまん延しているので、ここではハッカーとしておきます。
「ウチのような中小企業はそんな社会的責任まで負わなくてもよかろう」
このような経営者には、「情報セキュリティ対策を怠ると取引ができなくなるぞ」と脅かしましょう。
自社のネットワークには取引先に関するデータもあります。個人情報の漏えいが話題になっていますが、対象が個人でなく企業だとしても、販売価格や購入条件などが漏えいしたら相手企業に大きな迷惑が掛かります。直接に迷惑が掛からなくても、信用を失って取引に影響するかもしれません。自社のコンピュータにある情報は、自社の持ち物ではなく、他者の秘密を預かっているのだと考えましょう。
最近は、大企業やオンライン取引をする企業では、ISMS(Information Security Management System)認定マークやプライバシーマークを取得しようとする動きが活発になっています。それらの企業と取引をするときには、情報セキュリティ対策の実施が求められるようになりましょう。逆にいえば、情報セキュリティ対策をしていることが、取引拡大につながるかもしれません。
Copyright © ITmedia, Inc. All Rights Reserved.