お役立ち情報 大企業が生き残るための情報セキュリティマネジメント戦略
情報セキュリティ対策は、重要な経営課題
企業が保有している「情報資産の価値」とは、すなわち「企業の価値」そのものです。企業が情報資産を失うということは、情報資産だけでなく、多くの資金や時間といったコスト、また社会的信用も含めた「企業の価値」を将来に渡って失うことにつながります。情報セキュリティ対策は、事業存続に直結する重要な経営課題なのです。
ただ多くの企業において、情報セキュリティ対策はコストや人的リソースの問題、従業員の知識や危機感不足、セキュリティルールの欠如、複数のセキュリティソリューションの統合の困難さなど、様々な理由で後回しにされているケースが数多く見受けられます。しかし、情報セキュリティに対する対策不足や意識の欠如は、将来に渡って大きなリスクや損害となり得ることに注意しなければなりません。
日本の大企業は、サイバー攻撃者にとって格好の標的
NRIセキュアテクノロジーズが公開した「企業における情報セキュリティ実態調査2022」によると、CISO(最高情報セキュリティー責任者)を設置している企業の割合は、米国やオーストラリアが96%以上であるのに対して、日本は40%以下にとどまっているというデータがあります。
これはグローバルな視点で見た場合、 日本企業は海外企業と比較して「情報セキュリティ対策への意識や対策レベルが低い」ことを意味します。つまり、日本企業は国内外の悪意のあるサイバー攻撃者にとっては、格好の標的となっているのです。
また、IPA(独立行政法人情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威2023」によると、上位トップ5は下記のとおりです。
- ランサムウェアによる被害
- サプライチェーンの弱点を悪用した攻撃
- 標的型攻撃による機密情報の窃取
- 内部不正による情報漏えい
- テレワーク等のニューノーマルな働き方を狙った攻撃
「内部不正による情報漏えい」以外は、すべて「外部からの悪意のあるサイバー攻撃者」による脅威であるということが大きな特徴として挙げられます。また、その攻撃手法も特徴的です。これまでは、不特定多数の企業を対象として、ウイルスやマルウェア等をばらまくといった、無差別的な攻撃手法が多数を占めていました。
しかし最近は、明らかに大企業や関連会社をターゲットに定め、 その脆弱性を入念に調査し、効果的かつ巧妙な手段で攻撃を仕掛ける「ターゲットを定めた攻撃手法」が主流となっています。
- ランサムウェア
- 身代金や機密情報窃取の目的
- サプライチェーン攻撃
- グループ会社や関連会社の脆弱性を狙った攻撃
- 標的型攻撃
- 機密情報窃取の目的
- テレワーク等のニューノーマルな働き方を狙った攻撃
- 本社以外のセキュリティの脆弱性を狙った攻撃
これらの調査結果からも、日本企業、特に多くの従業員や関連会社を擁する大企業がサイバー攻撃者にとって格好の標的となっているといえるでしょう。
大企業が生き残るための情報セキュリティマネジメント戦略とは?
大企業がこれらの大きな脅威から生き残っていくために、検討したい情報セキュリティマネジメント戦略を見ていきましょう。
1. 包括的かつ専門的視点からの情報セキュリティマネジメント体制の構築
これは例えば、情報システムやIT統括部門、内部統制部門など、一部のセクションに権限を与えれば解決できる単純な問題ではありません。なぜなら、部分的な知識・経験から情報セキュリティ対策を実施しても、対策としては極めて不十分だからです。
経営層、管理層、社員、パート・アルバイトなどのスタッフも含めた人的資源の把握、各業務フローの理解、顕在的リスクだけでなく潜在的リスクまで考慮したリスクアセスメント、さらには、関連会社等のサプライチェーンも含めた、包括的かつ専門的な視点から情報セキュリティマネジメント体制を構築する必要があります。
2. 様々な変化にも柔軟に対応可能な情報セキュリティルールの構築
ポストコロナ時代において、ビジネスルールやスタイルの変化、DX の波、ワークスタイルの変化、法改正対応など、 企業は常に様々な変化に柔軟に対応しなければなりません。
遵守されていない情報セキュリティルールは、そのままリスクとして残ります。様々な変化にも柔軟に対応可能な情報セキュリティルールの構築が重要になります。
3. 情報セキュリティ人材の育成
日本の大多数の企業が抱える情報セキュリティ課題として、以下の3つが挙げられます。
- 人的リソースの不足
- 社内教育レベルの格差
- 情報セキュリティに関する包括的な情報・知識不足
これらはすなわち、情報セキュリティ人材の不足といえるでしょう。そもそも情報セキュリティに対する最新かつ十分な知識や経験がない状態で対策を実施しても、部分的・限定的な効果しか得られません。
例えば、監視や侵入検知システム等のツールをとりあえず導入するといった一時的な対応しかできていない企業が数多く見受けられます。確かに、これらのツール導入も有効な方法ではありますが、部分的な対策を実施しても、他の部分で情報セキュリティリスクが残っていた場合、そこから情報資産が漏えいする可能性があります。
長期的な視点で考えた場合、最も効果的な情報セキュリティ対策は、情報セキュリティに関する十分な知識と経験を持った人材が、 各業務の運用状況やリスクを精査・分析しながら地道に対策を進めていくことです。
そして、これらの人材には、情報セキュリティマネジメントの推進について、責任を持って全社的に推進していく実行力とリーダーシップが必要となります。会社全体を巻き込みながらルールや運用等を変えていく機会が数多く発生しますので、時には抵抗に遭ったり、異議を唱えられるケースも発生しますが、そのような場合でも、情報セキュリティ対策の必要性や根拠を提示し、周囲を説得しながらプロジェクトを推進できる人材の育成が必要となります。
4. 外部コンサルタントの活用
情報セキュリティ対策は、将来どんなにテクノロジーが発達しても、最終的には「人がすべて」です。人がルールを策定し、人がルールを運用します。また、その運用状況を人がチェックし、人が改善します。情報資産の漏えいや紛失といった事故も人の悪意やミスによって引き起こされます。様々なシステムやツールは対策のための手段や選択肢に過ぎません。
「人を理解し、管理し、育てていくこと」が、大企業が生き残るために必要な情報セキュリティマネジメント戦略なのです。
しかし、そのようなビジョンやノウハウを持った人材を採用したり、自社で育成するのは難しい側面もあります。もし、すぐに見つからない場合は、知見が豊富な外部コンサルタントを活用することも検討しましょう。
まとめ
今回は、大企業が生き残るための情報セキュリティマネジメント戦略をテーマに、大企業が抱えるリスクや検討すべき事項を見てきました。
情報資産の価値=企業価値を損なわないためには、様々な時代やテクノロジーの変化にあわせて柔軟に情報セキュリティ体制やルールをアップデートしていく必要があります。そのために、情報セキュリティの知識・経験はもちろん、自社事業や業務についての深い理解とプロジェクト推進力を兼ね備えた人材の確保が必須となります。
LRM株式会社では、ISMS/ISO27001認証取得コンサルティングをはじめとした情報セキュリティ体制構築支援を行っています。高い専門性と豊富な実績をもとに、各組織の実態に合わせたルール・運用を提案し、社内に浸透しやすい「現場で活きるセキュリティ」を提供します。ISMS認証取得をご検討されている方や自社の情報セキュリティ運用にお悩みの方は、お気軽にご相談ください。