中小企業サイバーセキュリティ対策関連の情報の備忘録

読者です 読者をやめる 読者になる 読者になる

CyberSec’s diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

IT化・デジタル化により業務の効率化・サービスの向上を図るために、セキュリティ対策を実施【私見】

■デジタルトランスフォーメーション時代の情報セキュリティ対策

●IT活用の必然性と情報セキュリティ対策の必要性

  • デジタルトランスフォーメーションとは、

    • 組織をデジタルの世界に移行させる変化
      • 旧態依然のサービスを捨てて、テクノロジーの進展と共に常に変化し続けるビジネス・モデルを受け入れる時代
    • 人やものがデジタルデータで直接繋がり、時空間の制約なく、「業種業態の枠を越えた」新たな仕組みを作り出せる時代の変化
      • 形を変革、再編成により、既存の事業にない「デジタルビジネス」が登場しつつある。
    • 「デジタル・トランスフォーメーション」によりサービス化、オープン化、ソーシャル化、スマート化の4つの大きな変化が生まれつつある。
    • 現代のデジタルネイティブなユーザをターゲットとしたビジネスモデルやビジネスプロセスの変革
  • デジタルトランスフォーメーションの効果、

    • 業界・業種を越えた企業が連携し、新たなビジネスやサービスを創出していく原動力となりつつある。
    • グローバルビジネスの世界に新たな競争原理をもたらそうとしている。
    • 中小企業において
      • デジタル化の進展を受入れ、それを活用して顧客との関係性強化を図る企業にとっては、大きなビジネスチャンスが到来している。
      • 柔軟にかつ大企業に先駆けて、デジタルトランスフォーメーションに対応していくことが、組織の発展につながる。
  • 今まで

    • これまで企業のITシステムは、業務、生産工程等を効率化して、経営を安定化させることに重きが置かれてきた。
    • 単なる効率化だけではビジネスの競争に勝ち残れない
    • 従来型のサービスはしばらくは継続できるかもしれないが、デジタルの未来に移行し始めなければ、もう生き残ることができない
    • 現在、必要とされているのがデジタルトランスフォーメーションによる大胆かつ、スピーディーな変革が発展への道
  • 今後

    • 従来から業務の改善のために情報化が進められてきたが、今後はDigital Transformation時代に、如何にIT、デジタル情報を戦略的に活用できるかが問われる
    • サービスの向上、サービスの継続、事業の効率化のために、デジタル化した情報をITによって利活用し、高付加価値の新たなサービスに変遷していく。
  • 情報セキュリティ対策の必要性

    • しかし、ITを活用してどんなに利便性の高いサービスを提供しても、どんなに業務を効率化しても、緊急事態(自然災害、大火災、感染症、テロ、セキュリティ侵害、、)が発生して、事業資産(人・もの(情報及び設備)・金)、社会的信用が失われ、早期復旧ができない場合は、事業の継続が困難になり、組織の存立さえも脅かされる可能性がある。
    • どんな緊急事態が発生しても、事業を継続できるようにする対策を明示しておくことが必要
    • 情報セキュリティ対策は、事業継続計画の一つ
    • サービスの向上を図るために、情報資産(保有情報(媒体に依らず)、情報機器、情報システム)に対する情報セキュリティ上のリスクを低減させる
    • ITを活用したサービスの構築・運用に掛かる費用は、経費ではなく先行投資。リスクに見合った情報セキュリティ対策は、サービスの構築・運用の中で実施すべき先行投資であり、緊急事態が発生した後に対処する経費として想定してはいけない
  • 情報システムの構築において

    • 即時性が要求されるサービスや提供するサービス内容の多様化・複雑化等に対応するために、業務手続の標準化と徹底した電子化の推進、情報セキュリティ上の要件を満たす前提での外部委託の活用、他業務業態のシステムとの連携等を検討する

●セキュリティ侵害の実態

  • 「個人情報漏えい」原因の比率上位5位(2013年 NPO日本ネットワーク協会)
    • ・誤操作34.9%
    • ・管理ミス32.3%
    • ・紛失・置忘れ14.3%
    • ・盗難5.5%
    • 不正アクセス4.7%
  • 個人情報漏えい媒体、経路(2013年 NPO日本ネットワーク協会)
    • ・紙媒体58.7%
    • ・USB等記憶媒体25.9%
    • ・電子メール5.5%
    • ・インターネット5.0%

●情報セキュリティ対策の必要性の認識が必要

  • 被害にあった場合、影響が如何に大きいかを認識する⇒事例に基づいた被害と対策の必要性の認識が必要。
      • セキュリティ侵害事象は対岸の火事ではない
      • 一度セキュリティ侵害を受けると、社会的信用、経済的被害により、事業継続が困難になる
  • ☆セキュリティ対策の目的は、

    • IT化、デジタル化は、業務の効率化、ITを使ったサービスの向上
      • どんな優れたサービスも、セキュリティに不安があるサービスは利用されない
    • ITを活用するために、セキュリティ対策を実施
    • セキュリティ侵害の影響を認識する
      • 機密性(個人情報、取引先の情報、知的財産)、預金残高
      • 完全性(Webページ、帳簿類)
      • 可用性(業務システム、サービスシステム)
    • 費用対効果を考える
      • 対策に要する費用と、侵害にあった場合の被害の大きさを比較する
        • 自動車任意保険、火災保険のようなもの。
        • また、自動車のレーダー探知機とかも⇒監視することにより抑止効果もあり
      • 守るべき資産に応じてリスクの高いものから優先的に対応することにより、少ないコストで大きな効果が得られる
        • どれだけ費用をかけて対策をしてもリスクは0にならない。
        • 最も大きなリスク要因は「人」であり、ルールの策定と遵守が最も効果が大きい
    • 事業継続の観点で
      • 経済的損失、社会的信用の喪失⇒事業存続、事業継続の危機

●システムをベンダーに任せて開発もしくは導入、運用している

  • セキュリティ対策を明確にした調達仕様書作成のスキル習得が必要

●効果的な情報セキュリティ対策の方法がわからない

  • 認識すること
    • 断片的な対策では、セキュリティホールはなくならない
    • 内部職員による故意もしくは過失によるセキュリティ侵害は全体の80%以上
    • どれだけお金を掛けても脆弱性はゼロにはならない
    • リスク(脅威×資産価値×脆弱性)の高いものから順次対策を講ずる
    •  
  • 守るべき情報資産を洗い出して、管理的、技術的、人的、物理的対策の個別の対策の検討方法をレクチャー⇒情報セキュリティマネジメントシステムISMS)に準拠した情報セキュリティ対策の考え方