サイバー空間に潜む経営課題とリスク

世界中で新型コロナウィルス感染の脅威が高まる中、我々の生活や企業活動において様々な変化が日々起こっています。特に企業においてもテレワークなどを含めた働き方の抜本的な改革が進められていく中、セキュリティに対する取り組みにおいても時代にあった新しい対策が求められてきています。

このような大きな変化に確実に対応していくためには、経営層がリードをして、組織全体として取り組む動きが必要となります。経営課題として、セキュリティ対策にどのように取り組むことが求められるでしょうか。

新型コロナウィルス感染の流行と情報セキュリティ

昨今の新型コロナウィルスの流行と、それによる社会的混乱に乗じて様々なサイバー攻撃が世界中で活発化しています。グローバルセキュリティ企業のレポートでも、この混乱を利用した標的型攻撃によるマルウェアの拡散等が各地で確認されています。日本においても、マスクの無料配布をうたったフィッシングメールの送信など、生活者の不安につけこむ悪質な攻撃が多数報告されています。

また、感染拡大防止や活動自粛により業務形態にテレワークを取り入れる企業も増加しており、重要情報の取り扱い方法の管理や外部からの安全なアクセスなどのセキュリティ対策の必要性も急速に叫ばれています。
※テレワークの情報セキュリティ対策については別の記事で触れていますので、そちらも合わせてご覧ください。

このようなセキュリティリスクの放置により、万が一重要情報の漏洩事故などが起こった場合、高額な制裁金の支払いなどの直接的損害だけではなく、風評被害を含む企業価値やブランド価値の毀損など、社会活動を継続する上での重大なダメージを追うことになってしまいます。

海外の事例でも米 Facebook が個人情報の漏洩により 5,400 億円の制裁金を課されるなど、企業活動の存続に関わる金額の損害を被っています。

このような情報セキュリティにおける脅威が急速に高まる中、情報セキュリティはもはや IT 部門だけの課題ではなく、組織全体としての意識の改革をはじめ、CSIRT 体制の確立といった、経営層が取り組むべき経営課題となっているといえます。

経営課題における説明責任とリスク

こうした混乱の中、多くの日本企業が株主総会を控えています。企業の経営層には、経営課題や事業継続の観点から、社内外のステークホルダーに対し、これまでの経営におけるリスク対策に加え、情報セキュリティに対する取り組みについて透明性の証明や説明責任が求められます。

財務等の監査と同様に、情報セキュリティにおける監査や診断／検査については既存のシステムベンダーとは異なる第三者による客観的な実施が、先進的な企業において行われ始めてます。日本でも、セキュリティ監査に厳しい金融においては、マネックスグループが第三者による監査によるサイバーセキュリティ対策に取り組まれております。

また、企業内のシステムや体制におけるセキュリティ対策だけではなく、様々な情報がやり取りされる SNS、さらにはダークウェブなどにおける自社への攻撃予兆の検知や、機密情報やブランド等の不正利用の発見・阻止など、自社がコントロールできない環境における情報セキュリティ対策も必要になり始めています。

最近、実際に起きた事例としては、Zoom のユーザーアカウントの情報漏洩があります。オンラインビデオ会議ツール Zoom のユーザーアカウントが 50 万人分がダークウェブを通じて販売されていたと明らかになりました。

これらの原因は、すでに情報漏洩を起こしていた（盗まれた）アカウント情報をもとにしたクレデンシャルスタッフィングを利用した攻撃だといわれています。

※ クレデンシャルスタッフィングとは、他のサイトで情報漏洩を起こしていたデータをもとにした辞書攻撃のひとつです。

企業としては、ダークウェブに流出している情報を検知することによって、早期に問題に対する解決方法を検討することが可能となります。このスピード感が企業のリスクを最小限に留めることへと繋がります。

このように企業経営に対して、組織・体制における対策に加え、ダークウェブを含むサイバー空間における脅威に対しても対策が求められております。