企業が抱える問題 4

企業のかかえる問題の解決策

これまで三回にわたって、IT、特にセキュリティに関して企業がかかえる問題を見てきました。

事業規模、経営状況によって、企業がかかえる問題も千差万別です。
事業規模は小さいながらも多額の利益をあげている企業であれば、ますます会社を強くするために、IT投資に力をいれ、最新機器を取り揃え、スタッフにセキュリティ教育をほどこしたり、とり得る選択肢はいくらでもあります。その反面、事業規模は大きいものの、利益は小さい企業であれば、IT投資をやりたくてもできず、過去のパソコンやサーバーを出来る限り長く使い、セキュリティ事故や攻撃の被害にあわないことを祈ることしかできないかもしれません。

かかえている問題も、企業をとりまく状況も異なっているので、「これだけやればすべて解決」という万能策はありませんが、今のところもっとも費用対効果のよい対策は、従業員一人一人のセキュリティ意識を高めることです。

幸い、日本では政府が主導して、セキュリティ対策を強く推し進めようとしています。そのため、セキュリティ対策に関する情報は、深く新しい情報でさえも無料で手に入ることができます。

たとえば、IPA(独立行政法人 情報処理推進機構)のサイトに行けば、セキュリティ入門レベルの資料から、高度な資料まで、数限りなく情報が発信されています。「情報セキュリティ対策」のページに行けば、下記のようにIoTなど最近出てきた分野のセキュリティ情報まで豊富に取り揃えられています。

IPA(独立行政法人 情報処理推進機構)

情報セキュリティ対策

・日常における情報セキュリティ対策
・長期休暇における情報
・セキュリティ対策
・ウイルス対策
・不正アクセス対策
・脆弱性対策
・標的型サイバー攻撃対策
・IoT
・制御システム

企業において、各従業員にいきなり最高レベルのセキュリティ対策を求め、即座に理解させ、実行させるのは不可能です。

しかし、このサイトにある「日常における情報セキュリティ対策」であれば、それほどITリテラシーが高くない従業員でもすんなりと理解できるほど、簡潔にまとめられています。しかし、大事な内容ばかりです。「修正プログラムの適用」や「不審なメールの取り扱いの徹底」など、日頃からこれらの項目に注意を払っておくだけでも、大部分のセキュリティ事故や攻撃は防げます。

日常における情報セキュリティ対策

もちろん、業務に使う特殊なプログラムがインストールされたパソコンやサーバに対して、不用意に修正プログラムを適用すると、それらのプログラムが動かなくなったり、見慣れないエラーを吐き出すようになることはあるため避けるべきです。もし、特殊なプログラムがインストールされていないのであれば、積極的に修正プログラムを適用しておくべきです。

最近は、年に数回、日本の内外を問わず、大規模なセキュリティ事故や攻撃が発生し、ニュースや新聞を賑わせます。その度に、それらのケースを他山の石とし、「今回の××社のセキュリティ事故はこういうことが原因で起こった。我が社もいつ同様の事故を起こすかわからない。各自、日頃からこの点とこの点だけは、絶対に気をつけるように」とその都度従業員に注意喚起をしていくと、いつのまにか、従業員には最低限のセキュリティ知識がたまっていきます。

昨今のセキュリティ事故や攻撃の事例をみると、ごく基本的なセキュリティ知識を一通り身につけておくだけで防げた事例が多いです。よほど高度なまたは最先端のサイバー攻撃でなければ、これで十分です。よほど高度なサイバー攻撃とは、他国の軍隊のセキュリティ部隊が、軍事機密や企業秘密を盗むために高度なサイバー攻撃をしかけて来た場合です。一国を代表する智能が、国をあげてサイバー攻撃の手法を研究し、秘密裏に攻撃をしかけてきたら、守る側は相当厳重に守っていないと被害は免れません。

通常、これらのサイバー攻撃の標的とされる組織や団体は限られています。どこもかしこもこれらの攻撃にさらされるというわけではありません。サイバー攻撃をしかける側も、手当たり次第に攻撃すると、攻撃の手口を解析されたり、防衛されたりするので、軍事機密や企業秘密を盗もうとするほどの攻撃をしかける場合は、しかける側も慎重です。標的もピンポイントにしぼってきます。

最重要機密を取り扱っている組織や団体は、当然それ相応のセキュリティ対策をほどこしておくべきで、社内で対応できなければ、外部の専門業者に委託をしてでも琢策しておく必要があります。

このように、従業員のセキュリティ意識を高めるボトムアップの対策と、場合によっては外部のセキュリティ専門業者の力を借りてトップダウンの対策をほどこすことによって、セキュリティ事故や攻撃は十分解決可能です。