2014年はハッキングなどのセキュリティに関連した事件が個人と企業を問わず、いくつも発生した。年末のソニー米国子会社「Sony Pictures Entetainment(SPE)」を襲った大規模攻撃もその一つだ。
だが、この問題を対岸の火事として見てはいけない。VentureBeatが「ソニーのハッキング事件からすべての企業が学ぶべき教訓4つ(原題:4 lessons your business should learn from the Sony hack)」として、企業にアドバイスしている。
SPEに対する攻撃では電子メール、給与情報、社会保障番号、未公開の映画の脚本などが流出したと言われている。これは、企業をターゲットとしたサイバー攻撃として規模・深刻さの双方で類を見ないレベルといえる。
記事でも「電子的に交わされた私的なやりとりは、文脈、それに関係する人物の個人的な理解を必要とするもので、企業だけではなく個人の名誉にもダメージを与えかねない」と事の重大さを強調している。では、4つの教訓とは何か、早速見てみよう。
ハッキングはどの企業にも起こりうる
「自分たちはソニーのように知られた企業ではないから大丈夫」と思っているのであれば、その考え方を改めた方が良い。
SPEのデータセキュリティに対するアプローチは9割の企業でも防げないという見解があり、更に今回の攻撃が契機となって、同じような手法で脆弱性を突く攻撃が増える可能性もある。
もし自社の従業員が日常的に、企業の戦略や財務に関する機密情報をメールでやりとりしていて、暗号化などのセキュリティ対策をしっかり講じていないというのであれば、積極的に見直すべきだろう。
人は面倒くさがり、セキュリティをシンプルに
データセキュリティはシンプルに。
まずは、暗号化されていない電子メールやSMSで、重要な情報やクレジットカード番号のやりとりを行わないと決めておこう。
次に考えるべきは、"安全な手法"が簡単に利用できるかどうかだ。いくら安全であっても複雑な手続きを必要としたり、操作を求められる場合に社員はその仕組み、機能を使おうとしないだろう。
リスクをしっかり伝え、シンプルな方法で安全なやりとりができるように整備しておきたい。
エンタープライズも若者を倣ってメッセージをすぐに削除
米国のデジタルネイティブの若年層は「Snapchat」「Wickr」など、やりとりがすぐに削除されるサービスを利用している。こうした文化を見習い、ビジネスユーザーも導入してみてはいかがだろうか。
特にBYOD(私用端末の業務での利用)ユーザーは関心を寄せて損はない。今後はセキュリティを最大の目的に、企業向けの「すぐに消去されるメッセージシステム」が充実してくる可能性があると記事で指摘している。
電子メールシステムのバックアップを
SPEではハッキング発生直後、従業員が電子メールにアクセスできない状態に数日間陥っていた。
この間は電話とFaxを利用していたというが、効率が落ちていたことは想像に難くない。
ハッキングだけではなく、自然災害など様々な要因から電子メールシステムが機能しなくなる可能性がある。
万が一を想定して対策を講じておこう。