サイバー攻撃が増え続けている。しかし、中小・中堅企業では「うちのような規模では狙われない」という意識を持つ経営者層や情報セキュリティ担当者もいるのではないだろうか。それに対し、「企業の大小に関わらず、きっちり対策を取らないといけない」と警鐘を鳴らすのは日本デジタルトランスフォーメーション推進協会(以下、JDX) セキュリティ部会 部会長の白水公康氏だ。
2月25日~27日に開催された「TECH+フォーラム セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」に同氏が登壇。「DX推進におけるセキュリティ戦略のポイント」と題して、講演を行った。
DXの推進には情報セキュリティ対策が不可欠
白水氏はまず、情報セキュリティのCIA(機密性、完全性、可用性)の3要素について説明しつつ、忘れられがちだという可用性、つまり「止まってはいけない」ことは大きな要素だと強調した。
では、情報セキュリティを考えるうえで欠かせない守るべき資産とは何か。一般的に守るべき資産というと、顧客の個人情報に目が行きがちだが、実は他にも留意すべき情報があるという。例えば、従業員の情報や、特許情報や新技術の提携に関するNDA(機密保持契約)などの技術情報、さらには事業計画やIR(Investor Relations)関連など事業情報にも注意が必要だ。
「何を、どれくらいの量、どういったかたちで保有しているのかを、あらかじめ理解しておくことがとても重要です」(白水氏)
事故が起きた際の被害は「予想以上に大きい」と同氏は言う。まず一次被害のうち直接被害、事故による逸失利益やランサムウェア攻撃で可用性が失われた場合の機会損失がある。間接被害では、被害者であっても情報漏えいさせた加害者となるため、謝罪をはじめとする対応に迫られる。また、攻撃で事業が停止した場合は調査や復旧のための費用が必要となる。
二次被害では、ブランド力や顧客/取引先からの信用低下による事業への影響、事故に関係していない社員のモチベーション低下、漏えいした情報を使用した事件が発生した場合の賠償などがある。
-
サイバー攻撃による被害の例
このような事態に陥っては、DXを進めることもままならない。
「DXを推進していくベースとして、セキュリティの担保が必要なのです」(白水氏)
「狙われるのは大手」「守るべき資産はない」などの思い込みは通用しない
JDXでは中小・中堅企業を対象にセキュリティに関するセミナーを開催している。白水氏はセミナーでの印象として、「うちは狙われないだろう」「狙われるのは大手だ」「うちには守るべき資産などない」といった考えが、経営者層のみならず、セキュリティ担当者にも見受けられると語る。さらに、「セキュリティ対策を導入しても売上につながらない」「投資ではなくコスト」だという見方をする人もいるそうだ。
Oracleが顧客情報流出を認める、データは古いが認証情報を含む
