在宅勤務は危険？　情報流出サイバーリスクに備える

あらゆるモノがインターネットに繋がる現代は、「IoT (Internet of Things)」の時代であると言われています。スマートフォンも普及し、今では検索や道案内、SNSやゲーム、支払いに至るまで、ありとあらゆる事が出来るようになりました。

このようなIT技術の発展と、日本政府が2016年から取り組み始めた「働き方改革」により、我々の働く環境は変化してきています。しかし、ここ僅か２，３ヶ月で「働き方」は急激に変化しています。

2019年から発生した新型コロナウイルス「COVID-19」。

2020年の2月に国内初感染が判明して以降、日本国内だけでなく世界全体で感染者数、死亡者数が増加していることは皆様ご存知の通りです。

飲食店等の自粛も多く、テレワークを勧める企業も急速に増えています。それに伴い、テレビ会議用のマイクやヘッドホン、Wi-Fiルーターが売れており、品薄状態が続いているようです。

 

そんな在宅勤務で不安視されているのが、自宅のWi-Fi環境下で業務を行った際にコンピューターウイルス感染や顧客情報含む個人情報が流出してしまう危険性です。

会社から持ち帰ったパソコンで、監視の目がないために仕事と関係ないネットサーフィンをしてしまう可能性もあります。危険性が伴っていることを認識するべきです。

 

また、ネットワークの遮断や誤作動が生じた場合などの事業停止による利益の損失リスクや、取引先への賠償リスクなども孕んでいます。

万が一、個人情報が流出やハッキングによるサイバー攻撃に合ってしまった場合、どうすれば良いのでしょうか。

 

あなたの会社では対策は取っていますか？

企業としては、どのような対策を行っていけば良いのでしょうか。

何と４社に１社の中小企業の社長は対策をしていないと回答しています。

そして２社に１社がサイバー攻撃は関係ないと認識しています。

しかし、中小企業の５社に１社は被害を受けたことがあるという現実があります。

 

・情報セキュリティ事件・事故の発生要因

情報セキュリティ事故の発生要因は、「内部要因(ヒューマンエラー)」と「外部要因(サイバー攻撃)」に分けられ、近年では「外部要因(サイバー攻撃)」によるものが増加しています。

標的型メール攻撃やランサムウェアが台頭してきており、これら要因への対策は決して怠ることは出来ません。

 

2019年のデータでは、日本国内での情報セキュリティ事件・事故発生原因は以下のようになっています。

１位　電子メール、郵便物等の誤送信、誤配信　２９．４％

２位　情報機器、外部記憶媒体の紛失、置き忘れ、棄損　２２．６％

３位　マルウェア感染　２２．５％

４位　システム設定ミス、誤操作　１９．８％

５位　標的型メール攻撃　１７．９％

*出典：NRIセキュアテクノロジーズ「企業における情報セキュリティ実態調査2019」

 

ここで注目したいのが発生原因の60％は内部要因という事です！

（上位５原因のうち、６０％が内部要因となっています）

海外で見てみると、内部要因は１０～２０％となっており、外的要因の方が多いことが分かっています。

２０１２年のロンドン五輪、２０１６年のリオ五輪でも、サイバー攻撃が相当数あったようです。世界が注目するイベントで攻撃をすることは、大きなアピールになるからですね。

先日１年間の延期が決まった東京オリンピックを控えている日本も、今後このような外的要因による情報セキュリティ事件・事故が増えてくることが大いに予想されます。

 

情報漏洩による国内損害例

・外部からの不正アクセスにより、自治体が管理していたWebサイトから約６７万件ものクレジットカード情報が流出した。

→　約１ヶ月半のサイト停止

 

・外部からの不正アクセスにより、小売店の持つ約４２万件の個人情報及び約５万６，０００件のクレジットカード情報が流出した。

→オンラインショップの全サービス停止

 

・外部からの不正アクセスにより、食品製造販売を行う会社の持つ約８万３，０００件の個人情報及び約４万４，０００件のクレジットカード情報が流出した。

→当該サイトで取り扱っていた商品のネット販売の中止

 

大切なのは、事故発生の後にどのように行動するか

このような情報セキュリティ事件・事故に対して、完璧に防ぐ術はないとされています。

攻撃を受けたあと、または事故を発生させたあと、いかに被害を最小限に抑えるか、可能な範囲で業務継続し、いかに早く元の状態に戻すのか、そのような姿勢を取引先はじめ各関係者に示す事が重要です。そうでないと顧客の信頼は失われ大手取引先からの取引が止まる可能性があります。

 

その処理の行動次第で、世間の評価は大きく左右されます。

 

事件事故発生後の原因調査、影響調査はどうするのか。

自社の利益損害はどうするのか。

被害者へのお見舞金やお見舞品はどうするのか。

サイバー保険はこのような事後の対応もしてくれるのです。

 

３社に２社の経営者様がサイバー保険は全く知らないと回答しています。

 

これからの時代に起こりうる情報漏洩、ネットワークの使用不能、データの損壊等のサイバーセキュリティ事件事故により、第三者から損害賠償を請求された場合や、その際の喪失利益に備える事は、情報システムに関する有効なリスクマネジメントの１つと言えます。

経済産業省の「サイバーセキュリティ経営ガイドライン」においてもあるように、企業の規模に関わらず、企業にはサイバーリスクへの対応が今求められています。

 

まとめ

・情報セキュリティ事件・事故のあと、どのような対応をするのかが大切。

・サイバー攻撃の現状を理解した上で、適切な対策を行って下さい。