「情報セキュリティは投資対効果が少ないから、売れない。」
これは、情報セキュリティソリューションを販売している者たちがよく言う言葉です。(日本でも海外でも同じです)
一方買い手の立場で考えると、問題が起こらない限り『無駄な投資』になります。
インシデントがないのであれば、、、、、
確かに、情報漏洩などインシデントが全くなければ情報セキュリティに投資する必要性はないです。
しかしながら、インターネットに接続していないPC/タブレット/モバイル機器はほとんどないです。
直接はつながっていなくっても、間接的につながっています。たとえば、インターネットに接続していないLinuxサーバーであっても、アップデートはインターネット経由で提供されているはずです。
すでにインシデントが発生している可能性情報セキュリティインシデントはすでに起こっているが、単純に気づいていないということは案外あると思います。小規模の情報漏洩の場合は被害者が気づかないことが考えれれます。
例えば、ある教育機関の情報漏洩事件では、その企業の顧客がライバル企業からDMが送られてきたと指摘があり、その問い合わせが多くなったことから発覚しました。
この事例から被害が大規模に報告されたから、全容解明ができたことがわかります。逆に被害が小さければ、攻撃に気づかず、なんら状況が改善せずにその結果より重大なインシデントが発生します。
情報セキュリティ対策の必要性について
情報セキュリティインシデントが発生した場合、大きなペナルティが課されます。
近年起こったカドカワのランサムウェアの被害では対応するために多額の費用が発生したことは想像できます。
カドカワのホームページで対応したことが確認できます。
ランサムウェア攻撃による情報漏洩に関するお知らせ | KADOKAWA
一旦このようなことが発生すると対策費用だけでなく企業イメージも大幅に下がり被害額は多額になるため、対応策はよくよく考える必要があります。
- リスクの認識:
インターネットに接続しているデバイスは、直接的であれ間接的であれ、常に脅威にさらされています。気づかないうちに情報漏洩が起こりえます。 - 事例の教訓:
これらの事例からもわかるように、情報漏洩やランサムウェア攻撃は企業に多大な損害を与えます。これには金銭的な損失だけでなく、企業の信頼性やブランドイメージの低下も含まれます。 - 法的・規制的なペナルティ:
情報漏洩が発生した場合、法的な罰則や規制当局からのペナルティが課されることがあります。これにより、さらに大きなコストが発生します。
まずは考えたいこと
セキュリティ対策を考えるときにインターネットや書籍を調べるといっていることはもっともなのですが、なにから考えればいいかわからなくなる方は多いと思います。
そのため、セキュリティ対策を考える上では見方を変えることが重要だと考えます。
セキュリティ対策ソリューションでは、大きく3つのカテゴリーに分けることができます。
- セキュリティ強度を上げる製品
アンチウィルス製品は利便性がとくに上がるわけではないですがインターネットに接続している場合、必要なものです。主に動作を制限するので利便性が下がることが多いです。 - 利便性をあげなおかつセキュリティ対策になる製品
シングルサインオン導入により、パスワードの使いまわしによるパスワード漏洩のリスクを最小化します。ユーザーはいちいちログイン情報を入力することないので利便性が向上します。それに付け加えセキュリティ対策を同時が同時に行えます。 - システム監視製品
対策は万全にしているつもりでも、気づかないうちにセキュリティインシデントが発生している可能性があります。そのためログの確認が必要になります。ログの分析と問題発生を検知した時の通知を行います。
全てのカテゴリーが重要だと考えられますが、どのカテゴリーに力を入れて導入するかは組織の規模や業種ごとに変わります。また使用する機器によっても異なります。
たとえば個人情報などの秘密を全く扱わない端末に対して、多くのセキュリティ・ソリューションを導入することはあまり意味がないです。この場合は乗っ取られや紛失時のデータ漏洩を防止するために、まずはUEM (Unified Endpoint Management )製品の導入から検討を開始するのがいいかもしれません。
クラウドについて
セキュリティを考えるうえでクラウドサービスの利用も考えてみてもいいかもしれません。オンプレミス環境の場合はセキュリティ対策をする必要がありますが、大手のクラウドサービスでは間違いなくセキュリティ対策は行われています。
クラウドサービス自体に問題が発生する可能性がないとは言い切れませんが、企業規模が小さくセキュリティに対して積極的な投資ができない場合は素直にクラウドサービスを利用するほうが安全でなおかつ運用費用を節約できます。
実際に弊社で扱っているベンダーによるクラウド提供は増えております。
クラウドを選択することは一般的になっていると感じます。
まとめ
情報セキュリティ対策に対する投資は、経営的な視点で見るとインシデントが発生しない限り投資対効果が高いとは考える人は少ないでしょう。
しかし、現代のデジタル社会では、インシデントが発生するリスクは常に存在し、予防的な対策が重要です。
なぜなら、インターネットに接続している以上、いつでも、どこからでも攻撃され情報が盗まれるリスクがあるからです。たとえ高額な予算をセキュリティ対策に費やしてもリスクが0になることはないからです。
リスクの認識、事例の教訓、法的・規制的なペナルティを考慮し、適切なセキュリティ対策を講じることが企業の持続可能な成長と信頼性を支える鍵となります。
クラウドサービスの利用も視野に入れて、組織のニーズに応じたセキュリティ対策を検討し、実施することが必要です。