ブログ

自分だけは大丈夫…なんてありえない!セキュリティ対策の必要性

菅原 輝之 菅原 輝之
2017-06-14 | セキュリティ

インターネットを安全に使うためにも、欠かせないのがセキュリティ対策です。特にビジネスの現場におけるセキュリティ事故は、ときとして経営危機など会社の存亡に関わります。これらのセキュリティ事故は企業のネットワークを狙い撃ちしたサイバー攻撃のほか、ITシャドーなどが原因で発生することもあります。情報漏洩やデータ消失などの被害を未然に防ぐためにも、ユーザー一人ひとりの意識改革が必要です。

何かあってからでは遅い!セキュリティ対策の必要性

プライベートでも、ビジネスでも、今やインターネットは我々にとって必要不可欠なインフラになっています。しかし中には、セキュリティ対策が不十分なまま、漫然と使い続けている人もいるのではないでしょうか。確かに、セキュリティソフトや法人向けクラウドといった、セキュリティ強化に役立つツールを使うためには、導入や運用に一定のコストがかかります。そのため導入を先延ばしにしたい気持ちはあるでしょう。しかし、ウイルス感染や情報漏洩などのセキュリティに関わるトラブルは、誰にでも起こりうるものです。たとえば、トレンドマイクロ社が発表した「法人組織におけるセキュリティ対策実態調査2016年版」によれば、調査に協力した1,375の民間企業・官公庁のうち、全体の約4割が2015年の1年間で、二次被害、三次被害を伴う深刻な被害に遭っており、その平均被害総額は2億円を超えるといいます。また個人でも、フィッシング詐欺によるクレジットカード情報の流出などインターネット関係の犯罪に巻き込まれる例は増加しています。これらのトラブルは、一度起こると取り返しのつかない事態を引き起こすこともあります。他人事ではない、という意識改革が必要です。

ビジネスの現場で起こりうる恐ろしい二次被害

ビジネスの現場で、万が一情報漏洩などのセキュリティ事故が発生してしまった場合、会社の存続にも関わるような重大な被害につながる可能性があります。機密情報が流出するといった直接的な被害の他に、恐ろしい二次被害、三次被害が発生することになるのです。ここではセキュリティ事故によって引き起こされる代表的な二次被害を紹介します。

・企業イメージ、ブランドイメージの低下
企業としての社会的な信用が損なわれ、業績に悪影響を与えます。

・顧客との関係の悪化
顧客の企業への信頼が損なわれ、顧客との関係が悪化する可能性があります。実際、顧客離れを招き、経営状態の悪化につながった例もあります。

・業務遂行に支障が出る
システムやサービスの停止、顧客対応などにより業務遂行に支障をきたします。製造業では、操業停止に追い込まれるケースもあります。

・賠償金の支払いや訴訟リスク
関係者への賠償金の支払い、あるいは訴訟リスクなどにより、金銭的な損害が発生します。

ビジネスの現場では、社員一人ひとりがセキュリティに対する意識を高めることが大切です。たった1人のミスで、会社全体に影響が出てしまうこともあるのです。

大したことないと思ったらとんでもないことに… ITシャドーはどれくらい?

ビジネスの現場で、問題視されているのがITシャドーの増加です。私物のデバイスや個人向けのクラウドサービスを会社の許可なく使ってしまう……というのは、意外にありがちなことですが、セキュリティ的には大きな問題があります。実際、ITシャドーの経験がある人はどれくらいいるのか、アンケート調査を実施しました。

【質問】
会社で使うモバイル機器やクラウドサービスが指定されているのに、私物のモバイル機器などを仕事で利用したことはありますか?

【回答結果】
ある:23名
ない:127名

調査地域:全国
調査対象:年齢不問・男女
調査期間:2017年02月24日~2017年03月01日
有効回答数:150サンプル

「ない」と答えた人のほうが多い?しかし、つい使ってしまった人も

幸いにも、「ない」と答えた人の方が多いという結果になりました。しかし、「本当はいけない」と思いながらも、つい使ってしまう人もいるようです。

・会社の指定のものは接続がわるく、自分のクラウドサービスを代用して使ったことがあります。(20代/男性)
・グレーな行為であることは自覚しているのですが、会社自体がそれを黙認している状態であったため、使っていました。複数の業務を回さねばならず、連絡をする際に私物のスマートフォンの方が便利だったためです。(40代/男性)

一方、「ない」と答えた人については、「会社で禁止されているから」、「トラブルがあったときに責任が取れないから」、「会社指定のサービスに不満がないから」などの理由があげられました。

・何かトラブルがあった際に、自分では責任が取れないから。(30代/男性)
・会社で指定されているクラウドサービスはセキュリティがしっかりしていて特に問題がないので、あえて私物の機器を利用して仕事をしたことはない。(40代/女性)

この調査を見る限り、多くの人がITシャドーの危険性を認識しているといえそうです。ただ「会社が黙認している」など、セキュリティ上心配な話も聞かれました。

ITシャドーは企業にとっては大きなセキュリティリスクになります。ただ社内のIT環境が整っていないなど、ITシャドーの誘惑に負けてしまいやすい環境があることも確かです。その場合には、代替サービスを用意するなど会社全体で改善を試みる必要があるでしょう。

認識の甘さが命取りにつながる!?ITシャドーの危険性

ITシャドーとは、チャットアプリやオンラインストレージなどの外部サービス、あるいは私物のデバイス(PCやスマホなど)を、社員が勝手に使うことを指します。個人向けに開発されたクラウドサービスやデバイスは、法人向けよりセキュリティが脆弱な傾向があるため、セキュリティ事故が発生しやすいと言われています。たとえばクラウドストレージで心配されるのが、情報漏洩です。クラウドストレージにはファイルの共有機能があり、ユーザー側でファイルの公開範囲を決めることができます。しかしサーバー側の障害により、この公開範囲設定がリセットされてしまい、誰でもファイルを見られるようになってしまうことがあるのです。またチャットアプリでありがちなのが、なりすましです。部外者が社内の人間になりすましてグループに参加してしまうと、そこから情報が外部に漏れてしまうことになります。このように、大きな問題がないように見えても、大きなトラブルを引き起こしかねないのがITシャドーです。甘い認識で手を出してしまうと、取り返しのつかないことになってしまうこともあります。私たち一人ひとりのセキュリティ意識が問われるところといえるでしょう。

ネットを使うなら……セキュリティ対策の必要性を意識して

インターネットを通じて提供されるサービスは便利なものですが、一方で利用にあたってはセキュリティ上のリスクが伴うのも事実です。プライベート、ビジネスといった利用場面に関係なく、ユーザー一人ひとりがセキュリティ対策の必要性を認識し、もしもの事態に正しく備えることが大切です。加えてビジネスの現場においては、個人の取り組みはもちろんのこと、ITシャドーの起こりづらい環境を整備するなどの社内ぐるみの取り組みも必要と言えるでしょう。

関連記事:
「あなたは大丈夫?ネットを使うなら知っておきたいセキュリティ対策」

ビジネスに特化。法人向けオンラインストレージ・ファイル共有サービス「Fleekdrive」の資料請求