記事番号:T00113405
【今回のご質問】
質問:DXを進める上で情報セキュリティについて知りたいです。
回答:情報セキュリティを楽しく解説いたします。
2つの脅威
デジタル化が進む中で情報の安全性をどう守ってゆくかは企業課題です。その脅威を「外的な脅威」と「内的な脅威」に分けて考えましょう。
外的な脅威
外的な脅威は組織外部から発生する脅威です。例えばサイバー攻撃者が社内ネットワークに侵入しようとしたり、ウイルスやマルウェア(コンピュータやネットワークに侵入して悪影響を及ぼすプログラムの総称)がシステムに感染しようとします。そのため外部からの攻撃や不正アクセスに対する防御が必要です。
大手通信プロバイダーではインターネットから社内ネットワークへの攻撃を予防するサービスを提供しています。例えば社外のインターネットと社内ネットワークを隔てるルーター機器は情報セキュリティの重要な役割を果たします。
内的な脅威
内的な脅威は組織内部から発生する脅威です。社員や出入り業者が意図的または誤って情報を漏えいさせたり、セキュリティポリシーを無視したりすることが想定されます。対処するため適切なアクセス権限の管理や社内教育が重要です。
例えば時折メディアでは、社員が機密情報を持ち出して移籍先の会社から有利な就職条件を引き出したり、闇サイトで販売していた報道があります。これらは本人に明らかに悪意があったケースですが、実際には報道されない悪意のないケースの方が多いのです。
例えば不注意により有害メールの添付ファイルを開いてしまったり、社員同士が外食中に顧客の営業機密を話したところを偶然にも顧客企業の幹部に聞かれて取引が破綻したという話もあります。
サイバー攻撃者の目的
さて彼らの目的は何でしょうか?国家への攻撃では情報撹乱や機密情報窃取、政治的主張などが挙げられます。企業への攻撃の目的は概ね「情報漏えい」と「金銭要求」です。
例えば、個人情報漏えいの場合には、取得した情報を売りさばいて儲けたり、企業のイメージダウンを謀って株価を操作することもあります。
ランサムウェアを使った金銭要求は極めて直接的な手口です。貴方のパスワードを勝手に変更して重要な情報へアクセス出来ないようにします。パスワードを教える代わりに金銭を要求されます。ところが金銭を支払ったからといってパスワードを教えてもらえる保証はありません。
2022年の日本の調査では直近1年以内にサイバー攻撃を受けた可能性のある企業(公官庁も含む)は、24%とのデータがあります。この数字は攻撃を受けたことに気付いた企業数ですので、攻撃に気付かない企業も無数にあるのでしょう。
宇都宮武則
台湾のコンサルティングファーム初のISO27001(情報セキュリティ管理の国際資格)を取得しております。情報を扱うサービスだからこそ、お客様の大切な情報を高い情報管理手法に則りお預かりいたします。
ワイズコンサルティンググループ
威志企管顧問股份有限公司
Y's consulting.co.,ltd
中華民国台北市中正区襄陽路9号8F
TEL:+886-2-2381-9711
FAX:+886-2-2381-9722