インターネットを使用して情報を管理する限り、セキュリティリスクがゼロになることはありません。不正アクセスを許して情報漏えいやWebサイト改ざんなどのトラブルを起こさず、リスクマネジメントを重要視し、重要情報を管理・保護することは社会的責務となっているのです。このコラムでは、Webセキュリティの重要性について紹介します。
目次
不正アクセスを受けないためのセキュリティ対策が必要
企業の大小や個人に関わらず、インターネットを使わずにビジネスが成立しない時代です。そんな中、従業員が300名以下の中小企業はwebセキュリティに対するリスクマネジメントが十分に行われていないと言われています。従業員に対して、セキュリティ対策の必要性を教育する機会を設けられない、情報管理に強い管理者を配置できないなど、中小企業にとって負担が大きいと言える対策がおろそかになっているのです。webサイトの暗号化を行っていればセキュリティ対策は万全だなどと判断するのは大変危険ですし、ウイルス対策ソフトの導入を実施していないケースや、セキュリティーポリシーに関しても取りまとめられていないケースもあるとされています。
企業や組織が取り扱う重要情報をあらゆる脅威からどのように保護し、どのような体制で情報資産を取り扱うのかをセキュリティーポリシーを作成して従業員に運用させるのはリスクマネジメントにおいて重要です。適切に情報管理を行う重要性を理解した上で、webセキュリティを強固にして紛失事故や漏えい事故を未然に防ぐことは、ビジネスに関わる全ての人や企業・組織が取り組まなければならない責任と言えます。プログラムの脆弱性やウイルス感染などに気付かず漏えい事故が起きれば、社会的責務を果たさない会社だと思われても仕方ありません。万が一、不正アクセスなどでセキュリティリスクが生じた場合、企業や組織が直接的に受ける損失は多くあるでしょう。
プログラムやwebサイトの改ざんなどが起きれば、業務が停止するだけでなく、webサイトの閉鎖やメールの送受信を停止する必要性があります。webサイトを通じて多くの情報を得ることがビジネスに不可欠な現代で、営業活動ができなくなるような損失は企業や組織にとって大きな損害です。当然ながら、修復にかかる時間や費用は大きく、業務効率が下がるだけでなく従業員の過重労働へつながりかねません。働き方が重要視される時代に、社員の不平や不満は組織や企業のブランディングを低下させるリスクにもなるでしょう。業務が滞り、社会的信頼が損なわれることで、売り上げや株価が下がり、企業や組織そのものが破滅する重大な危険性があるのです。
情報漏えい事故が持つリスクの大きさとは
組織や企業内の情報だけでなく、取引先企業や顧客の重要情報が漏えいした場合、情報漏えい事故による間接的被害が甚大となるリスクが大きくなります。さまざまな事業では、海外やライバル企業との競争を生き抜くために、取引先企業や顧客と多くの重要情報を提供し合い、各企業や組織が持つ役割を担うことで総合力を強化している時代です。このため、各企業や組織が持つ重要情報は、互いに厳守するのがビジネスにおいて大前提で、個人情報や技術情報などの機密情報を提供した相手企業や組織に対して、秘密厳守や情報の適切な管理を求めなければなりませんし、逆に求められてもいます。
ブランドイメージの低下
例えば、機密情報の保管や利用だけでなく、データの廃棄をする際に消去する手順や取り扱い方を決定した上で、サーバーへのアクセス制限や制御を行い内部漏洩を防ぐなどの対策ができているかを確認する。また、他社のデータを取り扱う社員に情報の厳守を徹底し、万が一漏えい事故が起きた際の報告は迅速に行うなどの項目を、データの共有をする企業間で明確にするのが大切です。このように、企業間で取り交わして決定したリスクマネジメントの強化をおろそかにして、悪意のある攻撃を受けたり、不正アクセスを受けたりして機密情報が漏えいした場合は、企業や組織の信用性やブランドイメージは低下します。
訴訟や損害賠償の請求
加えて、データの漏えいによる被害者に対して謝罪をし、損害賠償を支払う必要もあるでしょう。漏えい事故により、顧客や取引先企業・組織から取引の停止や縮小を迫られるケースも考えられます。企業や組織の規模や、漏えいした機密情報の種類、漏えい事故の大きさによっては、行政指導を受けた上で事業免許のはく奪にもつながりかねません。当然ながら、行政指導を受ける間は業務を停止する必要もあり、売り上げやマーケットシェアの低下は免れないでしょう。
更に、webセキュリティをおろそかにして不正アクセスを受けた企業や組織は、自らが他社を攻撃する加害者となるリスクもはらんでいます。攻撃者に乗っ取られたネットワークの一部となってブランドの毀損や恐喝などを目的とするDoS攻撃を行ってしまい、web上で展開されているさまざまなサービスを使用不可にしてしまったり、関係先企業へ悪意あるソフトウェアやコードに感染したデータやメールを送信することで、相手企業へマルウェアやウイルスの感染を拡大してしまったりするケースは少なくありません。本当に悪いのは攻撃者で、企業側が攻撃するつもりがなかったと言っても通用しませんし、顧客や取引先企業が受ける被害は甚大になり、訴訟や損害賠償の請求などにつながってしまいます。
実際にあった不正アクセスによる漏えい事故とは
webセキュリティは、企業や組織が損害を受けず事業を展開し続けるために重要だと言えます。
2011年 大手電機メーカーで7700万件の顧客情報漏洩
実際にあった情報漏えい事故には、2011年に大手電機メーカーで7700万件に上る顧客情報に関するデータが漏えいした事件がありました。国際的なハッカー集団によるサイバー攻撃が原因ですが、攻撃を受けた原因はシステムの脆弱性を放置したことです。ブランディングの毀損を恐れて漏えい事故の情報公開に踏み切るまで時間がかかり、世界中から大きな批判を受けるに至りました。漏えい事故によって出た被害額は2兆円を超えるとニュースにもなった大きな事件です。
新聞社が運営するオンラインストアでクレジットカード情報の漏洩
新聞社の展開するオンラインストアで、2018年に顧客のクレジットカード情報が漏えいしたトラブルも起きています。オンラインストアの運営管理を委託した会社が管理するサーバーが、不正ファイルによってプログラム改ざんの被害を受けたのに加えて、データーベースへの不正アクセスを許しました。プログラムの改ざんによって、オンラインストアでクレジットカードを利用する顧客を偽物の決済画面へアクセスさせ、カード情報を不正に取得させたほか、不正アクセスによって顧客の個人情報が漏えいした可能性が高いと言われた事件です。
カード情報が盗まれた被害者数は2,481人で、個人情報漏えいの被害者数は会員登録をした98,852人と、会員登録をしないで商品を購入した人と問い合わせフォームを利用した82,848人です。クレジットカード情報を不正取得されていたことをクレジットカード決済代行会社によって報告を受けてwebサイトの停止に踏み切りました。第三者調査会社に依頼して情報漏えいの調査を行うなどの速やかな対応がされましたが、一度流出した情報がいつ悪用されるかは予測できません。
webセキュリティーは責任を持って行うべき
個人情報や機密情報を正しく管理し、他者へ漏えいさせないために、webセキュリティーは企業や組織が責任を持って強化するべきです。インターネットの普及でビジネスにおける利便性は高くなりましたが、サイバー攻撃の危険性も年々高くなりつつあります。セキュリティーにかかるコストや手間は企業にとってリスクにもなりますが、トラブルが起きてから出る被害は更に甚大です。
サイバー攻撃を可視化・遮断する「攻撃遮断くん」
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
