セキュリティ投資を説明(説得)する言葉まとめ
今回の記事は何かと渋られがちなセキュリティ投資を進めるべく、説明(説得)する方法をいろいろとまとめました。
大前提として、そのセキュリティ投資は組織にとって有用であり、経営を圧迫するほどの費用が決して発生するわけではなく、情シス部門としては是非とも導入したい、という状況を想定しています。
ひたすら説得材料を書きなぐっただけの記事ですが、役に立つものが1つでもみつかると幸いです。
一般的な説明材料
経営者はセキュリティ投資に対してこんなことを発言してくると想定して対応をまとめました。
費用対効果ある?
投資に対する効果は必ずしも金銭とは限りません。例えばお金をかけて家の玄関に鍵をつけ、鍵を閉めるという手間をかけているのは”盗難リスクを減らす”という効果を享受しており、また安心して外出できるという効果もあります。
同じようにセキュリティ投資はサイバー攻撃の被害リスクを減らし、安全安心な事業運営環境を整備するという多大な効果をもたらしてくれます。
適切なリスク管理がされない場合に関係者に発生した損害は、その関係者(顧客、株主等)から損害賠償請求という形で返ってきますが、サイバー攻撃のリスク対応も重要項目に含まれることが経産省のガイドライン(グループ・ガバナンス・システムに関する実務指針)に明記されています。
近年は調達要件の中に”サイバーセキュリティ”が含まれることが増えており、セキュリティの確保ができていないと失注する場合もあります。見方によってはセキュリティ投資は営業受注活動の一環でもあります。
セキュリティを強化することにはこれだけの効果が見込めるのです。
それ儲かるの?
確かにセキュリティ投資は利益に直結しないかもしれません。しかし事業運営に情報システムが深く関わっている以上は、その情報システムの動作が脅かされることは事業運営が脅かされることと同義です。
もし1日システム(=事業活動)が停止するといくらの損失になるでしょう。
たとえ直接的に利益につながらない投資であっても、お金をかけることはあるはずです。
そういった投資こそが事業活動を円滑に動かすことを実現し、最終的には利益につなげることができます。
セキュリティ投資にもそのような側面は存在します。
企業組織に限らず、日常生活で私たちはインターネットを利用していますが、安心してインターネットにPCやスマホを接続できるのはセキュリティがあるからです。
もしセキュリティが無ければ、世界中のどこからデータを盗み見られるか分からない恐怖を抱えながらスマホを使うことになりますが、そんな恐怖を受け入れることはできずにスマホを投げ出すでしょう。
このスマホのように私たち組織の事業活動を投げ捨てることはできないのですし、投げ捨てるわけにはいきません。
それはまさしく、「儲ける」という行為そのものの放棄と言えるでしょうし、放棄しないためにセキュリティは必要なのです。
なんでそんなものいるの?
セキュリティ対策はITが発達した現代において必須のリスク管理です。
サイバー攻撃の被害や影響範囲は自組織にとどまりません。サービスを提供している顧客、組織内で働く従業員、果ては全く取引実績のない外部組織に影響することもあります。
つまりサイバー攻撃は社会的に大きな影響を与えかねない、社会的問題であり一組織の問題ではないのです。
かつての高度経済成長期では社会的責任を重視せず利潤追求をした結果、公害という社会問題が生じました。その影響は組織の従業員や取引先とは全く関係のない、一般住人にまで影響がありました。
サイバー攻撃も似たような側面があり、セキュリティ対策をおろそかにした組織のIT基盤を踏み台にされて社会に被害を生じさせることがあります。
このような社会問題に社会の一員として対応することが必要なのです(適切な対策をしなかったときの賠償請求云々は前述のとおり)。
そもそも被害にあう確率どれぐらい?
まず社会的な状況として、ITの発達に伴いサイバー攻撃の量や質は向上しています。
サイバー攻撃の一手段であるフィッシングの件数は確実に増加(2022年3月報告件数は2021年4月の約1.9倍:フィッシング対策協議会2022年3月月次報告)しています。
サイバー攻撃の絶対数が増加する現状において、さらに悪いことにセキュリティの弱い組織ほど攻撃の対象になり被害発生につながりやすいです。
コンピュータウィルスが情報セキュリティの脅威と感じている組織は80%程度(2021年度中小企業における情報セキュリティ対策の実態調査報告書)という統計があり、多くの企業がセキュリティ強化の必要性を感じるようになっています。
このような世間の流れに従わずにセキュリティ対策強化を放置した場合、サイバー攻撃の矛先はセキュリティの穴である我々により集中しやすくなります。
サイバー攻撃の数と質が増加+あらゆる組織でセキュリティ対策強化
この状況でセキュリティ強化をしないことは、サイバー攻撃の被害発生を高確率なものにしてしまうことは間違いありません。
製品別の説明材料
ここから先は具体的な製品別に使える説明材料をまとめました。
ウィルス対策ソフト(エンドポイント)を導入したい
ウィルス対策は昨今の世の中では常識です。IPAの実施したアンケート(2021年度中小企業における情報セキュリティ対策の実態調査報告書)によれば、ウィルス対策ソフトを導入している企業の割合は80%前後です。
この数値は現代においてウィルス対策ソフトが導入されていることは基本的なセキュリティ施策に該当します。
このような社会の流れにあってウィルス対策ソフトが導入されていないことは、事業運営において適切なリスク管理ができていないことにあたる可能性があります。
もしウィルス対策ソフトを導入せずに発生したサイバー攻撃による生じる損害は、その損害を被った関係者から損害賠償請求の対象になりかねません。
また、基本的な対策ができていない環境をサイバー犯罪者は容易に標的とします。サイバー攻撃を防ぐことも難しいため、その攻撃が成功する確率も格段に高い状況です。
このようなリスクを最適化するためにもウィルス対策ソフトの導入は必須です。
EDR(Endpoint Detection and Response)を導入したい
迅速なマルウェア感染の確認と封じ込めはその後の対応を大きく変化させます。
もし感染PC1台を早期発見して封じ込めに成功すれば、事業への影響は最小限で済みますし調査も1台のPCだけやれば大丈夫です。影響範囲の特定も速やかに進み、顧客・株主・管理監督省庁・利害関係者への報告も最小限で済みます。
ところが、早期発見に失敗、さらには封じ込めできずに複数端末に感染が拡大すると事業への影響は確実となります。
また、影響範囲の把握をするだけで多額の費用(PC1台調査で100万円ともいわれる)が発生し、挙句の果てには漏洩情報の把握ができないために「漏洩件数うん百万件」だとか「何が漏洩したのかわかりません」と説明せざるを得なくなるかもしれません。
そうなると会社ブランドの失墜のみならず損害賠償請求を受けたり株価の下落を招く可能性があります。
そういったリスクを回避するためにこそEDRは重要なのです。
SOC(Security Operation Center)/CSIRT(Computer Security Incident Response Team)サービスを契約したい
EDRと話は深く関連しますが、迅速な感染把握と封じ込めの対応はとても重要です。
ところが、迅速で適切な対応をするためには日々の練習や準備、専門的な知識や社内体制の維持運営が不可欠です。
もし、今の組織体制でEDRの感染アラートが上がっても適切に対処できず、感染拡大を阻止できないかもしれません。
そこで日々専門的な教育や実践を積んでいる対応のプロフェッショナルに依頼することで、質の高いインシデント対応を実現します。
仮にこのサービスを契約しないのであれば、サイバー攻撃の対応は全て自組織でやらねばなりません。
それは感染PCの調査や隔離だけではありません。関係機関への連絡、プレスリリースや情報公開の準備手続き、法務・訴訟対応、被害者への連絡、再発防止策の構築などなど、これらすべての対応です。
そしてこれら全ての実施判断を経営者がしなければなりません。その時に質の高い判断材料が提示できることは経営側の立場でも決して無用の長物とはならないでしょう。
だからこそSOC/CSIRTはサービスとして契約すべきなのです。
資産管理システムを導入したい
セキュリティ強化を進めるとき、まず大事なことは「守るべき対象がどこにどれぐらいあるのか」を把握することです。
PCがどの部署に何台あるのかはExcelやお手製台帳の手作業でなんとかなりますが、それ以上の情報収集は手作業ではなく自動的に収集しなければ管理不可能です。
例えば、従業員がPCにどんなソフトウェアをインストールしていてどのように利用しているか具体的に把握していますか?従業員が何も知らずにインターネットから不正にライセンス料を支払わず有料ソフトを利用しているかもしれません。
もしそのようなことがあった場合、ソフトウェア発売元からライセンス不正利用として損害賠償請求を受ける可能性があります。
そして、この損害賠償責任は従業員ではなく従業員を使用する組織が負うことが明記(使用者責任:民法715条)されています。
このような事態を未然に防ぐためにも資産管理システムは必要なのです。
MDM(Mobile Device Management)/MAM(Mobile Application Management)を導入したい
スマホなどのモバイルデバイスは日常生活だけでなく会社の事業運営にも活用できます。
しかし適切に管理できずに情報漏洩を起こしてしまった場合、様々な対応を迫られることになります。
個人情報の漏洩懸念がある場合、個人情報保護委員会への届け出が必須になりました(2022年4月改正個人情報保護法)。また、JNSAの調査によると個人情報漏洩による損害賠償の試算は6億円という情報もあります(2018年情報セキュリティインシデントに関する調査報告書(速報版))。
特にモバイルデバイスは持ち運びが容易な分、紛失や盗難のリスクが格段に高いです。従業員が車や電車にスマホを置き忘れる姿は容易に想像ができるでしょう。紛失だけではなく盗難に遭うリスクもあります。
もし、MDM/MAMを導入していて紛失発覚後すぐに遠隔でロックやデータ消去ができれば、これらの対応をしなくてもよいのです。
リスク最適化の手段としては非常に有効なものであると考えられます。
参考文献
- グループ・ガバナンス・システムに関する実務指針(経済産業省)
- フィッシング報告状況2022年3月月次報告(フィッシング対策協議会)
- 2021年度中小企業における情報セキュリティ対策の実態調査報告書(情報処理推進機構(IPA))
- 2018年情報セキュリティインシデントに関する調査報告書(日本ネットワークセキュリティ協会)
- インシデント損害額調査レポート(日本ネットワークセキュリティ協会)
- 事例に学ぶサイバーセキュリティ(増島雅和、蔦大輔 著)
- サイバーセキュリティ法務(サイバーセキュリティ法務研究会 著)