[中部圏特集・セキュリティ] セキュリティ重要さ増すIT機器安全運用 社会のデジタル化さらに加速
■最近の動向/マルウエアだけでなく、設定不備や知識不足もリスクに
昨年度はデータを暗号化し利用できなくするだけでなく「公開されたくなければ身代金を払え」と要求するランサム(脅迫)ウェアや、マルウェア(悪意あるプログラム)の感染・拡散を行う「Emotet(エモテット)」が猛威を振るった。
また、普及が進むクラウドサービスでユーザーの設定不備を攻撃され、情報の盗難にあうなど、知識不足がトラブルにつながる事例も多かった。
■取り組み/公開ガイドラインで具体的な対策を推進
セキュリティ事故が顧客や取引先に大きな影響をもたらした場合、事業継続リスクに発展する可能性もある。そのためにも、対策費用の確保や体制構築、人材育成、継続的な教育も欠かせない。
IPA(情報処理推進機構)や経済産業省などは、中小企業がセキュリティに取り組みやすいよう具体的な取り組み項目をガイドラインとして公開している。まずは、こうしたガイドラインに沿って対策を進めていくのが賢明だろう。
また、サイバーセキュリティを対象にした保険も一般的になってきた。被害額の補てんだけではなく、再発防止支援などのサービスを含む商品もある。
■組織・人材/トップをはじめ、全社的な取り組みが必要
ますます高度化が予想されるサイバー犯罪だが、対策に特効薬はない。まず最低限取り組むべき、情報機器の把握やウイルス対策ソフトの活用、インターネット接続口での防御など設備面の対策と、社員教育や啓発、セキュリティ情報の収集と共有など人材面の対策を、公開されているガイドラインなどを参考に取り組むことが入口になるだろう。
継続的な取り組みになる。そのために専門の部署・組織を整備することが望ましいが、一般社員にセキュリティ対策の役割を割り振り、推進役を担ってもらう場合も多いだろう。
専門家が口を揃えるのは、サイバーセキュリティは経営層がミッションとして取り組むこと。企業トップがセキュリティへの姿勢を明確にすることで継続的な取り組みが可能になる。
■ユーザーレベルでの交流や政府機関の啓蒙/中部圏の現状
セキュリティ関連情報はどうしても首都圏に集まりがちだが、中部圏においてもセキュリティの国家資格である情報処理安全確保支援士の啓蒙活動や、有志のユーザーによる勉強会などが行われている。
また、東海総合通信局では2月1日から3月18日の「サイバーセキュリティ月間」に合わせて啓蒙活動を実施している。今年も中小企業のサイバーセキュリティをテーマにしたセミナーをオンラインで開催するなど啓蒙活動を実施した。
こうした情報交換や啓発活動を通じ、今後中部圏でもサイバーセキュリティへの関心や取り組みが広がることが期待される。