「情報漏えい、当社に関係なし」の嘘（第3回） セキュリティー対策を怠ったツケ

　情報漏えいのセキュリティー事故が後を絶たない。最近も数百万人分の顧客データが流出した大手旅行会社の事件が表面化した。それでもなお、｢わが社には、狙われるほどの情報はないから大丈夫｣。このように考える中小規模の企業経営者は少なくない。

　セキュリティー対策は、経営課題そのものである。経営者にとって、売り上げの拡大や事業の継続が大きな経営目標であるが、万一、情報漏えい事故を引き起こした場合、売り上げの減少どころか事業の存続すら危ぶまれることになる。外部から指摘されるまで情報漏えいに気づかなかったら、取引先からだけでなく、社会的にも情報管理体制の不備を強く責められる。企業イメージは失墜し、経営の危機が訪れる。リスク管理、コンプライアンスの観点から、かつてないほどセキュリティー対策の強化が必須になっている。

手薄な拠点から狙われる「攻撃の連鎖」

　本社と主要拠点のセキュリティー対策を徹底していても、ネットワークに接続しているすべての拠点のセキュリティー管理体制を再点検する必要がある。点検の対象には、小規模な営業拠点や遠隔地の工場、倉庫も含まれる。

　例えば、在庫管理のため、倉庫にパソコンを置いてインターネットに接続していないだろうか。倉庫のセキュリティー対策に不備があれば、そのパソコンが攻撃される恐れがある。攻撃者は倉庫のパソコンを操って、本社のパソコンやサーバーに保管された機密情報・顧客情報を盗み取る。さらに、攻撃者は本社のパソコンを踏み台にして、取引先のパソコンを攻撃して目的の機密情報を盗み取る。取引先も含めた｢攻撃の連鎖｣が起こる可能性もある。

被害者ではなく加害者になってしまう

　もし、自社への攻撃が原因で、取引先の機密情報が流出したらどうなるか。攻撃元をたどったら、自社の倉庫の無防備なパソコンだった――。長年、付き合いのある会社だったとしても取引停止になってしまうだろう。「悪いのは攻撃してきたほうじゃないか」と思うかもしれない。だが、逆の立場になれば、セキュリティー面を怠っていたと見なし、損害の原因となった相手と、それまでと同様に取引を続けるだろうか。

　社会的な信用を失い、「あの会社は顧客情報を流出させたらしい」といった風評の影響も無視できない。世間からは、｢サイバー攻撃を受けて気の毒｣と被害者として同情されることはない。顧客情報を守れなかった加害者として見られることになる。

　その結果、取引先数は減少し、売り上げが低下、場合によっては取引先から損害賠償を請求される。情報漏えいの処理にかかるコストは、セキュリティーを強化するコストをはるかに上回ることを理解しよう。

拠点間のネットワークセキュリティーを強化

　セキュリティー対策の強化ポイントは、パソコンやサーバーの防御だけではない。拠点間の通信ネットワークのセキュリティー対策も重要になる。本社と拠点とのデータ交換にインターネットを利用する場合、悪意のある第三者にデータを盗まれる恐れがあるからだ。

　こうした複数拠点間の通信を保護するセキュリティー対策として、インターネットを経由せずに閉域網でつなぐIP-VPN（バーチャル・プライベート・ネットワーク）サービスがある。拠点ごとにインターネットへ接続している企業の場合、本社側に接続口を集約し、セキュリティー対策を強化できる。ネットワークの一元的な管理も可能になる。拠点間の通信セキュリティーに不安がある企業は、IP-VPNサービスの導入を今すぐ検討してはどうだろうか。