ビジネスにおけるサイバーセキュリティ
社会のネットワーク化が進展して、ビジネスもインターネットなどのネットワークの活用が不可欠になって来ました。
企業にとってネットワークなどのITの活用は効率を大幅に向上させる事ができる半面、それまでには想定していなかった重大な問題に直面する事も多くなっています。
ここではビジネスに於けるサイバーセキュリティについて考えて見ましょう。
サイバーセキュリティは企業にとって重要?
もちろんサイバーセキュリティ対策は企業にとって非常に重要です。現代のビジネス環境では、デジタル技術の進化により企業の重要な情報やデータがオンラインで取り扱われる機会が増えています。そのため、サイバーセキュリティ対策が欠かせない要素となっています。
どの様な観点で重要なのか?
・データ保護: 企業は顧客情報、従業員データ、取引記録など、機密性の高いデータを取り扱っています。世界的企業であっても「顧客データ何十万人分流出」とか、
・知的財産保護: 企業は自社の知的財産を保護しなければなりません。特許、商標、著作権などの知的財産が思い浮かびますが、製造業などでは「設計図面」が知的財産の集約とも言えます。そこには寸法だけでなく、どんな材質の材料を使い、どんな表面加工を施すのか、加工の際の温度などの条件、検査の基準など表面的には分からない製品の製造ノウハウが記載されているからです。実際に世界的な企業でも産業スパイにより設計図面数百万枚分が流出などの事例があります。これらの情報が流出すると、競争力を失ったり信頼性と評判が損なわれ、法的な問題が発生する可能性があります。
・サービスの継続性: サイバーセキュリティ対策が不十分な場合、サイバー攻撃やウイルス感染により企業のITシステムがダウンしてしまう可能性があります。これにより、サービスの提供が一時的または長期間にわたって中断されるリスクがあります。
・法的な問題: 多くの国や地域の法律や規制でサイバーセキュリティの強化を要求されることがあります。これらの法的要件を遵守する必要があり、セキュリティ対策の不備は罰金や法的制裁の対象になる可能性があります。
・信頼関係:ビジネスパートナー、顧客との信頼関係が失われる可能性があります。失った信頼は取り戻すのが大変です。
サイバーセキュリティに掛ける費用
世界的には企業はサイバーセキュリティ対策にどれくらいの費用を掛けているのでしょうか?
2021年時点でのデータに基づくと、世界的に企業がサイバーセキュリティ対策にかける費用は企業の規模、業界、地域、サイバーセキュリティに対する認識などによって大きく変動するようです。
大企業や金融機関、重要インフラストラクチャーを持つ企業は、サイバーセキュリティに多額の費用を割り当てています。これらの企業は高度なセキュリティ対策を必要とし、サイバー攻撃のリスクに対処するために膨大な予算を投入しています。
一方で、中小企業や新興企業は、限られた予算やリソースの中でサイバーセキュリティ対策を実施している場合があります。しかし、中小企業でもサイバーセキュリティの重要性が認識されつつあり、費用を増やして対策を強化する動きも増えています。
いくつかの調査や報告によれば、欧米の大企業や金融機関はセキュリティに相当な予算を割いていることが示されています。例えば、一部の大企業は売上の1〜5%をサイバーセキュリティ対策に充てているとされていますが、特にサイバーセキュリティが特に重要な産業や金融機関ではこの割合が高くなることもあります。
売上高1000億円の企業では年間で1~5億円程度の費用をサイバーセキュリティ対策に割り当てているのはもはや一般的と言えます。
売上高1億円の中小企業でもやはり年間100万円程度の対策費を考慮しておく時代かもしれません。しかしながら、零細企業にとってこの負担はなかなか出来ないのも事実です。
自社の業務内容を良く考慮し、内容によってはそこまでの投資が必要ないケースも多いでしょうが、より多くの投資を求められるケースも当然考えられます。
日本の企業や社会の認識
サイバー攻撃の増加や大規模なサイバーインシデントの発生が企業にとって大きなリスクとなる認識が広まってきました。また2015年に「サイバーセキュリティ基本法」が制定され、企業に対してサイバーセキュリティ対策を強化する責任が課された事による企業の取り組み姿勢の変化もあります。
重要なインフラストラクチャーが多くのサイバー攻撃の標的となる可能性があるため、国や地方自治体、企業がセキュリティ対策を強化しているのも事実です。
しかしながら、まだまだ課題も残っています。中小企業や個人事業主など、人的・経済的リソースが限られる組織は、サイバーセキュリティに対する対策が不十分な場合もあります。また、サイバーセキュリティの専門家の不足やセキュリティ人材の確保が課題として挙げられることが多く、外部の専門化の活用が必要でしょう。
総じて言えることは、日本の企業や社会においては、サイバーセキュリティの重要性が徐々に認識されてきている一方で、より強化されるべき側面もあるということです。日本のサイバーセキュリティ対策は継続的な努力と投資が求められる課題となっています。
有効な対策や製品
一般的に有効とされるサイバーセキュリティ対策の方法と対策商品をいくつか挙げてみます。
有効な対策方法:
- パスワード管理の強化: 強力なパスワードの使用、定期的な変更、一度きりの使用、パスワードマネージャーの利用などが重要です。
- 二要素認証 (2FA): ユーザーのログイン時にパスワードに加えて別の要素(SMS、ワンタイムパスワード、指紋認証など)を求めることで、セキュリティを強化できます。
- ネットワークセキュリティ: ファイアウォール、侵入検知・防御システム (IDS/IPS)、VPNなどを使用してネットワークを保護します。
- ソフトウェアのアップデート: オペレーティングシステムやアプリケーションのセキュリティパッチを定期的に適用し、脆弱性を修正します。
- セキュリティ意識の向上: 従業員に対してセキュリティに関する教育やトレーニングを実施し、フィッシング詐欺や社会工学的攻撃などに対する警戒心を高めます。
- バックアップと災害対策: データの定期的なバックアップと災害復旧計画の策定が重要です。
有効な対策商品:
- アンチウイルス/マルウェア対策ソフトウェア: コンピュータやネットワークをウイルスやマルウェアから守るためのソフトウェアです。
- エンドポイントセキュリティ: デバイス(PC、スマートフォン、タブレットなど)のセキュリティを保護する製品やサービスです。
- ファイアウォール/UTM (統合脅威管理): ネットワークを監視して不正アクセスをブロックし、攻撃から保護する装置です。
- ウェブアプリケーションファイアウォール (WAF): ウェブアプリケーションに対する攻撃を防ぐための装置です。
- セキュリティ情報とイベント管理 (SIEM): セキュリティ関連の情報を収集・分析して攻撃を検知するツールです。
個別の製品のご紹介などは今後ブログなどを通じて行っていきたいと思います。