IPAが「情報セキュリティ10大脅威」を公表しています。
例年上位のランサム攻撃やサプライチェーン・委託先を狙った攻撃に加え、今年は初めて「AI利用をめぐるリスク」が選出されています。
このようなレポートをきっかけに、身の回りにどのようなリスクが潜んでいるのかを“自分事”として捉えられることが大切です。
外部からの攻撃が注目されがちですが、日常の業務やオペレーションに潜む「内部の脅威」も見過ごすことができません。
大阪国税局で発生した事案では、攻撃者が従業員の油断や思い込みを巧妙に突きました。自治体や金融機関では、従業員が安易に組織情報をSNSに投稿し、結果として情報漏えいが発生しています。
いずれも悪意ある内部犯行というより、セキュリティリスクに対する知識不足と意識の低さが招いた、「うっかりミス」の部類のものと言わざるを得ません。
さて、多くの組織では情報セキュリティ研修が行われ、とりわけ新入社員向けには丁寧な教育が実施されているはずです。
しかし、施策が「毎年やるルーティン」になり、研修が形骸化してしまっては意味がありません。
変化するリスクに対応しながら、セキュリティ意識と行動を組織文化として根づかせることが大きな課題です。
私が勤務していたNTT西日本では、毎年の情報セキュリティ研修において、最新トピックスを盛り込んだ動画視聴やグループでのロールプレイングを取り入れ、受講者が自分事として理解できるよう工夫されていました。
また、顧客情報を扱う部門では、個人スマホの持ち込み禁止とロッカー保管を徹底するなど、運用面の対策も講じていました。
それでも、大規模な個人情報漏えい事案は発生しましたが、原因は、従業員個々人の行動様式や価値観を、組織が十分に理解しきれていなかった点にあるのではないでしょうか。組織は、情報セキュリティ強化に向けて、単にルールを厳しくするだけではなく、「誰に、どのような伝え方をすれば行動が変わるのか」を考え、施策を設計し直す必要があります。
そのためには、組織ごとの特性に応じたきめ細かな対策が必要です。
営業、製造、現場、管理部門など、業務の性質によって扱う情報資産の質や、保存場所や保存形態も異なります。
構成員の年齢層や働き方、ITリテラシーもさまざまです。どのようなリスクが想定され、どこまで対策を講じられるのか、対策後もどの程度の残余リスクが残るのかを丁寧に見極める必要があります。
情報セキュリティ対策に「これで終わり」はありません。
しかしながら、現場のリソースには限りがあります。
だからこそ、経営トップが「担当部署任せ」にせず、自ら関与し、必要な人員・予算を投下する姿勢が問われます。
リスクアセスメントを通じて自社のリスク構造を把握し、優先順位をつけてリスクマネジメントを実行する。
そのプロセスに組織全体を巻き込んでいくことが、内部の脅威を抑え込み、持続的な情報セキュリティ体制を築く鍵になると考えます。

