企業はさまざまな機密情報を保有している上に、複数の媒体を使用して業務を行っています。
また、あらゆるステークホルダー(利害関係者)が存在するため、多角的な視点で情報セキュリティ対策を取らなければいけません。
今回は、企業が必要な情報セキュリティ対策を怠った場合に考えられることについて解説します。
情報セキュリティポリシー策定を怠った場合について
情報セキュリティポリシーとは、企業が実施する情報セキュリティ対策の方針や行動指針のことをいいます。
社内規定などの組織全体のルールから、どのような情報資産をどういった脅威から、どのようにして守るのかといった基本的な考え方、情報セキュリティを確保するための体制、運用規定、基本方針、対策基準などを明確に記載するのが一般的です。
もし、企業が情報セキュリティポリシーの策定を怠ってしまったら、現場における対策の実行が組織の方針と一貫したものとならないため、有事の際の対応が遅れたり、脅威をうまく回避できなかったりすることにつながります。
また、情報セキュリティポリシーを策定し、宣言しなければ、企業における情報セキュリティへの重要度がステークホルダーに伝わらず、信頼性を高める根拠がなくなってしまいます。
情報セキュリティ対策のための予算確保を怠った場合について
企業が多角的な情報セキュリティ対策を取るためには、当然予算が必要になります。
しかし、予算の確保を適切に行っていない場合、企業内での情報セキュリティ対策の実施や人材の確保が困難になるほか、信頼できる外部のベンダーへの委託も困難になるおそれがあります。
また、必要な情報セキュリティに関する人材に対し、適切な処遇の維持や改善ができないと、有能な人材を自社にとどめておくことができず、常にその場しのぎの対策になってしまうことが考えられます。
情報セキュリティリスクの把握と対応計画の策定を怠った場合について
企業は経営戦略の観点から、守るべき情報を特定させた上で、サイバー攻撃の影響度から情報セキュリティリスクを把握し、そのリスクに対応するための計画を策定する必要があります。
こちらの策定を怠ってしまうと、企業は過度な対策により、通常の業務遂行に支障をきたすなどの不都合が生じる可能性があります。
また、受容できないリスクが残ってしまうと、想定外の損失を被ることも考えられます。
インシデント発生時の緊急対応体制の整備を怠った場合について
企業は実際にインシデントが発生した場合に備えて、影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を速やかに実行するための対応体制(CRIST等)を整備しておかなければいけません。
もし、こちらの整備を怠ってしまったら、企業は原因特定のための調査作業において、企業内外の関係者間のコミュニケーションがうまく取れず、速やかな対処ができなくなります。
また、速やかな情報開示が行われない場合、顧客や取引先などにも被害が及ぶ可能性があり、場合によっては損害賠償請求などの責任を問われる可能性もあります。
もっと言えば、法的な取り決めにより、インシデント発生について所管官庁などのへの報告が義務付けられている場合、速やかな通知がないことで、罰則を受けることも考えられます。
インシデント発生後の復旧体制の整備を怠った場合について
企業は情報セキュリティに関するインシデントが発生した際、業務停止等の状況に陥ることがあります。
また、このような企業経営への影響を考慮し、いつまでに復旧すべきかを特定し、復旧に向けた手順書の策定や、復旧対応体制の整備を行わなければいけません。
こちらの整備を怠った場合、企業は重要な業務が適切な時間内に復旧できず、経営に致命的な影響を与えてしまう可能性があります。
情報セキュリティ対策におけるPDCAサイクルの実施を怠った場合について
企業は計画を確実に実施し、改善していくために、情報セキュリティ対策をPDCAサイクルとして実施させることが重要です。
PDCAサイクルとは、Plan(計画)、Do(実行)、Check(測定・評価)、Action(対策・改善)の頭文字を取ったもので、これらの仮説、検証プロセスを循環させることで成り立つフレームワークです。
こちらを情報セキュリティ対策に採り入れることで、企業は自社の情報セキュリティ担当者に対し、対策状況を報告させた上で、問題が生じている場合は改善させることができます。
また、ステークホルダーからの信頼性を高めるため、対策状況を開示させることも重要です。
一方、こちらのPDCAサイクルを実施できる体制ができていないと、立てた計画が確実に実行されないおそれがありますし、情報セキュリティを巡る環境変化に対応できないことも考えられます。
まとめ
ここまで、企業が必要な情報セキュリティ対策を怠ったとき、どのようなシナリオが考えられるのかについて解説しましたが、いかがでしたでしょうか?
予算や人材不足により、なかなか情報セキュリティ対策の構築に時間を費やせていないという企業は多いです。
しかし、こちらをおざなりにすることにより、企業が致命的な損失を負ってしまうことも考えられるため、どこかで体制強化のきっかけを作るべきです。
