くらし&ハウス

安心・安全

企業のネット対策、甘い被害想定 西尾秀一・日本ネットワークセキュリティ協会理事 ネット社会 リスクを知る(3)

2014/8/23

自社紹介から会員向けサービス、通信販売など、ビジネスに何らかの形でインターネットを利用している企業は多いが、コストのかかるセキュリティー対策は後回しになりがちだ。日本ネットワークセキュリティ協会(JNSA)の西尾秀一理事に、サイバー犯罪を巡る企業の現状認識の問題点などについて聞いた。

――企業のセキュリティー対策の現状をどう見るか。

「最新版のウイルス対策ソフトを使っていれば安心だと考えている企業が多い。しかし、新種のウイルスが作られるスピードは年々早まっており、対策ソフトの更新が追いついていない。対策ソフトで防げるのはウイルス全体の2割程度だ」

――適切な対策が進まないのはなぜか。

「被害想定が甘いのが一因だ。例えば今春、JNSAに相談に来た会員制サイト運営会社の幹部は『情報流出が起きても、謝って補償金を払えば済む話ですよね』と新しい対策の導入を渋っていた。氏名やメールアドレスの漏洩は500円、クレジットカード情報も含めれば1万円と、過去の大規模な情報流出事件を基に補償額の相場ができており、対策費用と補償額のどちらが安いかそろばんをはじく経営者は多い」

「しかし、信用を失って顧客離れが起きたり、裁判で損害賠償を命じられたりした場合の損失まで想定している企業は少ない。セキュリティー対策に無制限に投資できるわけではないが、適切に損失を想定した上で判断すべきだ」

――会社の規模などによって、対策にかけられるコストには限界がある。

「被害を防ぐには、データベースの暗号化や不審なサイトへのアクセスの遮断など総合的な対策が必要で、中小企業が自前でシステムを整備するのは難しい。メールや顧客管理などはクラウドサービスを利用し、サービスを提供する業者にセキュリティーも一任することを勧めている。こうしたサービスは社員数に応じて利用料が決まるため、規模の小さい会社なら自前のシステムをつくるより安上がりになる」

「限られた予算を有効に使うには、どの情報や資産を重点的に防衛すべきか、優先順位をつけることも大事だ。経営者が重視していなかった情報の本当の価値を現場が正しく認識している場合もあるので、各部署から声を吸い上げて判断する必要がある」

西尾 秀一(にしお・しゅういち) 1988年、NTTデータに入社。今年4月から同社のセキュリティビジネス推進室シニアスペシャリスト。2004年から日本ネットワークセキュリティ協会の理事も務める。

くらし&ハウス 新着記事

ALL CHANNEL