日本の全企業のうち99.7%を中小企業が占めるといいます。
そして、中小企業のほとんどが、専門の情報システム部門を持たず、別な本業(総務など)をしながら、片手間で「ひとり情シス」状態になっているようです。
情報セキュリティの視点で見ると、これは恐ろしい状況だと思います。
「情報」は、取り扱うべき役割を持った人に対しては、その人が取り扱いたいときに取り扱える状態にするという要素(可用性といいます)がありますが、取り扱うべきでない人に対しては、取り扱えないようにする要素(機密性といいます)もあります。
たとえば、会社の「顧客情報」は、会社の業務として顧客情報を活用する部門(営業部門が典型です)にとっては、見る必要のある情報でしょう。しかし、取り扱うべきでない人(顧客との接点がない部門や社外など)に見えてはいけません。
情報システム部門は、管理する情報の種類によって、クライアントとなるどのユーザーには見せ(可用性)て、どのユーザーには情報を見せない(機密性)かという、アクセス権を管理する役割があります(アクセス制御といいます)。
しかし会社が「ひとり情シス」状態だと、情報の可用性を維持することが、機密性を維持することよりも、優先されがちになります。
なぜなら、情報を見るべき人が見えないと、その人の業務に支障が出ますが、本来は見るべきでない人に情報が見えても、その人の業務に直接的な影響を及ぼすことはないからです。情シスの仕事が片手間になると、社員が日常業務を支障なく、進めることが最優先になり、情報の機密性は後回しになります。
しかし、いったん、機密情報や顧客情報が漏れてしまうと、その会社は一夜にして信用を失い、経営の継続さえも危ぶまれる状態に陥ります。
うちのような小さな会社の情報なんて、誰も関心持たないよ。
と、考える人もいるかもしれないのですが、それはかなり楽観的だと思います。
小売り、フードサービス、宿泊業 などの 最終消費者 を相手にした会社であれば、懇意にしてくれるお客様や、「縁」あって会員登録した人の情報を扱っている可能性が高いと思います。それらの会社は、事業者を対象とする「個人情報の保護に関する法律」によって、法律への適合性を強く求められます。
また、BtoB として法人向けに商売をしている会社は、サプライチェーン攻撃を受ける可能性もあります。
サプライチェーン攻撃は、企業間の取引(サプライチェーン)の関係性を悪用した攻撃全般を指します。セキュリティ対策が強固な企業を直接攻撃するのではなく、その企業が構成するサプライチェーンのセキュリティが脆弱な会社を標的とする手口です。その会社が攻撃することで、攻撃者が本来のターゲットとしたい企業の機密情報を盗み、本家への攻撃の足掛かりとします。
下図の例では、セキュリティ対策が強固なA社は、テレワークをする従業員にシンクライアントを配布してます。シンクライアントなので、会社の機密情報はローカルに保持できません。一方、A社の取引先は、A社に比べるとセキュリティ対策が甘く、テレワークをする社員は 自宅PC から VPN で社内ネットワークにつなぐ施策をしています。PCなので、機密情報をローカルに保存することができます。このとき、攻撃者は 自宅PC を狙ってA社の機密情報を盗もうとしてます。
法人向けに商売をしている日本の中小企業の多くは、大企業の下請けとして機能しています。攻撃者にとっては、セキュリティが堅牢な大企業を直接狙うより、下請けにある企業を攻撃して、そこから大企業を陥れようと攻撃者は考えます。
サプライチェーン攻撃の事例として印象的だったのは、日本一の大企業であるトヨタのサプライチェーンに関わる事故です。
トヨタに部品を供給する下請けの「小島プレス工業」が、ランサムウェアを仕掛けられたことで、自社のネットワークを遮断せざるを得ない状況となりました。その結果、部品の供給業務に支障が生じ、トヨタは全工場の稼働を停止するという事故がありました。
トヨタ自体は、セキュリティ対策にコストを投入し、要塞化していても、そこと取引する中小企業から被害が広がることを強烈に印象づけた事故です。
中小企業のほとんどが、専門の情報システム部門を持たないのは、日本に於いて、ITのチカラが過小評価されていることの証だと思います。
