多くの会社員は「情報セキュリティ」と聞くとー
- パスワードを複雑にする話?
- ウイルス対策ソフトの話?
- それは情シスの仕事では?
そんなふうに感じのではないでしょうか?
でも実際は、情報セキュリティを維持するのは「日々のちょっとした行動の積み重ね」で成り立っています。
シンプルな「リスクマップ」を使って考えてみます。
「リスク」とは、一言で言えば「将来の不確実性」のことです。これは、2つの軸で考えます。
- 起きたときの「損失の大きさ」
- 起きる「可能性の高さ」
インシデントをいくつか想定します。
| 例 | 起きる可能性 | 起きた時の損失 |
| 社内資料を誤送信 | やや高い | 中程度 |
| 顧客情報の大量漏えい | 低い | 非常に大きい |
| パソコンの紛失 | 低~中 | 大きい |
このように「損失の大きさ」と「可能性の高さ」の組み合わせで、会社は情報セキュリティのリスク対応を決めます。
図にあった4つを、日常の例で見てみましょう。
① リスクの回避(やらない)
「危ないことは最初からやらない。」ことが、情報セキュリティを維持するうえで、もっとも安全・確実です。
例:
- 私用USBメモリを会社PCに挿さない
- 不審なメールのURLは開かない
- 顧客データを個人メールに送らない
分かりやすく、最も強い対策ですね。
「便利だけど危ない」なら、やらないという選択がリスク回避です。
② リスクの最適化(減らす)
「ゼロにはできないけれど、小さくする。」のが最適化です。リスクの軽減ともいいます。
例:
- パスワードを使い回さない
- 二段階認証を使う
- ファイルにパスワードをかける
- 画面ロックを習慣にする
私たち人間は、何かしらのミスをします。ですので、完全に事故を防ぐことはできません。でも「被害を小さくする」ことはできます。
「リスクの最適化」は、情報セキュリティ対策をかんがえるとき、もっとも採用されます。一番大切な部分だと思います。
③ リスクの移転(誰かに備えてもらう)
私たちは健康を維持するために保険に入るように、「リスクを外部に分担してもらう。」のが、リスクの移転です。「餅は餅屋で」と言いますが、それが「移転」の発想の根幹です。
例:
- サイバー保険に入る
- クラウドサービスを利用する
- 専門会社に監視を委託する
ただし、「移転=自分は何もしなくていい」ではありません。
私たちの健康は保険によって、償うことがある程度出来ても、健康を損なうリスクが「移転」で減る訳ではありません。「移転」は、もしものときの安心を買うモノであり、私たちが日常の業務に於いて、情報セキュリティの被害に遭遇しないよう、リテラシーを高めることが重要なのは、言うまでもありません。
④ リスクの保有(受け入れる)
損失が低いリスクは受け入れる。という思いっきりの良さも必要です。
例:
- 社内向け資料の軽微な誤字
- 公開しても問題ない一般情報の共有
情報セキュリティは企業に於いて重要ですが、あまりにも完璧さを追求すると、仕事が止まってしまいます。たとえば、袖机の収納ケースに鍵をかけるのは、いいことですが、もしも収納ケースの中にあるのが、電卓や筆記用具だけだったら・・・鍵をかけるよりも、鍵を無くしたときの方が厄介ですね。
だからこそ「守るべきもの」と「許容できるもの」を分ける発想が必要です。
多くの企業で発生している情報セキュリティインシデントの多くはー
- 誤送信
- 設定ミス
- パスワード使い回し
- 添付ファイルの誤操作
などが殆どです。サイバーテロリストによる特別なハッキングではなく、日常の延長で起きています。
高度なサイバー攻撃に備えた、IPS( Intrusion Prevention System)によるネットワークセキュリティの不正侵入防止システムを導入するよりもー
まあ、そんなに情報を守る必要もないだろう・・・
という発想の積み重ねの方が、はるかに現実的な脅威となります。
情報セキュリティを考えるうえで、よくある誤解はー
「情報セキュリティは面倒なルール」
というものです。
本来は、会社と自分の仕事を守るための “事故防止装置” です。
もしも、あなたが営業職なら、「顧客との信頼を守ること」です。事務職なら、「正確な情報を提供する」ことです。
情報セキュリティは、企業で働く社員すべての仕事と直結しています。
難しいことは必要ありません。
まずはこの3つだけを意識しましょう。
- 不審なメールは開く前に一呼吸
- 画面ロックを習慣にする
- 迷ったら、勝手に判断せず相談する
これだけで、多くのリスクが「最適化」できます。
