情報戦略コンサルティング・ネットワークインフラの構築・トラブル対応【合同会社River-Win】

「取引先から情報セキュリティの強化を求められたがどうやって進めていいか分からない」

「情報漏洩のニュースを見ると自社は大丈夫か不安になる」

　最近はこうした声を耳にすることが多くなりました。

　ヒト、モノ、カネと並んで経営に必要な資源とされている「情報」。
　インターネットの発展やコンピュータ、通信技術の進化により、企業経営に役立つ「クラウド」や「IoT」といったものの普及が進む一方で、情報に関する犯罪も高度化しています。 「標的型攻撃」「ランサムウェア」など新しい犯罪手法が次々生み出されて被害額は大きくなっています。 これらの犯罪は、インターネットを経由して海外からのもたらされることも多く、犯人を検挙するのがなかなか難しくなっています。 報道されるのが大企業が被害にあった事件ばかりなので、中小企業や個人事業主には関係ないと思ってしまいがちですが、実際には、中小企業や個人が被害にあう事例は非常に多く、多額の経済的な損失に至るケースもあります。

　こうした犯罪被害も含めた情報セキュリティリスクは、一般的なリスクと同様に、【リスク低減】【リスク保有】【リスク回避】【リスク移転】という四種類の対応が考えられます。
　このうち、リスク回避は、「個人情報を一切持たない」、「コンピュータを一切持たない」、「インターネットにつながない」、などの具体策になりますが現実的には業務遂行がかなり難しくなってしまいます。 リスク移転には、情報セキュリティ事故に備えた保険がありますが、すべて移転しきるのは困難です。そのため、リスクを低減した上で、リスクを保有するというのが一般的な対処ということになります。
　リスク低減するためには、自社内で様々なセキュリティ対策を行う必要がありますが、そこで問題となるのは、「どの程度の対策を行うべきか」ということです。 なぜならば、セキュリティというのは、やみくもに安全性を高くすれば良いものではないからです。セキュリティを高くすることで高コストとなるのはもちろんですが、 安全性は利便性とトレードオフの関係にあるということを考慮しなければなりません。 行うべき情報セキュリティ対策は企業によって異なるのです。

　当社のコンサルタント（情報処理安全確保支援士登録）のノウハウを活用することで、画一的な情報セキュリティ対策ではなく、貴社業務内容に最適な情報セキュリティ対策を提案することができます。お気軽にご相談ください。