企業や組織を狙うサイバー攻撃や情報漏洩事故が日常的に発生するようになり、昨今では大企業のみならず、中小企業も標的にされるケースが増えています。特に中小企業は、サイバー攻撃により取引先企業の機密情報が漏えいするだけでなく、取引先である大企業への攻撃の足掛かりとされるケースも増えてきました。情報セキュリティ対策を万全にすることは、すべての企業にとっての喫緊の課題になっています。

▮情報漏洩事故が企業に与える不利益

実際にサイバー攻撃や情報漏洩事故が起きたときに、企業はどのような不利益を被るのでしょうか。秘密情報や個人情報の漏洩による高額の賠償請求といった金銭的損失以外にも、信用失墜、取引停止、業務低迷、顧客や取引先への迷惑、刑事罰などが考えられます。

ところが、コストがかかる、何から始めたらいいのかわからない、効果が見えづらいといった理由から、情報セキュリティ対策が十分に実施できていない企業が多いようです。独立行政法人 情報処理推進機構(以下、IPA)の調査報告によると、「IT投資」「情報セキュリティ投資」を行っていない企業はともに約3割という結果が出ています。

IPA 独立行政法人 情報処理推進機構

直近過去3期のIT投資額
直近過去3期の情報セキュリティ対策投資額

※IPA「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書より

なぜ情報セキュリティ対策投資を行わないのか、その背景を見てみると「必要性を感じていない(40.5%)」、「費用対効果が見えない(24.9%)」、「コストがかかりすぎる(22.0%)」といった理由が挙げられています。

情報セキュリティ対策投資を行わなかった理由

※IPA「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書より

しかし、実際にはどの企業でも「マイナンバーを含む従業員情報」、「顧客情報」、「取引先情報」、「取引先や顧客から預かった秘密情報」などの重要情報を所有しており、サイバー攻撃や情報漏洩事故が起きた場合、先に挙げた不利益を被ることになるのです。具体的にどのような事故が起きる可能性があり、どのような不利益が発生するのか、経営者はしっかりとイメージし、情報セキュリティ対策の必要性を認識しておきましょう。ここでは、IPAによる「中小企業の情報セキュリティ対策ガイドライン 第三版」を参考に、「金銭の損失」「顧客の喪失」「業務の停滞」といった3点から具体的に解説していきます。

①金銭の損失

取引先などから預かった機密情報や個人情報が漏洩させた場合、損害賠償請求を受けるなど大きな経済的損失を受けることになります。また、インターネットバンキングに関連した不正送金やクレジットカードの不正利用などで直接的な損失を被るケースもあります。実際の事例としては、従業員規模101〜300名の企業がウィルス感染で数日間業務が停止し、数千万円の被害が発生しています。

また、2022年4月に施行された改正個人情報保護法では、個人情報の漏洩が発生した場合の個人情報保護委員会への報告が義務化されました。また、罰金も下記の金額に引き上げられました。

  • 個人情報保護委員会からの命令への違反:30万円以下から1億円以下に引き上げ
  • 個人情報データベース等の不正提供等:50万円以下から1億円以下に引き上げ
  • 個人情報保護委員会への虚偽報告等:30万円以下から50万円以下に引き上げ

②顧客の喪失

重要な情報に関する事故が発生すると、事故を起こした企業に対する管理責任が問われ、社会的信用を失うことになります。すると、既存の取引先が同じ製品やサービスを提供している競合他社に移ってしまったり、過去の事故のイメージの影響で新規の取引も始まらなくなり、事業の存続が困難になる場合もあります。

③業務の停滞

日常業務で使用している業務システムに事故が発生すると、原因調査や被害の拡大防止のためにインターネット接続を遮断したり、運用中の情報システムを停止しなければならないことがあります。その結果、業務が停滞し、納期遅れや営業機会の損失などの影響が出ることもあります。実際の事例では、従業員51〜100名の企業でウイルス感染により基幹システムが一週間停止したことが報告されています。

▮セキュリティ対策の重要性とリスク管理

これらのリスクやコストをきちんと認識し、まずは自社に影響度の高いリスクへの対策から取り組んでいくことが大切です。そのために、まずはリスク分析や脆弱性診断を受けて、自社のセキュリティ状況をチェックしてみることも有効です。

アクトのサイバーセキュリティ対策支援

アクトでは日頃のIR・SOC業務で多くの知見を持つ当社サイバーセキュリティ事業部のスペシャリストが、企業さまのセキュリティに関する不安を解消するため、全力でサポートさせていただいております。

アクトの『データお守り隊』はEDR・SOCサービス・簡易保険をお手頃価格でパッケージした、IPA「サイバーセキュリティお助け隊」認定サービスもご提供しております。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。

アクトはEDR・SOCをはじめ、IPA認定データお守り隊』や総合ID管理ソリューション『JumpCloud』をなど、厳重なサイバーセキュリティ対策を提供しております。

専門のセキュリティチームが監視し、異常が検知された場合は迅速かつ効果的な対応を行っております。

アクトではサイバーセキュリティの専門知識と経験豊富なチームと共に、企業や組織に対して高度なサイバーセキュリティコンサルティングサービスを提供しています。

また、サイバーセキュリティに関する知識普及の一環として、セミナーやトレーニングプログラムも提供しています。