サイバーセキュリティと情報セキュリティ監査は実は密接な関係がある。監査というととっつきにくさを感じるかもしれないがそうではない。サイバーセキュリティの脅威が高まるなか、自社の取り組みをチェックするには、企業の経営リスクをセキュリティ視点で見続けてきた情報セキュリティ監査人の知識と見識が役に立つはずだ。

 情報セキュリティ監査人の団体である特定非営利活動法人日本セキュリティ監査協会(JASA)は会員1500人にアンケートを取り、2018年の情報セキュリティについて10大脅威を選んだ。サイバー脅威に直面する現場目線ではなく、経営目線でのリスクを洗い出したと言ってもいい。「情報セキュリティ監査人が選ぶ2018年情報セキュリティ十大トレンド」は具体的には下記の通りだ(編集部で一部を補足・修正)。

1.多様化・巧妙化する「ランサム(身代金)ウエア」の被害拡大
2.最新の対策をすり抜ける標的型攻撃による甚大な被害の発生
3.セキュリティ機能が乏しいIoT(インターネット・オブ・シングズ)製品への攻撃による社会的混乱
4.クラウドサービスなど、集中管理システムへの攻撃による社会的規模の被害発生
5.考慮不足の働き方改革に起因する事故の発生
6.日本語の「ビジネスメール詐欺」の被害拡大
7.ガバナンスが欠如したIT投資による重大インシデントの発生
8.成長しないマネジメントシステムによる組織活力の低下
9.形だけCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)/名ばかりセキュリティ人材による弊害の発生
10.欧州連合(EU)の「一般データ保護規則(GDPR)」違反の摘発

 個別の解説はJASAの解説ページ(PDF)や記事をご覧いただくとして、本特集ではこうした脅威が高まる背景やその対策などを情報セキュリティ監査人の視点から論じたい。第1回は10大トレンドの背景を説明しよう。

3つの大きな環境変化で脅威拡大

 JASAは脅威の高まりには3つの背景があると考えている。第1は「ビジネス環境のスマート化とグローバル化」だ。

[画像のクリックで拡大表示]

 多くの日本企業ではITサービスを使い、海外企業と取引することが当たり前になっている。一方で、経営層や従業員のITやセキュリティに関する意識は旧態依然といえるだろう。

 例えば、海外との取引ではメールがいまだに有効な手段だ。メールがなければ今ほど海外取引が活発になっていなかったともいえる。

 だが一方でメールは盗み見されるリスクが大きい。信書の秘密が守られる郵便であれば生じない被害が、業務上のメールを装って送金を促して資金をだまし取る詐欺行為である「ビジネスメール詐欺」でなぜ発生するのか。これは一言で言ってしまえば意識の問題だ。

 同様に、働き方改革の取り組みが進み、オフィスの外で仕事する人が増えているが、そこに潜むリスクにまでは気が回っていない。社会環境が大きく変化しているのに、人々の意識はまだ「島国・紙文化」のままであるといえる。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)登録で6月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら