21世紀において、企業が最も注意しなければならなくなったことの1つ、それは「情報漏えい」である。理由は、実被害以外にも深刻な問題を引き起こすからだ。金銭の喪失、ブランドへのダメージ、法的な責任のみならず、さらにはビジネスの継続自体さえ危うくなる場合がある。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を基に、日本向けの解説を加えて編集したものである。
刻一刻と、マウスをクリックするたびに、画面をスワイプするたびに、ますます世界はデジタル化が進み、相互に接続されるとともにバーチャル化が進んでいる。そのおかげで世の中は確かに良くなっている。暮らしは楽になり、魅力にあふれ、楽しみが増えている。それがテクノロジーの力であることは間違いない。
だが、常に良いことばかりとは限らない。必ず「裏側」がある。技術は新たな可能性や利便性をもたらすが、同時に、リスクと新たな脅威も生まれる。しかも、それらは目には見えない場合がある。
以下では、こうした脅威の影響をふりかえってみる。情報の漏えいは、特に組織的な観点からみると、とても巨大かつ深刻さが増している問題だ(「漏えい」と言ったときには、内部から外部への意図的な、不正または故意による持ち出しを指している)。より多くのビジネス関係者は、フォールアウト(=データの拡散)は企業組織にとって壊滅的となり得るといった見解に同意しつつあるのが現状だ。
技術的に何かが新たに発展を遂げたわけではないにもかかわらず、外部には出したくない機密情報が企業から漏えいしてしまうような光景は、「時代」を表す1つの指標と言えるかもしれない。企業組織の資産の多くはデジタル化している。そのため企業資産は、口語的に、あるいは小説的に言えば「社屋から出る」ことが可能なのである。かねてより、こうした事態に多くの組織が陥っている。そこで、できるだけ早く、下記の4つの「痛点」への対処が望まれている。
金銭的損失――データ漏えいの痛点その1
記録は次々と更新されている。しかしそれは、全て好ましくない理由においてである。
米国のセントジョセフ・ヘルス・システムは2016年4月、そのことを学んだ。セキュリティ設定のミスから、31,000人の患者データがオンラインに公開された。1年近くにもわたってである。予防できたこの失態のコストは桁外れであり、2,800万ドルに上った。
ESETのリサ・マイヤーズ(Lysa Myers)に倣えば、鍵となる教訓は、金銭的側面への、データ漏えいによる重大な影響を評価することだ。すなわち、ビジネス上で個人データを適切に保護し損なえば、どんな場合でも厳しい結果が待っており、そうした明確なコスト意識を植え付けることが必要なのである。
ブランドへのダメージ――データ漏えいの痛点その2
昨年、「トークトーク」(TalkTalk)は、大規模なデータ侵害を経験した。15万7,000人もの顧客の情報が漏えいしたのだ。大事件であるがゆえに、言うまでもなく影響も巨大だった。ブランドへのダメージは瞬時に深刻なものとなった。後には、金銭的な被害も非常に厳しかったと報じられた。直後に実施された調査では、トークトークはすでに、ユーザーからの支持を失っていた。
WeLiveSecurityの寄稿者であるグラハム・クルーリー(Graham Cluley)に倣えば、教訓は、データ侵害には慎重に対応するということだ。トークトークからの声明を読むと、彼らが積極的にこの問題に取り組んでいるようには感じられない。彼らは「たった4%」のユーザーが影響を受けたにすぎないという考えを崩さなかった。漏えいしたデータのリスクを過小に評価していたのである。
法的な責任――データ漏えいの痛点その3
消費者は、データ漏えいについての責任は最終的には企業組織が負うと見ている。法的に言って、立法的な支持も得ている。例えば昨年、米国の各州の最上級裁判所は、連邦取引委員会(FTC)はサイバーセキュリティへの投資を怠った企業を処罰できる、との見解を示している。
ESETのスティーブン・コブ(Stephen Cobb)に倣えば、データセキュリティにかかわる法的側面について、しっかりと理解することが重要である。大半の企業ならば決して経験したくないことではあるが、避けては通れない。特に顧客や市場からの信頼や業務上の信用を取り戻したいなら、なおさらである。
ビジネスの継続性の混乱――データ漏えいの痛点その4
オンラインでの事業を推進する企業が増えれば増えるほど、あるいはWeb上だけの事業が増えるにつれて、通常のオペレーションフローは破壊されかねない。あらゆる種類の脅威に備えることが重要だ。場合によっては、そのWebサイトの構築者はセキュリティ対策のために、たとえクリスマス商戦の最中であっても一時閉鎖をせざるを得ないのである。例えば会員制のWebホスティング会社のMoonfruitが2015年末に適用(DDoS攻撃を受けて一時サイトをオフラインに)したのも、これと同様のものだった。
ビジネスの継続性の鍵となるのは、コブに倣えば、あくまでもITの使い方次第、ということが教訓である。どのような規模のどのような企業であれ、ほんの少しのきっかけで破滅的になることがある一方で、それを避ける機会も必ずある。ブランドに傷がついたり、利益を悪化させかねない状況になっても、これまで試されてきた信頼の置ける方法に従えば、被害を最小限にすることも可能かもしれないのである。
