IoT時代の情報セキュリティについて
2017年12月01日
あらゆるものがインターネットに接続するIoT(Internet of Things=モノのインターネット)時代が到来する一方で、それぞれの機器のセキュリティ上の脆弱性が問題となっており、企業としても対策を講じていく必要があります。
このような中、総務省は去る10月3日に『IoTセキュリティ総合対策』を公表し、高い情報セキュリティ対策が求められる2020年の東京オリンピック・パラリンピックに向けて必要な施策を推進していく旨を宣言しました。
今回は、総合対策の概要や、従業員教育の必要性などについて概説いたします。
●IoTセキュリティ総合対策
総合対策においては、下記の5つの観点から具体的な施策を検討していく旨が示されました。
(1)脆弱性対策に係る体制の整備
(2)研究開発の推進
(3)民間企業等におけるセキュリティ対策の促進
(4)人材育成の強化
(5)国際連携の推進
オリンピックなどの世界的イベントでは、関連Webサイトがサイバー攻撃の標的になるなど、情報流出を狙ったネット犯罪のリスクも高まるとされています。そのため総務省は、“重要インフラの防御対策強化の観点を含め、IoTセキュリティ対策の強化に向け、関係するステークホルダーの連携によるビジョンの共有と取組みの強化が不可欠である”との認識を示しました。
●企業におけるIoTセキュリティ対策の必要性
民間企業では、サプライチェーンの1社がサイバー攻撃を受けた場合、その被害が全体に広がる懸念があります。こうした事は従前からも認識されてきましたが、IoT時代では、これまで通信手段を持たなかった機器がインターネットに繋がるようになり、全てのサイバー攻撃対象にまで監視が行き届きにくくなります。
上図のようにPC等から直接のインターネット接続のみ、またはクローズド環境を想定してきた企業は、情報セキュリティ対策を全般的に見直す必要があるでしょう
●情報リテラシー教育の必要性
『IoTセキュリティ総合対策』では、セキュリティ対策投資に係る税制優遇措置等、民間企業等におけるセキュリティ対策を促進するための必要な措置を検討していく旨が言及されています。しかし、いくらシステム面を万全にしたとしても、実際に情報を取り扱う従業員に情報セキュリティに対する理解が無ければ、ちょっとした怠慢や不知が原因となり重大な情報漏えいを招くかもしれません。例えば、「通信機能を持った機器を危険性の自覚もないままインターネットに接続してしまう」といった事態も考えられます。
インターネットが普及しきった現代では、既に多くの企業が情報セキュリティ規程等のルールを策定し、企業の行動方針を明確にしています。ただ、そのルールも、情報管理担当者等の限られた人間しか把握していないようでは、情報セキュリティの対策として十分とは言えないでしょう。どのような行為が企業の情報セキュリティを危うくさせるのか、ルール違反にはどのような制裁があるのか、従業員に定期的に周知・教育を行っていかなければなりません
●情報セキュリティ規程等の必要性
もし企業に情報セキュリティ規程やそれに類するルールが無かったとしたら早急に策定する必要があります。なぜなら、企業の懲戒権は就業規則等に定めてはじめて具体化するものであり、もし従業員が不注意から情報セキュリティ事故を起こしてしまっても、そのことに言及する規定が無ければ懲戒処分を行えない可能性すらあるからです。情報セキュリティにおいては、過失による事故も罰則の対象となる旨を規定し、実効性を担保すると良いでしょう。例えば、国家公務員の人事管理を行う人事院は、平成28年9月に「懲戒処分の指針について」の一部改正を行い、“具体的に命令され、又は注意喚起された情報セキュリティ対策を怠ったことにより、職務上の秘密が漏えいし、公務の運営に重大な支障を生じさせた職員”を、懲戒処分する例として追加しました。
●さいごに
最新のサイバー攻撃手法は日々巧妙に進化しており、完璧な予防は存在しないと言われています。もちろん、予防対策を講じてリスクを下げる事は重要ですが、万一被害に遭った場合を見越して、被害を最小限に抑えるための事後対策や、第三者に被害が及んだ際の補償対策についても、損害保険を活用するなどの然るべき準備が必要になります。「あまり対策ができていない」という企業様は、まずは自社のどこにリスクがあるのかを洗い出し、重要度を見極めた上で優先順位を決め、ひとつずつ着実に“リスクの芽”を摘んでいくことから始めてみてはいかがでしょうか。