現代では、「情報セキュリティ対策への取り組みは投資である」という考え方が広がりつつあり、そのための手段として、ISMSという仕組みの構築やISMS認証の取得という選択肢も一般的になってきました。

一方で、昔ながらの考え方として、「情報セキュリティ対策なんて利益が見えないからやりたくない」「自社にはサーバー攻撃なんて関係ない」という意見や、「重要性はなんとなくわかるけど、費用対効果の面で見ると優先順位は高くない」といった考えのもと、情報セキュリティへの取り組みを後回しにしがちな組織も少なくないと思います。
情報セキュリティに対して組織や経営層が前向きでないと、ISMSをはじめとした情報セキュリティに対する取り組みをはじめる以前の問題です。

そこで今回は2点、情報セキュリティ対策を行わないことがどれだけ大きなリスク・損失なのか、情報セキュリティ対策へ投資することに後ろ向きな人々や経営層にどうやって前向きになってもらうことができるのかというテーマについて考えてみたいと思います。

情報セキュリティの対策をしないことのリスク

情報セキュリティに対する意識を持ってもらうためには、まず、情報セキュリティリスクが身近にあり、仮に被害が発生した場合の損失が大きいというインパクトを感じ取ってもらうことが必要です。そこで本項では、「セキュリティインシデントの身近さ」「被害発生時の影響」という2つの観点を見ていきます。

セキュリティインシデントの身近さ

まずこの観点については、セキュリティインシデントの発生率、被害経験の度合いというデータから考えてみましょう。ここで挙げられるようなセキュリティインシデントとは、例えば「フィッシングメールやビジネスメール詐欺のメール受信」「不正サイトへのアクセス」「身代金を要求するウイルス(ランサムウェア)への感染」などが含まれます。また、システムの脆弱性を悪用したような攻撃なども挙げられます。

トレンドマイクロ社が、民間企業・官公庁のインシデントを把握する担当者、計1086人に行った調査では、2019年4月~2020年3月の間に何らかのセキュリティインシデントが発生した組織がおよそ78.5%にのぼるとしています。つまり、およそ5社に4社は何らかのインシデントに遭遇しているということです。
また、調査対象者のうち43.8%の組織がインシデントに起因した何らかの被害を経験しており、システム等の停止による損害・調査対応費用・賠償等の事後対応を含めた年間平均被害額が約1億4800万円との結果が公表されています。もちろん平均額であり、上下の差は大きいので一概に被害額を述べることはできませんが、情報セキュリティインシデントが発生した際にはおよそ半分の確率で被害が発生し、金銭的損失も伴うことがわかります。

結論としては、5社に4社の確率でインシデントが発生する可能性があるという結果はセキュリティインシデントを身近に感じるデータなのではないでしょうか。

被害発生時の影響

この観点では、実際のインシデント発生時に組織が受ける被害のデータから考えてみましょう。

2017年の米Centrify社による調査では、データ侵害のインシデントを公表直後に、平均して「5%の株価下落」「7%の既存顧客損失」「31%の消費者が取引を中止」といった結果が出ています。
また、2019年のJNSAによる調査では、個人情報漏えいインシデントの被害として、「1万3,334人/1件当たりの漏えい」「6億3,767万円/1件当たり平均想定損害賠償額」「2万9,768円/1人あたり平均想定損害賠償額」という結果が出ています。

これらの結果から見えることとして、セキュリティインシデントは中小企業など規模に限らず場合によっては億単位の大きな損害が発生する可能性があり、また、顧客からの信頼に直結する場合もあるということがわかるのではないでしょうか。

情報セキュリティ対策に前向きになってもらう方法

対策しないことのリスクをデータを用いて伝える

まず、情報セキュリティ対策に目を向けてもらうためには、対策しないことによるリスクを実感として認識してもらうことが重要です。そのために、前項で挙げたようなデータを用いてリスクを伝えていくということは、まずはじめに行うべき有効的な手段のひとつです。

対策しておくことで、被害発生時の信頼向上や利益につながる可能性を伝える

前項のデータでもわかるように、インシデントの発生は大きな損害を生み出したり、顧客をはじめとした第三者からの信頼低下につながることが多いです。もっとも、インシデントへの対策をしっかりと行うことで結果として信頼の回復・前年以上の利益につながった企業も存在します。

そのため、上記のような被害のインパクトの認識に加えて、対策することでマイナスをプラスに変えられる可能性があるということを認識してもらう、訴求することは、情報セキュリティ対策に前向きになってもらう1つの方法として挙げることができるのではないでしょうか。

まとめ

今回の記事を通して、少しでも情報セキュリティが身近である、取り組む意味があると思っていただけたら幸いです。その上で、情報セキュリティのための仕組みでもあるISMSに興味を持っていただけましたら、お気軽にLRMにお問い合わせください。

参考

  • 「サイバー攻撃から組織を守るために経営層ができること2020年度 法人組織のセキュリティ動向調査」(トレンドマイクロ社)
  • 「2018年情報セキュリティインシデントに関する調査報告書」(JNSA)
  • 「THE IMPACT OF DATA BREACHES REPUTATION & SHAREVALUE」(Crntrify社)

情報セキュリティ対策へ投資しないリスクとは?

 

現代では、「情報セキュリティ対策への取り組みは投資である」という考え方が広がりつつあり、そのための手段として、ISMSという仕組みの構築やISMS認証の取得という選択肢も一般的になってきました。

一方で、昔ながらの考え方として、「情報セキュリティ対策なんて利益が見えないからやりたくない」「自社にはサーバー攻撃なんて関係ない」という意見や、「重要性はなんとなくわかるけど、費用対効果の面で見ると優先順位は高くない」といった考えのもと、情報セキュリティへの取り組みを後回しにしがちな組織も少なくないと思います。
情報セキュリティに対して組織や経営層が前向きでないと、ISMSをはじめとした情報セキュリティに対する取り組みをはじめる以前の問題です。

そこで今回は2点、情報セキュリティ対策を行わないことがどれだけ大きなリスク・損失なのか、情報セキュリティ対策へ投資することに後ろ向きな人々や経営層にどうやって前向きになってもらうことができるのかというテーマについて考えてみたいと思います。

情報セキュリティの対策をしないことのリスク

情報セキュリティに対する意識を持ってもらうためには、まず、情報セキュリティリスクが身近にあり、仮に被害が発生した場合の損失が大きいというインパクトを感じ取ってもらうことが必要です。そこで本項では、「セキュリティインシデントの身近さ」「被害発生時の影響」という2つの観点を見ていきます。

セキュリティインシデントの身近さ

まずこの観点については、セキュリティインシデントの発生率、被害経験の度合いというデータから考えてみましょう。ここで挙げられるようなセキュリティインシデントとは、例えば「フィッシングメールやビジネスメール詐欺のメール受信」「不正サイトへのアクセス」「身代金を要求するウイルス(ランサムウェア)への感染」などが含まれます。また、システムの脆弱性を悪用したような攻撃なども挙げられます。

トレンドマイクロ社が、民間企業・官公庁のインシデントを把握する担当者、計1086人に行った調査では、2019年4月~2020年3月の間に何らかのセキュリティインシデントが発生した組織がおよそ78.5%にのぼるとしています。つまり、およそ5社に4社は何らかのインシデントに遭遇しているということです。
また、調査対象者のうち43.8%の組織がインシデントに起因した何らかの被害を経験しており、システム等の停止による損害・調査対応費用・賠償等の事後対応を含めた年間平均被害額が約1億4800万円との結果が公表されています。もちろん平均額であり、上下の差は大きいので一概に被害額を述べることはできませんが、情報セキュリティインシデントが発生した際にはおよそ半分の確率で被害が発生し、金銭的損失も伴うことがわかります。

結論としては、5社に4社の確率でインシデントが発生する可能性があるという結果はセキュリティインシデントを身近に感じるデータなのではないでしょうか。

被害発生時の影響

この観点では、実際のインシデント発生時に組織が受ける被害のデータから考えてみましょう。

2017年の米Centrify社による調査では、データ侵害のインシデントを公表直後に、平均して「5%の株価下落」「7%の既存顧客損失」「31%の消費者が取引を中止」といった結果が出ています。
また、2019年のJNSAによる調査では、個人情報漏えいインシデントの被害として、「1万3,334人/1件当たりの漏えい」「6億3,767万円/1件当たり平均想定損害賠償額」「2万9,768円/1人あたり平均想定損害賠償額」という結果が出ています。

これらの結果から見えることとして、セキュリティインシデントは中小企業など規模に限らず場合によっては億単位の大きな損害が発生する可能性があり、また、顧客からの信頼に直結する場合もあるということがわかるのではないでしょうか。

情報セキュリティ対策に前向きになってもらう方法

対策しないことのリスクをデータを用いて伝える

まず、情報セキュリティ対策に目を向けてもらうためには、対策しないことによるリスクを実感として認識してもらうことが重要です。そのために、前項で挙げたようなデータを用いてリスクを伝えていくということは、まずはじめに行うべき有効的な手段のひとつです。

対策しておくことで、被害発生時の信頼向上や利益につながる可能性を伝える

前項のデータでもわかるように、インシデントの発生は大きな損害を生み出したり、顧客をはじめとした第三者からの信頼低下につながることが多いです。もっとも、インシデントへの対策をしっかりと行うことで結果として信頼の回復・前年以上の利益につながった企業も存在します。

そのため、上記のような被害のインパクトの認識に加えて、対策することでマイナスをプラスに変えられる可能性があるということを認識してもらう、訴求することは、情報セキュリティ対策に前向きになってもらう1つの方法として挙げることができるのではないでしょうか。

まとめ

今回の記事を通して、少しでも情報セキュリティが身近である、取り組む意味があると思っていただけたら幸いです。その上で、情報セキュリティのための仕組みでもあるISMSに興味を持っていただけましたら、お気軽にLRMにお問い合わせください。

参考

  • 「サイバー攻撃から組織を守るために経営層ができること2020年度 法人組織のセキュリティ動向調査」(トレンドマイクロ社)
  • 「2018年情報セキュリティインシデントに関する調査報告書」(JNSA)
  • 「THE IMPACT OF DATA BREACHES REPUTATION & SHAREVALUE」(Crntrify社)
Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする