韓国「平昌オリンピック」で6億ものサイバー攻撃があった事情

GWも終盤。といっても、連休が明けたところで自宅待機を続ける人は少なくない。在宅勤務を促している企業は、「サイバー攻撃へのリスク対策」は万全だろうか。テレワーク、オリンピック…今の日本の抱えている現状は、サイバー攻撃の格好の的だ。本記事では、過去の例から習っていこう。※本連載は『そのセキュリティ対策が会社を潰す』(幻冬舎MC)から一部を抜粋・再編集したものです。

テレワーク増えた今「サイバー攻撃」対策が緊急の課題

2019年4月より順次施行されている「働き方改革を推進するための関係法律の整備に関する法律(働き方改革関連法)」を受けて、多くの企業が従業員の働き方について見直しをしています。主な課題は「長時間労働の是正」「多様で柔軟な働き方の実現」「雇用形態にかかわらない公正な待遇の確保」の3つです。

 

このうち長時間労働対策として、長時間残業の廃止を掲げる企業は多くありますが、実際には残業分の仕事を自宅や社外でこなしているというケースも少なくありません。その場合、パソコンやデータの持ち出しによるリスクが発生してしまいます。

 

また、2020年の東京オリンピック・パラリンピック開催期間には、東京の企業の多くが自宅やシェアオフィスでのテレワークを実施する予定ですが、その場合も流出や紛失などのリスクが考えられますし、そもそも、オリンピック期間にはサイバー攻撃が増えるという問題もあります。

 

※本書『そのセキュリティ対策が会社を潰す』(幻冬舎MC)発売当時(2月末時点)の情報。2020年3月30日、国際オリンピック委員会(IOC)の発表により、2021年への延期が決定。

 

たとえば、2012年のロンドンオリンピックでは約1億6,500万回もサイバー攻撃を受けたとされており、2018年の平昌オリンピック(冬季)では準備期間も含めると6億を超えるサイバー攻撃にさらされました。

 

サイバー攻撃では、情報を利用するだけでなく、自分のハッキング技術のアピールのために攻撃をするケースもあります。全世界が注目するオリンピックはそんな承認欲求を満たすにはぴったりの舞台なのです。

 

「どうせ、大企業しか狙われないだろう」と考えるのは大間違い。近年はセキュリティが強固な大企業ではなく、セキュリティが甘い中小の業務委託先を狙った「サプライチェーン攻撃」が増えているため、むしろ中小企業のほうが注意をしなければいけません。

 

開催期間中の東京では多くの人やモノ、そして情報が行き交うことが予測されます。この間、電気や水道などの重要なインフラや、選手や来場者の足となる交通、インターネットやテレビ中継を行う情報通信の企業では、サイバー攻撃への対策が欠かせないといえるでしょう。

 

また、不正アクセスなどのサイバー攻撃については、そもそも不正なアクセスがあったこと自体に気づいていないというケースも少なくありません。対策ソフトの導入以外にも、もし不正アクセスが見つかった場合はどういう対応をするのかまでを、取り決めておく必要があります。

 

オリンピックはサイバー攻撃に最適の機会?
オリンピックはサイバー攻撃に最適の機会?

厳しいルールを決めると作業効率が悪くなる恐れも

企業活動の多くは社外の関係者の存在によって成り立っているため、情報セキュリティ対策では社員はもちろん取引先などとの関係も考慮する必要があります。具体的には顧客、委託先企業、従業員、親会社などです。

 

細かい話になりますが、自社で「取引先にデータを送る際にはダウンロードの日数や回数の制限をかける」というルールができた場合、取引先では、忙しいからあとで確認するとか、スマホで確認したものをパソコンでプリントアウトするといったこれまでの方法が取れなくなる可能性が出てきます。ほかにも、電話で簡単に聞けていた情報が一定の手順を踏まないと開示してもらえない、担当者以外から情報を聞き出せないといった不便が出てくると、結果的に作業効率が悪くなる恐れがあるのです。

 

また別の可能性として、自社で情報管理を徹底しても、その情報を渡した取引先の意識が低ければ、そこから漏えいや紛失の可能性が出てきます。実際、関係先の従業員が情報を漏らしていたという事件は頻繁に発生しています。

 

顧客情報はもちろん、社員やパート職員、出入り業者に関する個人情報や、メーカーであれば新商品や新しい技術についての情報をどう取り扱うのかを取り決めるようにしましょう。

 

たとえば、IDやパスワードなどによるアクセス制限や特定エリアへの入室者制限をする、入力ミスやバグ、改ざんなどが起きないよう従業員やシステムを管理する、データを常に安全に利用できるようにする。天災などでシステムダウンが起きても早急に復旧できるように、クラウド上にバックアップしておくなどです。

 

少子高齢化による労働人口の減少に対し、国内の企業では外国人労働者の採用を進める動きがあります。国や地域が違うと情報の取り扱いについての意識も違うケースが見受けられますから、確認や指導をするようにします。

 

これらは、すべての会社に当てはまるわけではありません。しかし、将来的に株式公開を予定している、社内業務をアウトソーシングしたいなどの計画がある場合は、事前にこうした項目を確認しておくと、スムーズな対応を取ることができます。

 

<ポイント>

必ず守らなければいけない項目、できれば守ったほうがいい項目、守らなくても問題がない項目を明確化すること。

 

 

幸松 哲也

LRM株式会社 代表取締役 CEO

LRM株式会社
 代表取締役 CEO

新卒で大手システムインテグレータのTIS株式会社に入社しその後外資系IT企業、システム会社を経て2006年12月にLRM株式会社を設立。
「情報は『守る』ためにあるのではなく、『使う』ためにある」をポリシーに、セキュリティダイエットの実現に向けて多伎にわたる提案をしている。
ISMS認証審査機関において主任審査員として審査業務にも携わってきた経験も持つ。

著者紹介

連載その「セキュリティ対策」が会社を潰す

そのセキュリティ対策が会社を潰す

そのセキュリティ対策が会社を潰す

幸松 哲也

幻冬舎メディアコンサルティング

毎年相次ぐ大手企業の情報漏えい事件。その原因の多くは「間違った情報セキュリティ対策」にあります。セキュリティ対策ソフトの導入や情報の持ち出し規定の強化など、一見対策を行っているように見えても、実際には内容が更新…

メルマガ会員限定記事をお読みいただける他、新着記事の一覧をメールで配信。カメハメハ倶楽部主催の各種セミナー案内等、知的武装をし、行動するための情報を厳選してお届けします。

登録していただいた方の中から
毎日抽選で1名様に人気書籍をプレゼント!
会員向けセミナーの一覧