はじめに:情報セキュリティ事故の状況
顧客企業でISMS(ISO27001)の審査を行っていると、いろいろな状況に出くわします。
今日は、その中から情報セキュリティ事故についてつぶやいてみたいと思います。
読者の皆さんは情報セキュリティ事故というと、真っ先にサイバー攻撃を思い浮かべる人が多いのではないでしょうか?確かに、情報セキュリティ白書などを見てもサイバー攻撃による情報漏えいの手口や被害状況が多数報告されています。しかし、筆者が審査員として顧客企業を訪問し直近1年間の情報セキュリティ事故を教えてくださいと言っても、サイバー攻撃による被害の事例は少なく、誤送信や紛失系が多くを占めています。別の情報ソースとしてSecurity Nextを確認しても後者のメール誤送信や紛失系が多く報告されており、本当は世間一般の企業で情報セキュリティ事故と言えばメール誤送信や紛失系の情報が多く、さらに多くの企業は軽微な情報セキュリティ事故(個人情報を含まないメール誤送信やUSBメモリー、スマホ、社員証の紛失)は公表しない傾向もかなりの数あることが理由だと思います。
情報セキュリティ事象のリスクアセスメント
次に、リスクアセスメントの観点から情報セキュリティ事故を見てみましょう。今の情報セキュリティレベルだと、将来発生するかもしれない情報セキュリティ事故をリスクの面から考察してみましょう。
リスクの重要度を図る指標に発生可能性と影響度があります。
まずは発生可能性ですが、筆者が会社員で情報セキュリティの推進をしているときもそうでした。日々、不審なメールが送られてきて感染するリスクはありますが、近年の標的型攻撃メール訓練等教育の効果もあり、メール内のURLクリック(または添付ファイルクリック)によるウィルス感染リスクは低減されているように思われます。一方、一日に何通もの添付ファイル付きのメール発信を行う従業員は、仕事の忙しさからついうっかりしてメールを誤送信したり、持ち出したUBSメモリー、スマホ、社員証の紛失することが多いようです。
次に影響度をみると、ウィルス感染では影響度は多大になります。場合によっては会社に保管している重要情報の多くが持ち出され、さらに暗号化されて元に戻すための身代金が要求されるランサムウェアが一般的になっています。他方、メール誤送信やスマホ、社員証の紛失による影響度はウィルス感染と比較すると軽微なことが多く、被害も限定的な場合がほとんどです。
リスクの評価
このように、リスクの観点からみると、
・サイバー攻撃によるリスクは、発生可能性は低いが影響度は高い
・メール等誤送信や紛失系によるリスクは、発生可能性は高いが影響度は低い
ことがわかるかと思います。
リスクアセスメントの観点から評価すると、これは両方ともリスク対応する必要(会社で決めているリスク受容基準を当然上回っていると想定できます)があります。具体的には、それぞれリスク対応策を検討し実施するとともに、関連する規程に対応内容を追記することも必要です。
リスク対応策の有効性についてはしばらく運用し、その後にリスク対策の効果があったかどうか(同様の障害が再発していないかどうか)を判断すると良いでしょう。
次のコラムでは情報セキュリティ事故が発生した時の報告の必要性について書きます。