このページの目次
法規制とガイドライン
日本では情報セキュリティ重視、企業が遵守すべき法律や指針が行われています。代表的なものには個人情報保護法、サイバーセキュリティ基本法、および国際規格を整備したJIS Q 27001(ISMS)があります。
個人情報保護法(APPI)
個人情報の適正な寛容を決める日本の優先的なプライバシー法です。企業は安全管理措置の実施や第三者提供の制限など多様な要件を遵守する必要があります。 2017年および2022年の改正で規制が強化され、個人データ漏洩時の報告義務が導入されました。
例えば、漏洩が1,000件超やランサムウェアによる流出など一定の場合、企業は個人情報保護委員会(PPC)への報告が義務付けられています。
同法に違反した場合には罰則も定められており法人に対する罰金は1件につき最大1億円になっています。
またPPCは企業に対する報告徴収や立入検査、是正命令を行う権限を持ち、これらの検査や命令に違反した場合にも,1年以下の懲罰など刑事罰も科される可能性があります。
ただし法規制により、企業には高度な個人情報保護とセキュリティ対策が求められており、もし予想されれば巨額の罰金や社会的信用の失墜という大きな影響があります。
サイバーセキュリティ基本法
2015年施行の基本法で、国家サイバーセキュリティ戦略の指針となる法律です。直接企業への罰則を決めるものではありませんが、政府・自主・民間の責務を明確化し、国全体のセキュリティ推進体制を整備しています。
「重要インフラ事業者」に対しては、自主的かつ積極的にサイバーセキュリティの確保に努め、国や自治体と協力する努力義務を課しています。
2018年改正では官民の情報共有の場としてサイバーセキュリティ協議会の設置も規定されました。
基本法では,政府は3年ごとにサイバーセキュリティ戦略を策定し見直すことになっており、最新の戦略(2021年策定)は企業の検討指針にもなっています
この基本法は、法的強制力というより政策的な問題と方向性の提案によって、企業にセキュリティ対策の重要性を認識させる役割を果たしています。
JIS Q 27001(ISMS)
ISO/IEC 27001に相当する情報セキュリティマネジメントシステム(ISMS)の日本産業規格です。法律ではありませんが、企業が情報セキュリティを体系的に管理するためのベストプラクティスとして広く採用されています。ISMSでは、自社の情報資産とリスクを洗い出し、正しい管理策をPDCA(計画・実行・点検・改善)サイクルで継続的に運用します。
機密性・完全性・可用性のバランスを保ちながらリスクを管理し、ステークホルダーに「適切にリスクをコントロールしている」という信頼を提供することがISMSの目的です。
日本ではISO27001/JIS Q 27001の認証取得企業が約8,945件と世界でも最多であり,実際、日本の個人情報保護法やガイドライン業界も「適切な安全管理措置」を求めており、その対応策としてISMS認証の取得・運用が推奨されることがあります。
総じて、JIS Q 27001は事実上の標準ガイドラインとして企業のセキュリティ体制構築に大きな影響を与えています。
この他にも、経済産業省とIPAによる「セキュリティ経営ガイドライン」などが公開されており、経営層が率先してセキュリティに取り組むべきポイントを示しています(2023年3月改訂版ではリスクマネジメントやサプライチェーン対策の強化が認められました。
さらに業種別のガイドライン(例:金融庁の「機関金融向けサイバーセキュリティガイドライン」)も整備が進んでいます。規制と各種ガイドラインを遵守・参照することが、企業にとって法的なコンプライアンスと適切なセキュリティレベル維持の両方から重要となっています
企業における具体的なリスク
現代の企業が直面する情報セキュリティ上のリスクは多岐にわたります。
主な観点として、サイバー攻撃、データ漏洩、業務妨害の3つの観点が挙げられます。それぞれの具体例と影響を見てみます。
サイバー攻撃(マルウェア・フィッシング等)
ランサムウェアやフィッシング攻撃は、日本企業にとって深刻な脅威です。
最近はランサムウェア被害が増加しており、警察によれば2023年度に報告された被害は197件と依然多くあります。
その約74%はデータ暗号化に加え漏洩をも警戒する「二重覚襲型(ダブルエクストーション)」でした。
被害は大企業にも及び(全体の36%が大企業、52%が中小企業),企業の規模を問わず被害が発生しています。
多くの組織で復旧に1週間以上、8割が被害額100万円超、1億円を超えるケースもあると報告されています。
実際にランサムウェアにより業務停止や情報漏洩、社会的信用の喪失といった深刻なリスクが現実化しております。
例えば、大手旅行会社JTBでは、取引先を装ったメールを受け取った社員が,添付ファイルを開いたことで、約793万人分の顧客情報が外部に流出する大規模な被害が発生しました
この攻撃は既存の取引先ドメインからのメール偽装という手口で、防御をすり抜けています
このように攻撃者はメールやSNSを介した人のミスを狙って攻めるため、マルウェアソフトやフィルタリングだけでなく、人為的リスクへの対処も重要です。
その他、ビジネスメール詐欺(BEC)による不正送金や、ゼロデイ脆弱性を突いたサイバー攻撃も企業リスクとなっています。
データ漏洩(内部不正、クラウド利用のリスク等)
情報漏洩リスクは内部・外部両方から漏洩します。
内部犯行の典型例として、2014年のベネッセ個人情報流出事件があります。グループ会社の派遣社員が顧客情報約3,504万件を不正取得名簿業者に売却したもので、日本史上最大級の個人情報漏洩事件となりました。
流出してしまったのは子どもの氏名や来歴,保護者の連絡先などセンシティブな情報で、大きな社会問題となりました。
この事件では顧客への補償や適当対応だけでなく、企業イメージの悪化により新規顧客獲得の困難や既存顧客離れを招きました(実際、漏洩直後の記者会見で「被害弁償として500円を補償する」という方針を示したことに対して世間からは批判的な意見が集まり,事態を深刻化させてしまいました)。
一方、内部の都合による漏洩も後を絶ちません。メールの誤送信や設定ミスによって顧客情報を流出させてしまうケースが発生しており、IPAの「情報セキュリティ10大戦略2024」でも人間的ミスによる情報漏えいが確実より順位を上げ、重大な観点として認識されています
たたクラウドサービスは利用にリスクも顕在化しています。クラウドストレージの公開設定の不正やアクセス許可管理の不備で、インターネット上の機密情報が漏洩してしまう事故も報告されています。 さらに上位のデータに不正アクセスされ、大量の情報が一度に盗まれる恐れがあります。クラウドは互換性と引き換えに設定不備や認証情報管理のミスが命取りとなり得るため、オンプレミスとは異なるセキュリティ対策(暗号化、ゼロトラスト的なアクセス制御、クラウド専用の監査ログ監視など)が必要です。
業務妨害(サービス妨害攻撃、システム障害など)
サイバー攻撃やシステムトラブルによる業務停止も重大なリスクです。DDoS攻撃(分散サービス拒否攻撃)によりウェブサイトやオンラインサービスが長時間ダウンすると、企業は顧客対応や取引で大きな迷走を被ります。
特にゲーム・EC・金融サービスなどのネットサービスを提供する業種はDDoS対策が必須です。また、サプライチェーンを狙った攻撃による業務停止も無視できません。
自動車関係会社が攻撃を受けて工場が停止してしまった場合,わずか1日の停止でも約1.3万台分の生産ロス(=金銭的損失)になります
このように直接攻撃の隙にならなくても、取引先の被害が暫定的に業務が中断されるリスクがあります。 さらに、サイバー攻撃以外にもシステム障害や災害によるデータセンター停止なども業務中断が発生する可能性があります。障害発生時には迅速な復旧ができず長期のサービス停止にもつながります。
業務妨害系のリスクは、売上げや顧客流出だけでなく、社会的な信用低下(「この会社はトラブルでサービスが頻繁」という評価)にもつながってしまいます。
情報セキュリティ体制の構築手法
上記のようなリスクに対処し、法律の要件も満たすためには、企業を含む情報セキュリティを構築する体制を構築する必要があります。
効果的な体制構築には「人・プロセス・技術」の全方位に対策を講じることが重要です。
ISMS(情報セキュリティマネジメントシステム)の導入
組織的な安全管理の限界としてISMSを構築することは、セキュリティ体制の基盤となります。
具体的には、機密性・完全性・可用性のバランスを考慮して対策実施し、定期的な監査とマネジメントレビューによって弱点を正していきます。PDCAサイクルによる継続的な改善が重要で、社内規程の整備、アクセス権限管理、物理的防御、バックアップなど広範囲にわたる監視対策を統合的に管理します。
ISMS(ISO 27001/JIS Q 27001)を取得すれば組織として適切なリスク認証管理を行っている証明にもなり、取引面でも有利です。ISMS導入は一朝一夕にはいきませんが、組織風土としてセキュリティを根付かせ、リスクに強い企業体質を作る有効な方法です。
ゼロトラストモデルの採用
従来の境界防御(社内ネットワークは信頼できる前提で外部との境界にファイアウォール等を考える考え方)が通用しにくくなった現在、ゼロトラストセキュリティの考え方が注目されています。
ゼロトラストとは「何も信用しない」を前提に、ネットワーク内外の全てのアクセスを検証するモデルです。
具体的には、ユーザーやデバイスが社内リソースにアクセスする際、暫定LAN経由でも毎回認証・許可を行い、端末のセキュリティ状態や利用権限を確認します。
これはクラウド利用やテレワークの普及で社内外の境界が解放される中、認証の多要素化や端末検疫、暗号化通信などにより「常に疑う」姿勢で安全を確保すべきです。
Forrester社が2010年に提唱して以来のコンセプトですが、新型コロナウイルス感染症(COVID-19)下でのリモートワーク急増もあり企業ネットワーク構造の変革の中心として一気に広がりました
ある調査では、日本企業の94%が幅広い形でゼロトラストの導入を進めているとの結果もあります。
ゼロトラストを実現するには、認識管理の強化(シングルサインオンと多要素認証)、デバイスの状態検証(EDRなど)、ネットワークのマイクロセグメンテーション、常時監視とログ分析など複数の要素技術が必要です。いっきに完璧なゼロトラストを構築するのは困難です。
しかし、例えばVPNに代えてゼロトラストネットワークアクセス(ZTNA)を導入する、権利に応じてアクセスを柔軟化する、といった段階的な導入が考えられます。
従業員教育とセキュリティ意識の向上
技術的防御だけでは防げない人のリスクへの対策も覚悟しています。
例えばフィッシングメールの誤クリック、SNSへの不用意な情報投稿、または内部者による不正持ち出しなど、人間が関与するリスクは常在します。IPAの調査でも、漏洩情報えい事故の要因として「内部不正」や「職員不注意による漏えい」が挙げられています。
企業は定期的なセキュリティ教育を実施し、全従業員の意識向上を取り組む必要があります。
具体的には、新入社員研修でのセキュリティポリシーの周知、年に1~2回の全社セキュリティ講習、フィッシング模擬訓練の実施、情報確保に関するeラーニングなど効果的です。
さらに内部監査規定を整えて内部不正への抑止力としながら、内部告発制度を活用してセキュリティ上問題のある行為を早期に発見できるようにします。
セキュリティツールの活用(EDR、SIEMなど)
最新の専門ツールを導入し技術面の防御力とセキュリティ性を高めることも有効です。
各端末上で警戒を行い、マルウェア感染や不審な動きを一時的に観察知・遮断する仕組みです。
例えばマルウェアが社内に侵入しても、EDRによって端末で不審審プロセス実行や権限昇格の試みを監視し、隔離・削除することが可能です
一方、SIEM(Security Information and Event Management)はサーバやネットワーク機器などから集まるログを一元的に・相関分析するプラットフォームです。SIEMにより全社のセキュリティを一時監視すれば、異常なパターンや複数の機器にまたがる攻撃を検出できます
これに加え、XDR(拡張警戒・対応)やSOAR(セキュリティオーケストレーション自動化)など、複数のセキュリティツールを統合しインシデント対応を自動化・効率化する製品も登場しています。
その他にもWAF(ウェブアプリ防御)、IDS/IPS(攻撃・防御)、DLP(データ漏洩防止)、UTM(統合客観管理)など多様なツールがありますが、自社のリスクに合わせて適切なものを重視・実装することが重要です。
高度なセキュリティツールの活用により、人の資源には限りがある企業でも24時間体制の監視や的確な攻撃の検出が可能となり、インシデント被害を少し考えて期待できます。
以上のように、セキュリティ体制構築には「経営システムとしてのISMS」「新しいモデルであるゼロラスト」「人的対策の徹底」「先端ツール導入」という複数の柱があります。これらを総合的に組み合わせて、自社の規模・業種・リスクに適合させることで、強靭な情報セキュリティ体制を築くことができます。
セキュリティ対策のメリット
十分な情報セキュリティ対策を講じることはコスト面の負担だけでなく、企業にとって多くのメリットがあります。
企業の信用向上と顧客信頼の獲得
情報セキュリティ対策は企業の信用力を支える土台です。
態勢が不十分だと,「情報イメージ管理が甘い会社」という烙印を押されてしまいます。 実際に漏えい事故が報道されると企業のブランド価値が落ちるだけでなく、顧客の離反や取引停止、新規契約の減少を招きます。
深刻な事件の場合,株価が急落し長期的な顧客離れが発生するケースもあります
最近では「当社はISO27001を取得し安全管理を徹底しています」等と表示する企業もあり、これは顧客への安心感を与えるためとの差別化にも資するでしょう。
法令遵守によるコンプライアンスリスクの軽減
セキュリティ対策の充実は同様各種法令・規制の順守状況を高め、リスクが顕在化した場合の罰則リスクを軽減します。
個人情報保護法や業界ごとのセキュリティ基準に対応した対策を一時していれば、監督官庁からの指導や行政処分に対しても基本的には問題なく対応できるでしょう。例えば,個人情報保護法では前述の通り重大漏洩時の報告義務がありますが、平時から適切な漏洩防止策・監査体制を整えれば報告漏れがないを確認することができ、報告・公表に伴う社会的リスクを回避できます。
平素から法令に沿ってセキュリティ対策(アクセス制御、暗号化、ログ保存、監査など)を行っていれば、監査や認証取得がスムーズになり、取引先からの信頼獲得にも資するでしょう。
競争力強化とビジネス機会の拡大
情報セキュリティは現代、企業の競争力を高める戦略要素としても注目されています。
顧客データや取引情報を安全に管理できることは取引先から獲得するつながり、ビジネスの成長に重要な課題となります。
特に新規市場への参入や大手企業との取引では、厳しいセキュリティ基準の充足が前提条件となるケースが増えています。
実際、多くの企業がサプライチェーン全体のセキュリティを重視し、取引先にISMS認証取得や契約上のセキュリティ条項を求めようとしています。 離脱セキュリティ対策に投資することは、新たなビジネスチャンスを獲得するための土壌作りでもあります。また、セキュリティなセキュリティ体制はデジタルトランスフォーメーション(DX)の基盤としても重要です。DXを進める企業にとって、サイバーリスクの脅威はしばしば障壁となります。
セキュリティ面で安心があればクラウド活用やオンラインサービスなどの妥協を積極的に展開できます。
さらに、インシデントによる業務停止や顧客離れを防ぐことは、事業継続性の確保と収益維持に直結します。
大きな事故なく安定稼働を続ける企業は結果的に収益面でも有利になり、長期的な競争の優位性を得られます。
総じて、「攻め」のIT活用と「守り」のセキュリティは車の両輪であり、セキュリティをなおざりにする企業は競争に遅れている時代です。しっかりとした対策は企業の持続的成長と競争力維持・向上に大事な要素と言えるでしょう。
以上、情報セキュリティ対策は企業経営に有利が大きく、単純コストではなく価値を生む投資と賞賛すべきものです。
信用力の向上、コンプライアンス順守、競争優位の確立といった効果を通じ、セキュリティに注力する力が企業にとっても一つの武器になるでしょう。
実際の事例(情報漏洩事件の教訓)
日本国内で発生した情報漏れインシデントの例を分析すると、リスクの現実性と対策の重要性が浮き彫りになります。
ベネッセ個人情報流出事件(2014年)
前述のように、ベネッセコーポレーションではグループ会社の派遣社員が顧客情報を不正持ち出しし、延べ3,504万件もの個人情報が流出しました。
流出した情報には子どもの名前や住所、保護者の連絡先などが含まれていました。
原因は「内部犯罪(先委託社員の不正)」であり、技術的なハッキングでは防げない類の事故でした。
この事件の原因として、内部者に対する権限管理や監視の甘さが指摘されました。
ベネッセではグループ会社社員が多数の顧客D Bにアクセスできる状態にあり、持ち出し監視体制も批判されてしまいました。
これは「信頼していた内部関係者から情報が漏れる事例」として取り上げられ、企業に対する内部不正防止策(アクセス権の最小化、データ持ち出し制限・暗号化、ログ監査、人事チェック等)の強化を図るためのきっかけにもなりました。
日本年金機構サイバー攻撃(2015年)
公的機関ですが、企業にも啓発として取り上げます。日本年金機構職員がウイルス付きのセキュリティメールを開いてみると、125万件分の年金加入者の個人情報(氏名、基礎年金番号、住所、住所)が外部に流出しました。
当時、機構内の端末は最新のウイルス対策が行われていなかったとも言われ、基本的なサイバー衛生(セキュリティパッチの適用や職員教育)の欠如が原因でした。そして、政府も再発防止のため組織的なセキュリティ強化チームを立ち上げることになりました。
この事件はフィッシングメールの1クリックが大量の機密データ漏洩に直結することを世間に知らせ、官民問わずセキュリティ対策と職員訓練の重要性を痛感させられました。企業でも、同様の手口による情報流出事件(JTBの793万件漏洩や日産自動車の機密図面流出など)が発生しており、「進入対策の徹底とインシデント対応」が重点であると認識されています。
JTB顧客情報漏洩事件(2016年)
日本企業に対する対抗型攻撃の代表例です。大手旅行会社JTBのサーバー会社が不正アクセスを受け、最大約793万人分の個人情報(氏名・住所・メールアドレスなど)が流出しました。
攻撃の起点は、取引先になりました見事な突破型メールで、従業員が開いた添付ファイルからマルウェア感染が確実に行われています。
JTBは個人情報保護委員会からの指摘を受け、該当顧客に注意喚起を行うなど対応に追われました。またJTB事件では、流出情報にパスワードやクレジットカードが含まれなかったもの、接触対応や信用低下による営業妨害など目に見えない被害も甚大でした。
以上のように,情報セキュリティと企業のコンプライアンス意識は切っても切れない関係にあります。
情報セキュリティとそれを取り巻く法令に関してご不安なことがある方,ご心配なことがある方は,一度お問い合わせください。
