「当社のような中小企業には、情報セキュリティ対策などに使うカネはない」し、「当社の情報システムにはハッカーがほしがるような情報はない」という人もいますが、これは大きな誤解です。情報セキュリティ対策をせずにインターネットと接続するのは、整備していない自動車を無免許で公道を走らせるようなものです。自分が危険なだけでなく、第三者への加害者になる危険があります。最小限の情報セキュリティ対策を講じることは、社会的責任なのです。
玄関のドアを開けっ放しにして外から見えるところに現金を放り出したまま外出したら、空き巣に入られます。泥棒が悪いのは当然ですが、そのような状況では盗まれる危険があることは十分に認識しているのだから、あまり同情はされません。それどころか、そのようなことをするから治安が悪くなるのだと非難されることもありましょう。
情報セキュリティでも同様です。セキュリティ対策が不十分なために、情報システムがダウンして自社の業務ができなくなろうと、不正アクセスにより機密情報を盗まれようと、そのような危険があることを知っているのに対策をしなかったのだから、自業自得だともいえます。
しかし、情報セキュリティ対策を怠ったことにより、第三者に被害を与えるのが問題なのです。知らないうちに被害者ではなく加害者にされてしまうのです。ですから、最低限の情報セキュリティ対策をすることは社会的な義務であることを認識してほしいのです。「ウチのような中小企業を狙うようなハッカーはいない。他人が見たくなるような情報なんかない。セキュリティのような効果が明確でないことにカネをかける余裕はない」などとはいっていられないのです。
情報セキュリティ対策が不十分だと、次のように加害者にされる危険が生じます。
- 個人情報の保護
- どの企業でも給与計算はしているでしょう。そこには社員の給与や家族構成などの個人情報も入っています。販売システムでは顧客名簿があるし、インターネットで商取引をしている場合には顧客のクレジットカードの情報なども取扱っています。このような個人情報を持ち出されたり改ざんされたりされたら、顧客に大きな被害を与えることになります。
- 他社への影響
- 情報システムでは売掛金や買掛金の処理をしています。あなたの会社の情報システムが過失や故意でそれらのデータが誤っていたら相手の会社に迷惑をかけてしまいます。銀行振込のシステムにトラブルがあり振込日が遅れたら、先方の会社が不渡りになるかもしれません。おカネの情報ではなくても、他社の情報が第三者に渡ったら思わぬ被害が生じるかもしれない。すなわち、あなたの会社の情報システムは会社の独占所有物ではないのです。
- ウィルスの伝播
- 電子メールにはウィルスの危険があります。近頃のウィルスはタチが悪く、受け取ったパソコンから逆に他のパソコンへとウィルス付の電子メールを送りつける機能を持っています。あなたの会社の社員を差出人としてあなたの会社のサーバから得意先や関係者あるいは第三者にウィルス付の電子メールがばらまかれることになるのです。
また、Webページを持っているときには、その管理が重要です。単に改ざんされるだけでなく、そのなかにウィルスを植えつけておき、ページを見に行った第三者にウィルスを送りつける方法もあるのです。 - DoS攻撃の踏み台
- 「○○社のサイトが不正攻撃に見舞われてダウンした」というようなことは日常茶飯事になっています。これは特定のサイトに大量のデータをいっせいに送りつけることにより、本来のサービスをできなくさせる不正行為でDoS攻撃(Denial of Service attack:・サービス拒否攻撃)といいます。
銀行強盗が盗んだ自動車で犯行するのと同じように、DoS攻撃の犯人も自分のパソコンから直接に標的サイトを攻撃するようなヘマはしません。セキュリティの甘いサイトに正規の利用者になりすましてネットワークに侵入し、システム管理者のパスワードを入手すれば、そのシステムを乗っ取ることができます。あるいは特殊なウィルスを植えつけることにより、犯人の指示で起動するようにもできます。
そのようにしたサイトを踏み台といいますが、その踏み台サーバから標的サイトに攻撃を仕掛けるので、標的にされたサーバからは、踏み台になったサーバが攻撃をしてきたように見えます。すなわち、あなたが加害者だと思われるのです。
このように、セキュリティ対策をしていない情報システムは、整備不十分な自動車を運転するのと同じで、社会的に許されない行為なのです。