トップページ > 施策のご案内 > 情報化推進 > 関西サイバーセキュリティ・ネットワーク > 2020年サイバーセキュリティ月間企画 > vol.6 大阪経済大学 金子 啓子 准教授
最終更新日:令和2年2月10日
パナソニック株式会社など民間企業における企業法務及び個人情報保護・情報セキュリティのグループガバナンス構築に関する豊富な実務経験に基づき、大阪経済大学において情報法や情報セキュリティマネジメントの研究を行う、金子 啓子 准教授に、企業経営におけるサイバーセキュリティ対策の勘所を聞いた。
-サイバーセキュリティ対策を実施しない最大のリスクは何でしょうか。
「社会的な信用を失うことです。個人情報の話はよく報道されるので認識が高まっていますが、自社が踏み台#1にされ、知らないうちに自分がマルウェア#2を送り込む側となり、お客様や社会に被害を与える可能性があることにはまだ気がついていないところも多いと思います。そのため、サプライチェーンを通じたサイバーセキュリティが重要と言われています。#3」
-対策が不十分な中小企業こそターゲットになりますね。
「はい、サプライチェーンの最も弱いところが狙われます。サイバー攻撃というのは、狙いがあってやってくるという認識を持つ必要があります。それでも自分のところは狙われるような資産はないと考える方も多いと思いますし、これまで取引先からサイバーセキュリティ対策について聞かれたことなどないとおっしゃるかもしれません。しかし逆の立場になってみてください。取引先が事故を起こした場合、何も言わないでその企業と取引を継続するでしょうか。そのあたりも突き詰めて考えてみると認識も変わってくるかなと思います。」
-今日からでもできる対策はありますか。
「よく言われることですが、セキュリティ事故の大半はごく基本的なことがちゃんとやられていないことに原因があります。高価なツールを入れていないといけないということでは必ずしもありません。例えば、古いOSを使っていないかチェックする、最新の状態にアップデートするなど、それだけでも随分違うはずです。」
-社内で情報システム部門の位置づけが低い企業もあります。
「経営者が情報システムの責任者に聞くと、「うちの会社は対策が出来ています」と言われたりするものですが、実際にログを見ている人達やネットワークの管理をしている人達は冷や冷やしているはずで、そういう現場の人達から素直に話を聞けるようにしておくべきです。情報システム部門は現業部門からなぜこれができないのかと、まるで出入りの業者のように言われたりして肩身が狭かったりしますが、大きな事故を経験した会社の経営者ほど、情報システム部門に対して日頃から耳を傾けています。」
#1 サーバやPCが外部の第三者に乗っ取られ、不正アクセスの中継地点や迷惑メールの発信源などに利用されてしまうことを、「踏み台にされる」といいます。
#2 マルウェアとは、ウイルスソフトなど、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。
#3 材料や部品の調達から製造、出荷、流通、販売などの「モノの流れ」を指すサプライチェーン(供給連鎖)のうち、セキュリティ対策が不十分な企業を狙ったサイバー攻撃が発生しており、サプライチェーン全体でのセキュリティ対策が重要と言われています。
近畿経済産業局 地域経済部 次世代産業・情報政策課
住所:〒540-8535 大阪市中央区大手前1-5-44
電話番号:06-6966-6008
FAX番号:06-6966-6097