マーケティング担当者が絶対に知っておくべき情報セキュリティの基礎知識
今回のマーケの強化書では、皆さんが普段の業務で触れている企業内データのセキュリティについて、少しお話しをしようと思います。
企業のマーケティング活動において、顧客データの重要性が明らかに高まっている一方で、悪意ある者(ハッカー等)にとっては、それらが金銭的価値のある、貴重な情報であることになります。こういった脅威に対し、マーケティング担当者は自らがどのような脅威にさらされ、どのようなリスクが起こりうるのかを想定し対策を行っていくことが求められています。特に近年では、マーケティングオートメーション(MA)などクラウドで個人情報を管理する機会が増え、便利になった一方でリスクも増加していることを認識できていない人が多いように感じます。
なお、当社では昨今の度重なるセキュリティ事故や情報漏えいを対岸の火事とはせず、情報セキュリティポリシーを策定し、情報セキュリティの国際規格に準拠したISMS(ISO27001)の認定を2年程前に取得。以降、情報セキュリティ確保と運用管理を開始しましています。
情報漏えいの原因はヒューマンエラーが8割
以下に記すのは、情報処理推進機構(以下:IPA)が発表している調査報告に基づいた統計データを基にしています。個人情報をはじめとした企業内の機密情報の漏えいは、その多くが企業内の管理ミスで発生しています。
企業における情報漏えいの原因は、内部要因によるものと外部要因によるものとに大きく2つに分けることができますが、このうち、外部からのアプローチによる「外部要因」は2割程度にすぎず、残りの多くが「内部要因」によるものです。つまり、情報漏えいの大半は、外部からの不正アクセス等よりも、ヒューマンエラーを中心とした内部の人に起因しているという事例が最も多いのです。
高性能な情報管理システムをいれて外部からの攻撃に防御策を講じているとしても、内部、つまり、社内で働く人の不注意などを原因とした情報漏えいが、最も多く発生しているということです。
「会社のITセキュリティ管理は万全だから安心している。」
「高性能のウィルスソフトは入れてる。アップデートもされてるから大丈夫。」
「そもそも漏えいして困るようなデータは扱ってないし。」
このように思ってる人はいませんか?
どんなに高性能なウィルス対策ソフトやセキュリティ管理システムを入れていても、
それを扱い、操作するのは人です。人が機器の性能や管理体制を過信して油断をした結果、大きな情報漏えい事故をおこしてしまう可能性もあります。
つまり、「セキュリティシステムが入ってるから大丈夫。」ではなく、データや情報に触れる私たちが、自ら「情報セキュリティ」の対策を講じていく、「意識と姿勢」がとても重要だということです。
意識しておきたいセキュリティ対策
自分でできる情報セキュリティって言われてもピンとこないかもしれませんが、自分自身の行動や気付きでリスク回避できることは結構あります。
日常的に起こりうるセキュリティ上のトラブルはどのような事が想定されて、自分自身どうやって、もしくは、どのような場面において情報セキュリティを意識しておくべきなのでしょうか。ここでは一例をご紹介いたします。
●パスワード管理
PCのログインパスワードをはじめとした、あらゆるパスワード管理を適切におこなう。
近年、パスワードの定期的な更新はかえってキュリティリスクを高めると言われています。それは、パスワードの変更をしていくうちに簡単な文字列になりがちで、破られやすいものになる傾向が出てきた事によるものですが、そもそものパスワードは、複雑で使い回しをしないということが前提になります。そうなってないパスワードはすぐに変更した方がいいでしょう。そういったパスワードはパスワードクラック(パスワードの解読)の攻撃を受けやすくなります。
IPAが発表しているデータでは、4桁未満のパスワードを解読するには、どんなに難しくしても9分以下で突破。10桁以上には膨大な時間がかかることが報告されています。
[出典 IPA]https://www.ipa.go.jp/security/txt/2008/10outline.html
ちなみに、12文字のパスワードを解読するのにかかるコストは1億6500万円であるのに対し、4文字の場合は1円以下であるとIPAは試算しています。
これをふまえても、英数字混在の8桁以上、もしくは10桁以上のパスワードを設定してしまうことが望ましいです。
標的型攻撃による情報流出
これは、ターゲットに向けて悪質メールを送りつけ、ウィルスに感染させることで特定の企業や人から機密情報を抜き取るという悪質極まりないものです。たちの悪いことに、感染してしまっても感染していること事態には恐らく気が付きません。知らないうちに機密情報が抜き取られてしまいます。
このようなサイバー攻撃における技術は日進月歩とも言われており、様々な方法でセキュリティの隙をかいくぐり、企業や個人の情報を抜き取ります。2018年、IPAが公表した「情報セキュリティ10大脅威 2018」によると、最も社会的影響の大きいセキュリティ脅威は「標的型攻撃による情報流出」であると警告しています。
[出典 IPA]https://www.ipa.go.jp/security/vuln/10threats2018.html
●不用意に開いてしまったメール。
知らない人からのメール、心当たりのない企業などからのメールには注意。
とは言っても、差出人名が知っている人だったら開いてクリックしてしまうのではないでしょうか。取引先、社内の仲間、顧客など、一見したら怪しさなど感じることのない、なんてことのないメールが爆弾を抱えてるケースもあります。
毎日たくさんのメールを受信されている方も多いと思いますが、中でも以下のようなメールは特に気をつけたほうが良いでしょう。
- 差出人のアドレスがフリーメール
- 差出人欄と署名欄のアドレスが異なる。
- 知らない人からのメールだが、メール本文の URL や添付ファイルを開かざるを得ない内容
- 心当たりのないメールだが、興味をそそられる内容
- これまで届いたことがない公的機関からのお知らせ
- 組織全体への案内(例:人事情報・新年度の事業方針)
- メール本文の日本語の言い回しが不自然である
- 使用されない漢字(繁体字、簡体字)が使われている
「こんなメールは開かないし、ましてや添付ファイルを開いたりしないよ。」
と言いたい方もいるかもしれませんが、標的型攻撃メールによる情報漏えいは年々増加傾向にあり、そういった油断が大きな事故につながっているという事例が多く存在しているという事は認識しなければいけません。
先述しましたが、「会社のITセキュリティ管理は万全だから安心している。」というのは油断です。情報の価値が急激に高まってきているなかで、この手の標的型攻撃メールの騙しのテクニックは日々進化しており、それ自体が標的型攻撃メールだと一見して見抜けるとは言い切れません。もちろん、セキュリティソフトのアップデート、OSや各ソフトウェアを最新の状態に保つといった基本的な対策は大前提として、「あれ?」と違和感を感じるようなメールは、不用意に開かないよう常日頃から意識しておくことが大事だと思います。
近年は、企業や公的機関など、組織からの情報漏えいのニュースをよく見聞きします。いまや情報漏えいによる事故はニュースの中の話ではないということを一人ひとりが重く受け止め、セキュリティに対する意識を変革する時期にきているのだと思います。
情報漏えい防止の第一歩は、セキュリティやシステム管理者任せではなく、マーケティング担当者もまた、情報管理に関わっているのだという意識を強くもつことから始まるのではないでしょうか。