新型コロナウイルス感染症が発生して2年、未だ出口が見通せない中、日々の経営活動を継続するにあたって、リモートワークを取り入れる企業は増加する一方です。ウェブ会議ツールやビジネスチャットなどを有効活用する事で、通勤時間削減による満足度向上、業務の効率化といった効果を実感している成功事例も複数見受けられるようになりました。

　一方で、コロナ禍を機に急速にリモートワークを進めた企業では、リモートワークのリスクを見過ごしている可能性があります。複数のリスクがありますが、最も深刻なものは情報漏えいリスクが大幅に増加したことです。録画、共有が簡単なweb会議ツールの積極的な利用により、社内の情報が、従業員の操作ミスや外部からのハッキング等が頻発し、で漏えいする可能性があります。実際に、社外秘の資料を取引先に画面上で共有してしまったり、会議参加者の認証方式が徹底できておらず第三者が会議に参加してしまったり等の事例が見られます。

サイバーリスクへの対応は、予防と事後対応のそれぞれが重要

上記のようなサイバーリスクに対応していくためには、通常時からサイバーリスクに備える「予防的対策」と、情報漏えい等の事故発生時の「迅速な初動」が欠かせません。それぞれについて、詳細をご紹介します。

予防的対策には、事前のルール策定と従業員への普及徹底が必要

まず、予防的対策において重要なのは、サイバーリスクを最小化する社内ルールを事前に制定することです。しかし、多くの企業では社内に情報セキュリティーの専門家がいないため、どのようなルールを策定していいかわからないというケースがあるかと思います。その場合、情報処理推進機構（IPA）が提唱する「中小企業における組織的な情報セキュリティ対策ガイドライン」をぜひ参考にしてください。ここではその一例を紹介します。

1.ウィルス対策ソフトの正しい運用

コロナ禍以前から利用されている企業が多いかと思いますが、ファイアウォール、スパムメール対策、有害サイト対策等の各種ウィルス対策ソフトの定期的な更新が挙げられます。テレワークによって、従業員それぞれのアップデート状況の確認が難しくなっている事からおろそかになりがちですが、厳密に運用していくことが重要です。

2.インストールするアプリケーションの限定

従業員それぞれがPCにインストールするアプリケーションについては、インストールしてよいもの、いけないものを事前に決めておくことがサイバーリスク低減に繋がります。

3.重要データの暗号化

テレワークで外部ネットワークから社内イントラにアクセスする場合は暗号通信を利用するようにする、重要データのメール送信は暗号化するなどのルールーがあげられます。

4.web会議サービスのリスク対策

従業員がweb会議を行う場合、それぞれのPCは上記のルールを徹底させる、web会議室にパスワードを設定するなどのチェックリストを作成しておくことが良いでしょう。

これら上記ルールを作成した次には、それを従業員含め、社内で正しく運用していくことが重要です。ルールを従業員に周知・徹底し、破った場合の処罰も含め伝えていく必要があります。採用時に守秘義務契約や誓約書を交わす、入社後も勉強会を主催する、退職時にも機密保持契約を結ばせるなどの形が考えられます。

サイバー事故発生時は時間との勝負

どんなに入念な予防をしていても、サイバーリスクはゼロにする事はできません。万が一、情報漏えい等のサイバー事故が発生した場合はどのように対処するべきなのでしょうか。

情報漏えい、データの改ざん・消失が起こった場合、最も大切なのは、いかに早く対応できるかです。原因究明と再発防止に向けた策を迅速に講じることで、経済的損失・社会的信用の失墜を最小限にできる可能性があります。そのため、事故発生時の対応マニュアルを事前に整備し、それを事故時に正しく運用できる状態にしておくことが必要です。

個別の事情によって、多少の差はありますが、サイバー事故発生時に行うべき事項は大まかには以下の通りです。これらの各ステップを可能な限り迅速にかつ、確実に進めていくことが必要です。

1.発生と報告

2.原因特定と応急処置

3.社内周知と担当部署への連絡

4.復旧措置

5.原因対策の実施

サイバー事故の状況把握と原因究明には、デジタル・フォレンジックという調査、分析を行う必要があります。コンピューター、モバイル、ネットワーク等を調査し、軽微なものでも数十万円、大がかりなものでは数百万円まで及ぶ場合があります。さらに事業がストップすることによる損失や、取引先企業の機密情報や個人情報を漏洩させてしまった場合は数千万～数億円の賠償請求をされるケースもあります。

大手メーカーなどでもサイバー攻撃による事故が発生しているように、どれだけ厳重なセキュリティ対策を実施しても、サイバー攻撃による事故を100％防ぐことは難しく、普段からのセキュリティ対策と併せて、サイバー攻撃を受けた際の危機対応について、事前に整理・確認しておくことはもちろんのこと、サイバー攻撃やサイバー事故発生時に備えて、損害保険を契約しておく企業も多く見受けられるようになってきました。