ITが深化を遂げるいまなお、サイバー空間を通して得た情報は、フィジカル空間においても密接に関わるようになりました。
一方で、システムが停止した場合や情報流用された場合などの影響も大きくなることを意味します。
また昨今においては、国によってセキュリティ対策への指針として「サイバー・フィジカル・セキュリティ対策フレームワーク」が策定されるなど、セキュリティに対する関心が高まっています。
時代と共に情報システムがアップデート、情報セキュリティ関連法規も改正されてはいますが、
組織及び個人で知識や意識を持っておくことが重要です。
情報セキュリティは、大切な情報資産の保護やステークホルダーからの信頼構築、企業競争力及び収益性の維持や向上のためにも重要です。
セキュリティ施策自体が直接利益を生むものではありませんが、問題が起きてからでは手遅れとなります。
強い組織を作っていく上では欠かせないものです。
毎年IPAにより、情報セキュリティに対する脅威として「情報セキュリティ10大脅威」が発表されています。
2021年の発表では、個人に対する事案として、第1位「スマホ決済の不正利用」第2位「フィッシングによる個人情報等の詐取」第3位「ネット上の誹謗・中傷・デマ」と続き、組織に対する事案として、第1位「ランサムウェアによる被害」第2位「標的型攻撃による機密情報の窃取」第3位「テレワーク等のニューノーマルな働き方を狙った攻撃」と続きます。
ソフトウェアの脆弱性はソフトウェアの更新やウイルス感染についてはセキュリティソフトの活用、パスワード窃取についてはパスワード管理や認証を強化、セキュリティ設定を見直し、脅威や手口を知っておくことなどリテラシーを持っておくことが重要です。
情報セキュリティに対する意識は、組織1人のヒトが持っていても意味がなく、
エグゼクティブ層をはじめ、組織全体として共通意識を持たなければなりません。
CSIRT(社内の情報セキュリティインシデント関連に対応するチーム)や情報セキュリティの管理者を設けるなど、組織全体として情報を保護していきましょう。
情報を管理する上で、意識をしなければいけない3つの概念指標があります。
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)です。
それぞれの頭文字を取り、CIAと呼びます。
機密性(Confidentiality)とは・・・
特定一部の対象者のみが許可された範疇で利用できる状態のことです。
必要以上に管理者権限やスーパーユーザー権限などの最高権限を与えると、セキュリティにリスクが生じるきっかけとなります。
権限を付与する際は、信頼できる適切な人に適切なアクセスコントロールを掛けることが求められます。
完全性(Integrity)とは・・・
情報は正確(完全)である状態のことです。
利用者に情報が到達するまでに改ざんや不足があっては、情報に完全性があるとはいえません。
可用性(Availability)とは・・・
情報を使いたいときにいつでも使える状態のことです。
稼働率が高いほど、可用性が高いといえます。
特に重要なシステムには「ファイブ・ナイン」という可用性目標数値が使われます。
これは稼働率99.999%を表し、1年間で5分程度しかシステムを止めることができないものです。
情報を脅かす脅威は、大きく分けて3つに分類されます。
物理的脅威、技術的脅威、人的脅威です。
物理的脅威とは・・・
地震や火災などの自然災害、電力設備の故障、侵入者による破壊行為といった直接的に情報が喪失する脅威のことです。
技術的脅威とは・・・
システム障害やバグ、不正アクセスなど技術を基点として情報が脅かされる脅威のことです。
人的脅威とは・・・
人間によるミスで、誤操作によるデータ流失や置き忘れによる紛失、管理や設定ミスなどの脅威のことです。
脆弱性についても大きく分けて、3つに大別されます。
物理的脆弱性、技術的脆弱性、人的脆弱性です。
物理的脆弱性とは・・・
物理的施策で対策が可能なセキュリティ欠陥のことで、建物が耐震構造になっていなかったり、ファシリティチェックがなされていない場合などが該当します。
技術的脆弱性とは・・・
システムアップデートやセキュリティ設定によって対策が可能なセキュリティ欠陥のことで、コンピュータウイルスの感染やセキュリティホール、アクセスコントロールがなされていない場合などが該当します。
人的脆弱性とは・・・
人を基点とするセキュリティ欠陥のことで、組織管理不備やセキュリティ教育未実施、人的ミスや権限を明確化しない(事象が発生した場合に発生の根源を追うことができなくなる)ことによる過失などが該当します。
人間心理や人的ミスなどの脆弱性を利用して、秘密情報といった情報を搾取する手法のことです。
主な手法には、以下のようなものが挙げられます。
情報を盗み取ることを目的に、特定の個人や組織に対して行われる攻撃のことです。
機密情報を聞き出すことを誘導する電話・メールや情報が流出しないようにする出口対策を講じるなどしておきましょう。
悪意のある挙動を実行することができるプログラムやソフトウェアのことです。
ウイルスやワーム、スパイウェアなどがあり、不審なプログラムはダウンロードしない、実行しない、事象が疑われる場合は回線を切断しシステム管理者の指示を仰ぐなど適切な判断が必要です。
事前に入手したアカウントIDやパスワードを利用して、不正ログインをする攻撃のことです。
同じアカウントIDやパスワードを使い回さないことが重要です。
情報セキュリティは、直接利益を生むものではないため、現状の組織を取り巻くリソースとセキュリティ重要性のバランスで対策を講じていくことなります。
日々意識し、できることから取り組んでいくことが、情報セキュリティリテラシーの向上に繋がります。
【無料公開】EC事業を始める前に必ず考えておくべきマーケティング戦略とは
EC事業を始める前に知っておきたいノウハウを86ページにわたって大公開!
大好評だったセミナー資料をぎゅっと凝縮した超濃密なホワイトペーパーになっております。
ECをこれから始める事業者は必見の内容となっています。
▼資料構成
① ECの基本知識について解説
従来のECについての課題に触れながら、顧客獲得の経路についてお伝えいたします
② EC業界の構造変更について
近年のEC事業者数の増加や法改正により生じているCVRの悪化について詳しく解説いたします
③ CPAとLTVの考え方
売上LTVと利益LTVに言及しながら、事業改善策についてお伝えいたします
④ これからのマーケティング戦略
VUCAの時代における事業のあり方について考えていきます
⑤ EC事業構築の考え方
「1年後以降も利益の出る事業」について2つのマーケティング手法を伝授いたします