企業・組織の「福利厚生」は今、大きくその姿を変えようとしている。これはサイバーセキュリティへの真剣な取り組みが社会的に始まっていることの表れである。サイバー攻撃の影響は企業・組織の根幹を揺るがしかねず、場合によってはスタッフの命や健康さえ脅かす恐れがあるからだ。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
どうしてサイバーセキュリティが「福利厚生」である、と言えるのか
少なくとも現在のところはまだ、サイバーセキュリティは福利厚生だと認められてはいない。労働安全衛生世界デー(毎年4月28日、ILOが2003年に定めた)でも典型的には、職業上の事故や疾病に関するテーマが焦点となっており、最近でも、健康文化(2015年)や職場でのストレス(2016年)が話題の中心である。
しかし、公式であれ非公式であれ、サイバーセキュリティへの注意も福利厚生のテーマの一つとすべきだという議論をすることは可能である(そうすることで職務に関連してコンピューターやネットワークの「健康」や「安全」についての注意を喚起できるからだ)。
少なくともサイバーセキュリティは、今や全世界的な課題となっている。全ての規模の企業・組織やその全てのスタッフに、あらゆるビジネスの次元で影響を及ぼしている。企業がこの課題を健康や安全に関わるものとして重要視しなければならないのは、まさに今なのだ。
事実として、今日では、さまざまな「モノ」がネットワークにつながっている。IoTの世界では、スマート冷蔵庫からペースメーカーまで相互に接続している。それゆえ、情報セキュリティと安全とがすでに直結していると論じることもできる。
コンピューターセキュリティ界の「長老」格であるブルース・シュナイエル(Bruce Schneier)氏は、2017年1月の「ニューヨークマガジン」誌の記事で、「全てをインターネットに接続させるというトレンドを逆転させる必要がある」と述べている。
「もし間違ってしまえば、コンピューター産業は製薬業界のようになってしまうか、あるいは航空産業のようになってしまうだろう。しかし、正しい選択を行えば、インターネットを技術革新の機動力として今後も存続できるだろう」(シュナイエル氏)
なぜ職場におけるサイバーセキュリティを加速させなければならないのか
サイバーセキュリティは職場でますます重要になっている。安全な情報の保管からデータ侵害に至るまでビジネスのあらゆる側面に与える影響(直接利益にまで波及しかねない)があるからだ。サイバーセキュリティは最悪のケースでは、ビジネスを破綻させかねないし、今後は、データ保護当局から莫大な課徴金を課される恐れも発生する。EUでは「GDPR」(EU一般データ保護規則)が2018年5月25日より導入されるため、その可能性はますます高まることだろう。
幸運なことに、時代の転換を見据えている企業・組織であれば、サイバーセキュリティを経営課題の一つとしてしっかりと位置付けている。優先順位も上位に置く傾向が見られる。定期的に情報セキュリティの意識向上のトレーニングプログラムを実施したり、最新の脅威から自身を守ろうとする経営陣が増えつつあるのである。
逆に、そうしなかった場合の危険性はよく知られている。統計によれば、データ侵害の38%は内部漏えいであり、バーミンガムのアラバマ大学による2015年の研究がそれを裏付けている。同報告によれば、4社に3社が内部漏えいが最大のデータ侵害の脅威だということを無視しているという。また、およそ75%の従業員が、業務で使うファイルを個人のクラウドアカウントにアップロードしているという。
これらの数値は、クラウドの活用を広げIoTによってより緊密に相互接続されることで、非常に高くなる恐れがある。
こうした接続例、そして拡大しつつあるリスクの例としては、英国における最大規模の病院が2017年1月にランサムウェアの被害に遭ったことが挙げられる。ほかにも、フィンランドで暖房の制御を不可能にする攻撃や、自動ビル制御システムへの攻撃もあった。
また、これは別の話題ではあるが、ホワイトハットのセキュリティ研究者の米国人2名が、オーストラリアのシドニーにある巨大IT企業のオフィスビルの管理システムにクラッキングを仕掛けたり、IoTのセキュリティの事故の危険性を描き出すためにセント・ジュードメディカルの、無線ペースメーカーの脆弱性を見つけたりしている。サイバーセキュリティと健康・安心は明らかに、相互に関連していくことだろう。
なぜ企業・組織はサイバーセキュリティを健康や安全と同様に重視すべきなのか
健康と安全についての規制の導入は、数年間にわたって従業員の福利厚生を改善し、ストレスから保険の請求を伴う事故までを削減させられる。
サイバーセキュリティを重要視する企業は、より大きな利益も得られるようであり、より良い防御とより少ない攻撃の成功は、技術による解決として予算獲得が可能なようだ。究極的には、より強力な防御をとる姿勢は、ブランドの評判を高め(データ侵害によって通常はマイナスの影響を受ける)、利益を保護し、ある種の緊急性の高い実務の場合には、人命を守ることにもなる。
さらにシンプルに、企業はサイバーセキュリティ対策を取り入れなければならない、と論じる人もいるかもしれない。サイバー犯罪者の間では、最新のハイテクとして「サービスとしてのサイバー犯罪」(cybercrime-as-a-service)が広がっている。競争優位を築くために多くのデータを手に入れたいという欲求があり、こうした動向が企業に大きなリスクとなっている。デジタルビジネスを真に保護していきたいのであれば、企業の経営陣はサイバーセキュリティを最優先事項にする必要があるのである。
ノーザンアイルランドウォーター社のCIOであるシームス・ドイル(Seamus Doyle)氏は、健康と安全との関わりにおけるサイバーセキュリティの重要性を、「ビジネスリポーター」(Business Reporter)誌のインタビューで「サイバーセキュリティは上司と話すときにはまだ、健康・安全と同等の深刻さを持ってはいないとはいえ、その次あたりの優先順位を持ち始めている」と強調している。
「かつて企業は、生産性のために健康と安全を犠牲にする傾向にあった。しかし今それはビジネスを続けていく上で受け入れられない方法である。サイバーセキュリティへの対応もまた、こうした傾向と同じ動きになっている」とドイル氏は述べている。
