【リスク】リスクヘッジしてますか?

  • #risk
  • #management
himaマネージャー/エンジニア

ども。Nextribe で SE として働いている hima です。

皆さん、リスクヘッジ してますか?私は全くしていませんでした。そう、Nextribe に入社するまでは・・・・。
Nextribe では各社員が様々な役割を担っており、私は リスクマネジメントチーム に所属しております。リスクマネジメントチームでは会社で起こり得る、あらゆる リスク を想定し全体に警笛を鳴らしたり、インシデント事案が発生しないような制度づくりを行っています。

今回は、リスクマネジメントチームで最近行っている取り組みについてお話したいと思います。

では、さっそくいってみましょう!!

世の中は「リスク」だらけ

「リスク」について国語辞典で調べてみると、「将来のいずれかの時において、何か悪い事象が起こる可能性」の事らしい。でも、考えてみて下さい。「何か悪い事象」っていつでも誰にでも起こり得る事じゃないですか?

外出したら車に惹かれる可能性がありますし、ネットで買い物したら詐欺に遭う危険性もありますし、牡蠣を食べたらあたる可能性がありますし、筋トレしたら筋肉痛になりますし、電車に乗ったらドアにカバンが挟まれるかもしれないじゃないですか。

そうなってくると、引き篭もりが最強にして至高!! ってなってしまうんですけど、実際は外出もするし、ネットで買い物もしますよね。リスクを冒しながら。。。

そうなんです。あらゆるリスクを考えると本当に何も出来なくなってします。日々の業務や会社運営の中では利便性とのバランスが非常に難しく、しばしば「もう、そこまでせんで、、ええんやん?」ってなってしまいます。そこを自らを律しつつ緩みがちな心をグッと引き締めるのが、私達リスクマネジメントチームの役目でもあります。

組織がさらされる「リスク」

インターネットが当たり前になった今、最も留意すべきリスクは 情報漏洩 かなと感じています。2021年3月末に IPA から発表された被害額はランサムウェア が1位ですが、正直これはイタチごっこであり、手口も年々巧妙化してきていますので組織で完全に防ぐには インターネットに繋がない ぐらいしか手が無いんじゃないかと思います。

情報セキュリティ10大脅威 2021」(参考資料、出典:IPA

ただ、インターネット接続をシャットアウトした場合、利便性が著しく損なわれ生産性も大幅にダウンする事が容易に想像できます。また、リモート会議やテレワークなどコロナ禍で働き方も大きく変わってきましたが、この大きな変化も「インターネットありき」です。つまり、「インターネットに繋がないという選択肢は、もはや無い」と考える方が良いでしょう。

リスクマネジメント視点で俯瞰して見てみると、IT 業界でも実は様々なリスクが潜んでる場合が多いと思います。比較的、外部からの攻撃へのセキュリティ意識は高いと感じます。業務端末のウィルス対策ソフト導入の必須化 や サーバなら WAF の導入などを行っている企業が多いと感じます。(当然、Nextribe でも対策を行っています。)

しかし、内部に目を向けてみたらどうでしょう?意外とセキュリティ意識が緩かったりしませんか?

衝撃的な事件を経て・・・

私が最近で最も驚いた情報漏洩事件は、なんと言っても「SMBCソースコード流出事件」(出典:日経BP 日経クロステック) でしょう。これは衝撃的でした。GitHub にお客様の機密情報が詰まっている可能性があるソースコードをアップし、全世界への公開設定になっていた事件です。この全世界に公開されたソースコードがもし、ログイン認証や本人確認に携わるコア機能だったら・・・と思うと震えますね。SMBC の口座を持ってたら 即解約レベル です。もし、そうなっていれば企業への損害は計り知れない額になっていたでしょう。

最もリスキーな事は、内部に潜んでいる

私は、そう思いました。

普通のリテラシーをもっていれば、業務で携わったソースコードをGitHubにアップロードするなど絶対にしないのですが、では「普通の感覚」って一体なんでしょうか。Nextribe でもお客様の機密情報を取り扱ったり、プロジェクトによっては、お客様の基幹システムへアクセスしデータの取得/更新/削除 を行うこともあります。リスクマネジメントチームでは、この「普通の感覚」を共有するため全社員に向け、業務に特化したセキュリティ意識・リテラシー教育を行う必要性を強く感じ、準備を開始しました。

最後に

リスクマネジメントチームの取り組みについて記載しましたが、前述した「全社員向け業務特化型セキュリティ意識・リテラシー教育」の教育資料は現在作成中です。今後、このメディアにて教育資料の作成過程や考え方、資料の一部公開などを行い、読んでいただいている方々にも有益な情報を発信して行きたいと考えています。

また 将来的に Nextribe社員向けのみならず、Nextribe が運営している教育サービス「TECH NEXT」のコンテンツとして公開し、同業他社で業務に従事している方のセキュリティ教育の一助になれば良いと考えております。

最後まで読んでいただきありがとうございます。

では、また次回!

この記事を書いた人

himaマネージャー/エンジニア
おすすめRECOMMENDED