もし、セキュリティインシデントによる被害額を数値化したとしたら、一体いくらになるのでしょうか。例えば、ラップトップPCをバーに置き忘れた場合の収益への影響を算出するといくらになるのでしょうか。素朴な疑問ですが、ビジネスへのリスク軽減の根拠を示すセキュリティ専門家にとっては、非常に難しい質問です。一方でリスク管理にかけるコストは、特にリソースが不足がちな中堅企業にとっては、大きな課題の一つです。
イギリスの情報コミッショナー事務局(Information Commissioners Office、ICO)は、2010年4月に認められた権限を使って、誤送されたファックス、暗号化されていなかったラップトップの紛失に関して、2つの組織に重い罰金を科しました。これらの罰金は50万ポンドにまで達しています。FSA(英金融サービス機構)が科した罰金に比べ、比較的少額だと思うかもしれません。しかし、これらの罰金に悪評が加わり、最終的に仕事が失われる可能性があることを考えると、リスク管理を目的にしたセキュリティ予算は、変化する規制環境を反映して組む必要があるといえるでしょう。
余り語られることはありませんが、報告されたデータ漏えい事件の約30%は内部関係者によって、偶発的に発生しています。仕事をしたり、問題を解決したりしようとしている中で、不注意によるミスで、情報を開示してしまっているのです。たとえば、ハートフォードシャー州議会のケースは、単なるファックス番号の誤りでしたが、被害者を大いに当惑させ、多額の損失と損害を与えました。また、データの保管方法も重要です。ラップトップPCなどのモバイルデバイスにデータを暗号化しないで保存することの危険性は10年以上前から理解されていますが、今なお、機密性の高い情報が無防備なデバイスに保存されている例が、よく見られます。
企業は、自分たちが個人情報の管理者に過ぎず、所有者ではないことを肝に銘じる必要があります。一方、私たち個人は、鍵をかけて保管したり、一般に入手可能な技術的な対策を使って情報を保護したりするなど、企業が個人情報を大切に扱うよう要求すべきです。
2つの組織はともにインシデントをICOに報告しましたが、今後は罰則を恐れてインシデントを報告しない人も出るかもしれません。誤送信されたファックスを受け取った人が問題を提起しない可能性は低いと思われます。従って、このようなインシデントが再発するリスクを軽減する情報セキュリティプログラムを実装することが、よりコスト効果、業務効率の高い対策と結果的になるのです。情報リスク管理のコストは、セキュリティインシデント後に費やすコストより遥かに安上がりとなるでしょう。セキュリティはコストではなく、ビジネスを実現するために必要な要素なのです。
※本ページの内容はMcAfee Blogの抄訳です。
原文:Quantifying The Financial Impact Of Security Incidents