5月22日(月)放送の「ワールドビジネスサテライト」(テレビ東京)でネット時代の犯罪リスクについて取り上げていました。
そこで、リスク管理の観点から2回にわたってご紹介します。
1回目では、犯罪の温床とも言える“闇のサイト”、ダークウェブにおけるリスク対応策についてお伝えしました。
2回目は、企業に求められるリスク対応策についてです。
ダークウェブで主に企業に被害を及ぼすものとしては以下のようなものが売買されているといいます。
・日立製作所をサイバー攻撃したものと同じタイプの「身代金要求型」ウイルス、ランサムウェア
・今回悪用されたウイルスの元の技術と言われているアメリカのNSA(国家安全保障局)から盗難されたツール
・大手企業の内部会議用資料
なお、大手企業の内部会議用資料のような機密情報は悪意のあるハッカーが企業のシステムに侵入して盗み出したものと見られています。
こうした状況について、セキュリティ会社、株式会社スプラウトの高野 聖玄社長は番組の中で次のようにおっしゃっています。
「(ダークウェブ上に)出てしまうとそれを戻すのはほぼ不可能。」
「インターネットと一緒ですよね。」
「インターネット上に何か出ると、それを消すということはほとんど出来ないですから。」
企業をどのように守るか、スプラウトは昨年ハッカーに対抗するためにハッカーの利用を始めました。
スプラウトと契約したハッカーの原田さん(仮名)、日中は都内の大手企業に勤めています。
仕事から帰宅するとすぐにパソコンの電源を入れ、ある企業のウェブページを開きました。
そしてウェブページの弱点を探し始めました。
見つけることが出来れば、ページを乗っ取り、データを盗むことも出来ます。
しかし、原田さんはバグ(脆弱性)を見つけて、それを報告し、報奨金をもらっているのです。
スプラウトが始めたのは、ハッカーに企業のウェブページの“脆弱性”を探し出させるサービスです。
“脆弱性”を見つけたハッカーには最大50万円を支払います。
スプラウトは原田さんのような通称「ホワイトハッカー」約550人と契約しています。
高野社長は番組の中で次のようにおっしゃっています。
「日本だとハッカーは「怖い」、「何かされる」みたいなところがいろいろありまして、広まってきてないんですけど、最近はたくさん攻撃が増えていますから、我々セキュリティ会社としては推し進めている。」
さて、企業のリスクはこうしたハッキングだけではありません。
あることをきっかけにして、企業に対しての批判がウェブページやSNSに集中する“炎上”というリスクもあります。
この炎上の発生件数は2010年からの5年間でおよそ10倍に急増しています。(エルテス調べ)
一度炎上してしまいますと、以下のようなダメージを受けてしまいます。
1.ブランドイメージに傷がつく
2.従業員の採用が難しくなる
3.株価の下落
更に、ある企業では炎上後の対応費用が3000万円かかったというケースまであります。
この炎上リスクに合わせて新しい対策が始まっています。
セキュリティ会社、ソルナ株式会社(東京・六本木)では炎上につながるようなネガティブな投稿がないか、インターネットの掲示板や動画サイトなどを細かくチェックしています。
ソルナの三澤 和則社長はある方法を導入したことでネガティブな投稿を発見するスピードが劇的に上がったといいます。
三澤社長は、番組の中で次のようにおっしゃっています。
「例えばアルファベットで「BBA」というものがあるんですけど、これは「ババア」という意味で、こういった隠語を使うことそのものは何か問題となる文章と結びついていくので・・・」
ソルナは、炎上につながるようなネガティブなワードを独自に選出し、企業名がこれらと共に投稿された場合、自動で検出する仕組みを作りました。
しかし、炎上が急激に増える中、監視だけでは限界があると、新しい対策を始めました。
実は企業に対するネットの聞き込みで最も多いのが退職者による悪口、そこで書き込みを未然に防ぐために退職者を探し出して“本音”を聴くサービスを始めました。
1時間の面談後、謝礼として5000円程度を渡します。
面談の内容は個人が特定されないかたちでレポートにまとめ、会社側に提出されます。
三澤社長は、番組の中で次のようにおっしゃっています。
「どれだけ会社を経営しているキーマンと言われる方々が辞めた社員の本音をちゃんと拾い上げているか、書き込みを根本的に減らしていくものにもなると思います。」
情報漏えいやウイルスなど次々に新しい手法が出てきますから対応は大変ですが、セキュリティ会社が心配しているのは、例えば企業に対して「お宅の情報が盗まれていますよ」とか「ハッキングされていますよ」とか知らせても信用してもらえないケースが多いく、初動対策が遅れてしまうといいます。
ですから、企業には危機感や反射神経を持つことが問われているといいます。
危機感を持ったうえでどのような対策を打つべきかについて、番組コメンテーターであるモルガン・スタンレーMUFG証券チーフエコノミストのロバート・A・フェルドマンさんは次のようにおっしゃっています。
「やはり新しい技術を一番早く使うのは犯罪者ですね。」
「日本人は性善説の方が多いですので特に被害が多いと思いますけども、主に3点あると思いますね。」
「一つは企業、まず調査能力を身に付けることですね。」
「ホワイトハッカーを身に付けるとかいうこともありますけど、これは保険ですね。」
「もう一つは当局ですけど、当局も捜査能力を増やすことですね。」
「(アメリカで)今FPIがかなりネットの捜査能力を上げているということですね。」
「3点目ですけど、ハッキング、あるいは炎上の動機を取り除くことですね。」
「“やりたくない”っていうふうになることが一番いいですね。」
「やはり自分で自分の身を守るというのが最大のポイントだと思いますね。」
「(そのためにある程度コストがかかるということも企業は覚悟する必要があるのではという指摘に対して、)そうですね、ネットはいいところが沢山ありますから、これくらいやりましょうということですね。」
以上、番組の内容をご紹介してきました。
番組の内容から、ネット時代の企業におけるリスク対応策として大きく以下の2つの対象があることが分かります。
1.重要な内部情報の流
2.ネット上の“炎上”
そして、この2つの対象には以下のようなリスク対応策が考えられます。
1.重要な内部情報の流出
・従業員向けのセキュリティ研修
・社会セキュリティシステムの充実
・「ホワイトハッカー」と言われるようなセキュリティ会社とのサービス契約
2.ネット上の“炎上”
・労働環境や賃金、社内コミュニケーション、およびパワハラなどの面での従業員満足度向上に努めること
ネット上の“炎上”の自社に与える悪影響などについての従業員研修を定期的に実施すること
なお、ネット上の“炎上”対策として、従業員満足度を高めれば、従業員によるブログなどを通して“炎上”とは逆の自社のイメージアップ向上につながります。
ですから、従業員の満足度向上はネット上の“炎上”対策としてのみならず、従業員のやる気の向上や新卒学生や中途入社など自社への入社希望者の増加にもつながるのです。