「今まで何も問題なかった」「ウイルス対策ソフトは入ってるから十分」「セキュリティって結局はコストばかりかかるだけでしょ?」。こうした言葉は、中小企業の経営者からよく聞かれるものだ。
だが、本当に何も問題はなかったのか?本当に家庭と同じ感覚でいいのか?本稿では「セキュリティ対策は必要」という前提を一旦リセットし、ゼロセキュリティ=何もしていない状態がどんな意味を持つのか、原点に立ち返って考えてみる。
ゼロセキュリティという状態を言語化してみる
セキュリティ対策ゼロ、つまり「何もしていない状態」を具体的にどう捉えるべきか。その実態をあらためて整理する。
セキュリティ意識ゼロという現実
「パスワードは全部同じ」「更新通知は面倒だから無視」「よく分からないから設定はいじらない」……。これらは、企業に限らず家庭でもよくあるITの取り扱い方だ。
だが、これを企業でもそのままやっていたらどうなるか?誰もチェックしない。誰も責任を持たない。そのままメールでウイルスを受け取って、取引先にばらまく可能性もある。ゼロセキュリティとは、見えない爆弾を抱えて歩いているのと同じ…そういっても過言ではないだろう…。
使えている=問題ない、という誤認識
「PCはまだ動いているから大丈夫」「OSが古くても使えてるし」…という発想もよくある。しかし実際には、古いOSや未更新のソフトウェアは、日々新たに発見される脆弱性を修正できず、穴だらけの状態になっている。これは家の玄関に鍵をかけずに「でも泥棒に入られたことないから大丈夫」と言っているようなものと捉えることができる。
使えている…動いている…だから、買い換えるのはもったいない。というのは心情的に理解はできるが、車のように古くてもちゃんと整備したら動くし安全である。PCはそうはならないのだ…整備をしても、ソフトウェア(OS含めて)のアップデートができなくなれば、そこで安全性は損なわれてしまう。それ故、「使えている」は問題ない…ということではなく、「古い=危険(安全ではない)」と置き換えて認識すべきなのだ。
社内にも「家庭の感覚」を持ち込んでいる
会社のパソコンで個人用のUSBを挿す、家で使っているWi-Fiと同じパスワードを業務用にも設定する…これらは“家庭の延長線上”でITを扱っている状態だ。だが、企業活動には責任が伴う。誰かに情報を送信する、共有するという行為は、取引や信用の前提でもある。
ゼロセキュリティのままでその責任を担うのは、無謀というか…社会人として…というITリテラシー以前の根本的な意識を問い直す必要があるかもしれない。
なぜ「会社」は家庭と違うのか
同じPCやインターネットを使っていても、家庭と企業では根本的に守るものも、背負うリスクも違う。
守るべきデータの質と責任が違う
家庭では、自分と家族の写真や動画、メールなどが主な資産だろう。企業では、顧客情報、契約書類、会計データなど、第三者の情報を多数取り扱う。
仮に漏洩すれば、個人情報保護法違反や取引停止、損害賠償などに発展する可能性は否定できない。セキュリティとは、自分を守るというより「他者の信用を守る行為」に近い。それが「責任」の本質的な捉え方だ。
社会的責任というプレッシャー
家庭なら「ごめんなさい」で済むかもしれない。しかし企業はそうはいかない。取引先に迷惑をかけたら、その責任は会社に跳ね返ってくる。ニュースに取り上げられ、社会的信用が一瞬で失われることすらある。家庭のミスが家族内で完結するのに対し、会社のミスは社会に波及する。
うちなんか誰も知らん会社だから、もし何かあってもそんな大したニュースにはならないだろう…と、思っているとしたらこれは多大なる誤解だ。中小企業でも取引先には大手企業や著名な企業もあるだろう…主体は自分の会社ではなくても、大手企業が主体となればそのニュースはメディアで取り上げられる対象となり得るのである。
法律の存在
企業活動には、個人情報保護法、電気通信事業法、不正アクセス禁止法など、さまざまな法的ルールが関与している。仮に「知らなかった」で済むのなら苦労はないが、法律は「知らなかった」ことを免罪符にはしない。ゼロセキュリティ=無知のまま、という状態はリスクでしかない。
税務や法務…労務など法律に基づいてやるべきことは会社の中には多々ある。そういう時は、税理士、弁護士、社労士などと顧問契約を締結し、専門家の意見や助言によって適切な処理をするだろう。IT関連業務も同様に、ITの専門家…IT顧問と契約するなど、同じレベルで取り組むべきもの。それがITなのだ。
ゼロセキュリティのままでいる未来を想像してみる
今のまま、何もしないままで数年が経過した時、自社はどうなっているか?想像してみよう…
社内トラブルが発端となる
ある日、請求書データを添付したメールを取引先に送信したつもりが、まったく関係のないアドレスに送っていた…。あるいは、社員の誰かが勝手にフリーWi-Fiに繋いでマルウェアに感染し、社内のデータが暗号化されてしまった…。こうした事例は、すべて「対策ゼロ」が引き金になる。
対策してこなかったことが問われる時
何か問題が起きたとき、問われるのは「なぜ起きたか」ではない。「なぜ何の対策もしてこなかったのか」だ。そのとき「知らなかった」「予算がなかった」「人がいなかった」では通用しない。ゼロセキュリティは「怠慢」であり、判断の放棄とも受け取られることになる。
小さな会社こそ致命傷になる
中小企業はリカバリーの資金も人材も限られている。1件の情報漏洩が、取引停止、社員離職、資金流出といった負の連鎖を引き起こし、あっという間に会社の存続が危うくなる。対策をしていなかったこと自体が「重大な過失」とみなされることもある。
まとめ:ゼロセキュリティは「何も問題が起きなかった証拠」ではない
セキュリティ対策をしない理由として、「今まで問題がなかったから」「予算がない」「人材がいない」などがよく挙げられる。しかし、それは「たまたま運が良かっただけ」にすぎない。ゼロセキュリティとは、自らの企業活動を“無防備”に晒し続けている状態だ。
守るべきは、データそのものではなく「信用」だ。セキュリティとは経営の信頼性を保つための最低限のルールである。家庭と同じ感覚では通用しない。むしろ小さな会社こそ、その信用の一歩一歩を大切に守らなければならない。まずは、「何もしていない自分たちの状態」を見直すこと。そこから一歩進めることができれば、それはもう「ゼロ」ではない。
最後までお付き合いいただきありがとうございます。
また、お会いしましょ。
