情報セキュリティは大切にしたいものですが、企業としては効果に見合った費用支払いしかできないというのが実情です。

それでは、セキュリティを守らなかった場合、どれぐらいの損害が出るか、具体的な被害内容を確認していきましょう。被害想定が分かれば、その防御にかけてよいコストを見積もりやすくなります。

セキュリティの保護すべき対象はパソコンや書類などたくさんありますが、この記事ではホームページやネット通販サイトを動かしているWebサーバに注目します。

送信したメールが届かなくなる

こちらから送信したメールが相手に届かなくなります。迷惑メールフォルダに入るか、あるいはまったく届きません。
実務上、最も多いのがこの被害だと思います。

情報セキュリティというと「情報を盗み出される」というイメージがあります。しかし侵入する側からみると、具体的な標的なしにやたらと侵入したところで、価値のあるデータは盗み出せません。個人情報を転売しても、単に名簿というだけでは1件数円ぐらいです。

ではなぜ侵入するかというと、そのサーバを乗っ取って迷惑メールをバラまきます。アダルトサイトに誘導したり、振り込め詐欺のようなメールを送信したりします。

乗っ取った直後は「きれいなサーバ」ですので、迷惑メールであったも相手に届きます。しかし、そのうちに「そのサーバから送られてくるメールは全部迷惑メール」というような判定を受けるようになります。

そうなると、「取引先に送ったメールが届かない」「ネット通販で購入してもお客様に注文メールが届かない」というような問題が起きてしまいます。

電話連絡が増えたり、問い合わせが増えたりします。従業員全員の業務が滞りますので、これは困りものです。

企業イメージが悪くなる

数としては少ないですが、ホームページを乗っ取られると、アダルトサイトや詐欺的な通販サイトに誘導するような内容に書き換えられることがあります。誘導した先でお客様が何かを購入すると、犯人にお金が入ります。
また、「イスラム国を支持します」など政治的な内容に書き換えられる例もありました。

具体的な金銭には計算しにくいですが、企業としては格好が悪いですよね。
とはいえ、一度だけならまだ良いのですが、二度三度があり得ます。そうなると、格好が悪いどころではなく、企業イメージに影響します。

ある程度の規模の企業になってくると「再発防止せよ！」という社長命令が下り、その対策費用のほうがよほど出費が大きいのではと思えるほどの労力がかかることも多いです。

対策は地道に

それでは、これらの被害を防ぐにはどれぐらい費用を見込まなければならないでしょうか？

やらなければならないことは、次のようなことです。

• サーバやアプリケーションのバージョンを常に最新にする
• 攻撃を受けていないかモニタリングし続ける
• 乗っ取られても、バックアップからもとに戻せるようにする

完全に防ごうとすると、どこまでも費用が積み上がります。
しかし、費用をできるだけかけない形にしても十分効果を見込めることも多いです。BCP（事業継続計画）の側面から、無理のない範囲で計画するのが望ましいです。