中小企業の情報セキュリティ対策の考え方
2017年3月15日
中小企業診断士 一ノ瀬誠
ヒト、モノ、カネと並んで経営に必要な資源とされている「情報」。
インターネットの発展やコンピュータ、通信技術の進化により、企業経営に役立つ「クラウド」や「IoT」といったものの普及が進む一方で、情報に関する犯罪も高度化しています。 「標的型攻撃」「ランサムウェア」など新しい犯罪手法が次々生み出されて被害額は大きくなっています。 これらの犯罪は、インターネットを経由して海外からのもたらされることも多く、犯人を検挙するのがなかなか難しくなっています。 報道されるのが大企業が被害にあった事件ばかりなので、中小企業や個人事業主には関係ないと思ってしまいがちですが、実際には、中小企業や個人が被害にあう事例は非常に多く、多額の経済的な損失に至るケースもあります。
こうした犯罪被害も含めた情報セキュリティリスクは、一般的なリスクと同様に、【リスク低減】【リスク保有】【リスク回避】【リスク移転】という四種類の対応が考えられます。
このうち、リスク回避は、「個人情報を一切持たない」、「コンピュータを一切持たない」、「インターネットにつながない」、などの具体策になりますが現実的には業務遂行がかなり難しくなってしまいます。 リスク移転には、情報セキュリティ事故に備えた保険がありますが、すべて移転しきるのは困難です。そのため、リスクを低減した上で、リスクを保有するというのが一般的な対処ということになります。
リスク低減するためには、自社内で様々なセキュリティ対策を行う必要がありますが、そこで問題となるのは、「どの程度の対策を行うべきか」ということです。 なぜならば、セキュリティというのは、やみくもに安全性を高くすれば良いものではないからです。セキュリティを高くすることで高コストとなるのはもちろんですが、 安全性は利便性とトレードオフの関係にあるということを考慮しなければなりません。 セキュリティを高めすぎると業務効率が落ちます。 自転車を駐輪する時にはツーロックが推奨されていますが、施錠する手間と開錠する手間が一つのロックの場合よりも増えてしまいます。スリーロックにすればより安全かも知れませんが、手間がさらに増えてしまいますね。 この「どの程度の対策を行うべきか」の目安として、「社会的に求められているセキュリティ基準を満たすレベル」のセキュリティ対策を行うことが考えられます。
【散らかった座席から個人情報がなくなったら加害者だが、金庫の中に保存して情報が盗まれれば被害者】
【社会的に求められているセキュリティ基準を満たしていない企業は加害者同然と扱われる】
「社会的に求められているセキュリティ基準を満たすレベル」は、言い換えれば「公的な機関から発表されているガイドライン」で求められている対策」を行っているということになります。
公的な機関から発表されているガイドラインの代表格としてIPAが発表している「中小企業の情報セキュリティ対策ガイドライン」というタイトルのガイドラインがあります。 政府としても、情報セキュリティ対策を重要な課題と考えており、様々な施策をとっていますが、そのひとつが「中小企業の情報セキュリティ対策ガイドライン」の作成です。
IPAは、正式名称を「独立行政法人情報処理推進機構」といい、技術、人材の両面から日本の情報処理技術を健全な発展を支援することを目的とした、経済産業省の所轄の独立行政法人です。 情報処理技術者試験を管轄していることでも知られています。2017年4月から制度が開始される情報処理安全確保支援士の試験もIPAの管轄です。 情報処理試験ほどメジャーな事業ではないかも知れませんが、情報セキュリティに関する啓蒙活動もIPAのとても重要な事業です。
ガイドラインの内容をすべて解説することはできませんが、ガイドラインの中で最低限実施すべきとされている「情報セキュリティ5か条」というものを紹介したいと思います。 なお、「中小企業の・・・」というタイトルになっていますが、小規模企業や個人事業主も対象としています。
(1) OSやソフトウェアは常に最新の状態にしよう!
セキュリティパッチの適用に関しては常に最新のものを適用したほうが良いと思いますが、 OS自体のアップデートは、それをすることによって自社の業務で必要なソフトウェアが使えなくなる可能性もあります。社内の情報システム管理者が判断をする必要がありますね。
(2) ウイルス対策ソフトを導入しよう!
これはその通りだと思います。Windows 10はWindows Defenderが入っているからウイルス対策ソフトを入れなくても大丈夫だという考え方もありますが、 メジャーなウイルス対策ソフトより若干検出精度が劣るようで、改めてウイルス対策ソフトの導入の重要性が認識されてきています。
(3) パスワードを強化しよう!
単純なパスワードは意外なほど簡単に突破されます。また、複数のWebサービスで同一のパスワードを使っていると、一つ漏洩すると他のWebサービスも不正ログインされてしまいます。 面倒ですが、パターンを変えましょう。
(4) 共有設定を見直そう!
情報漏えいは、外部からの侵入より内部の人間から発生することが圧倒的に多いです。ファイルサーバで誰でも見れる領域には重要なファイルを置かないよう徹底しましょう。
(5) 脅威や攻撃の手口を知ろう!
先に述べたように、情報セキュリティ犯罪の手法は日進月歩です。情報セキュリティの担当者はIPAなどの機関が発表する情報を定期的に入手して、最新の手口を常に知っておくようにしましょう。
ガイドラインはこちらからダウンロード可能です。
自社診断シートやリスク分析シートといったツールも無料でダウンロードできますので、一度使っていてはいかがでしょうか。
戻る