中小企業でのITツール活用の動きが進んでいる。しかし、ITツールの活用はセキュリティリスクを高める側面もある。限られた予算の中で、中小企業のセキュリティ対策はどのように進めればよいのか。本記事では、中小企業が考慮すべきセキュリティリスクを踏まえ、実現可能性の高いセキュリティ対策の進め方について解説する。
中小企業に求められるセキュリティ対策
従来、中小企業は、匠の技やこだわりの商品といった付加価値を高めることで、大企業と差別化を図ってきた。また相対的に、投資可能な予算に限りがあるため、中小企業がITツールを積極的に利活用して生産性を高めようとする動きは弱かった。しかし、近年の人手不足や、働き方改革、国際的な競争の激化は、中小企業にも生産性の向上を迫り、国もIT導入補助金などで中小企業のIT化を後押しするようになっている。
IT化を進めることは、サイバー攻撃のリスクを高めることに直結する。中小企業でも適切な情報セキュリティ対策を講じることが求められる時代になってきたといえるだろう。したがって、中小企業は情報セキュリティの脅威を認識し、対応可能な対策を適切に講じる必要がある。一般的に、中小企業が認識する必要があるセキュリティリスクには以下のようなものがある。
金銭的被害
インターネットバンキングやクレジットカードの不正利用など、直接的な金銭的リスクはIT化を進めるにしたがって大きくなる。取引先から取得した機密情報や、顧客の個人情報を漏えいした場合、損害賠償を請求される恐れもある。また最近では、パソコンに格納されている情報を暗号化したうえで、元に戻すために身代金を要求する「ランサムウェア」と呼ばれるマルウェアの大流行も脅威となっている。
信用の失墜
たった一度だけでも情報漏えいなどのセキュリティ事故を起こしてしまうと、顧客や取引先からの信用を失ってしまうばかりか、社会的な信用の失墜につながる。多くの顧客離れを引き起こし、新規顧客の獲得も困難になる。事故を起こす前の水準に売上を戻すためには、大きな努力が必要となるだろう。場合によっては、事業継続が困難になり、廃業を迫られることになる。
業務の停滞
たとえ、情報漏えいを伴わなくても、セキュリティ被害は業務に多大な影響を与える。マルウェアに感染した場合は、被害がネットワーク全体に広がり、復旧までに長期間を要することも少なくない。パソコンがなければ仕事ができないと言われるまでにデジタル化が進んだ時代、パソコンのマルウェア感染被害は事業継続に深刻な影響を与える。サーバーが被害を受けた場合は、システム復旧が困難となり、過去のデータをすべて喪失する可能性も否定できない。納期遅れなどによる取引先への影響、十分な営業活動が困難となることによる機会損失の発生、さらには最悪の場合は取引停止ということも予想される。加えて、原因究明を行うための人件費、第三者に調査依頼する場合はその費用も発生し、調査完了まではサービス再開ができなくなる可能性も高い。経営への影響が甚大となるリスクは考慮しておいたほうがいいだろう。
以上、中小企業にとっての3つのセキュリティリスクを挙げたが、加えて従業員に対する影響も考慮する必要があるのは言うまでもない。近年のコンプライアンス意識の高まりは社会的にも浸透しつつあり、高い意識を有する優秀な従業員ほど敏感に捉えている。すなわち、適切なセキュリティ対策を講じないことはこうした従業員のモチベーション低下や退職などにつながりかねない。そういった事態を予防するためにも、企業は適切な管理体制を構築し、従業員目線で業務効率を下げないための対策を講じる必要があるだろう。
「中小企業の情報セキュリティ対策ガイドライン」を参考にした取り組み
サイバーセキュリティの脅威に対し、何から手を付けて良いかわからない、あるいはセキュリティ対策に対し十分な予算を用意できない企業も少なくないはずだ。中小企業がセキュリティ対策を講じる場合は、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」を参考にするのがいいだろう。本ガイドラインは、ITに詳しくない経営者にも理解しやすいように、可能な限り専門用語を使わないよう改定を加え、2019年3月より公開されているものだ。十分な予算がなく、セキュリティ体制が構築されていない場合でも、適切な対応がとれるよう配慮されている。
昨今のITツールの動向を踏まえ、「ウェブサイトの情報セキュリティ」、「クラウドサービスの情報セキュリティ」に関する解説も加えられている。情報システム部門が社内にない中小企業の場合、システム導入の際にクラウドを選択するケースも少なくないはずだ。実際に、SaaS型サービスの選定あるいは運用時にも参考にできるだろう。
また、本ガイドラインでは、中小企業のセキュリティ対策における、経営者の役割についても言及している。中小企業ではセキュリティ対策を実行に移すうえで、経営者の関与は欠かせない。本ガイドラインでは、以下のような経営者が認識すべき情報セキュリティの3原則を明示したうえで、具体的な取り組み内容を定めている。
- 情報セキュリティ対策は経営者のリーダーシップで進める
- 委託先の情報セキュリティ対策まで考慮する
- 関係者とは常に情報セキュリティに関するコミュニケーションをとる
中小企業では、経営者が積極的に関与して、委託先などの取引先とも協力しながら実現性の高いセキュリティ対策を講じる必要があるのだ。
今すぐに取り組むことができる中小企業向けセキュリティ対策とは
セキュリティ対策はお金がかかり面倒で難しいと考えていないだろうか。マイナスの側面ばかりに目を向けていては、IT化の推進とセキュリティ対策は前進しない。前述の「中小企業の情報セキュリティ対策ガイドライン」では、何から手がけるべきかわからない中小企業に対し、情報セキュリティ5か条を定め、最初に必ず実行すべき重要な対策を明示している。
OSやソフトウェアは常に最新の状態にしよう!
OSやソフトウェアの脆弱性を狙った攻撃は、悪意のある第三者が使う常套手段である。メーカーが公開する情報に意識をはらい、アップデートを行うだけでセキュリティ強度は格段に向上する。
ウイルス対策ソフトを導入しよう!
ウイルス対策ソフトの導入は、企業にとってもはや常識ともいえる。ウイルス対策ソフトをインストールするだけではなく、最新のウイルスに対応するため、ウイルス定義データベースの更新も確実に実行することをルール化しておきたい。
パスワードを強化しよう!
私たちの身の回りはパスワードであふれるようになった。しかし、ずさんなパスワードでは、いとも簡単にシステムに侵入されてしまう。紙面での管理は言わずもがなである。必要に応じて、二段階認証など認証強度を高める対策も施したい。
共有設定を見直そう!
モバイル環境の普及により、場所を問わずデータやWebサービスを共有する場面が増えている。そうしたやり取りは便利な反面、セキュリティリスクが高いことを忘れてはいけない。パスワードを見直すことはもちろんのこと、適切な権限設定で、必要なユーザーが必要な情報だけを閲覧や編集ができるようにしておきたい。
脅威や攻撃の手口を知ろう!
攻撃者の手口や動向を知っておくことで、適切な対策を施しやすくなる。最新情報に気を配り、必要に応じて従業員教育を行い、組織的なセキュリティレベルの向上を目指す必要がある。
まずは情報セキュリティ5か条の内容を理解し、できるところから手を付けることで、セキュリティレベルを向上させていこう。従業員のセキュリティに対する意識向上にもつながるはずだ。
SECURITY ACTIONはIT導入補助金の要件に
IPAでは、情報セキュリティ5か条に取り組むことを宣言すれば、SECURITY ACTIONロゴマーク(一つ星)の使用が許可される。さらに、「5分でできる!情報セキュリティ自社診断」で自社の状況を把握し、情報セキュリティポリシー(基本方針)を定め、外部に公開したことを宣言すれば、SECURITY ACTIONロゴマーク(二つ星)の使用が許可される。「5分でできる!情報セキュリティ自社診断」も、「情報セキュリティポリシー(サンプル)」も、「中小企業の情報セキュリティ対策ガイドライン」の付録資料として公開されているため、活用しながらSECURITY ACTIONロゴマーク(二つ星)の取得を目指すのがよいだろう。
SECURITY ACTIONロゴマークの取得は、IT導入補助金を申請するための必要条件にもなっている。補助金を申請するのであれば、自社のセキュリティの実態と課題を把握できるため、経営者が主体的にSECURITY ACTIONロゴマーク(二つ星)の取得を先導するべきだ。
「5分でできる!情報セキュリティ自社診断」の解説編を参考にすると、自社が対策すべきセキュリティ対策が洗い出されるはずだ。明示されたセキュリティ対策にもとづき、管理体制を構築して具体的な実行に移していけばよいだろう。
適切なセキュリティ対策でITツール活用の推進を
中小企業にも迫り来る生産性向上の流れを受け、今後も一層ITツールの活用が進んでいくことになるだろう。IT導入補助金が継続的に行われていることからも政府の本気度が見てとれる。しかし、ITツールの活用にはセキュリティ対策もセットであり、その対応を講じることが求められている。サプライチェーン攻撃の脅威が増していることも考慮すると、対策は待ったなしの状況ともいえるかもしれない。
今回紹介した「中小企業の情報セキュリティ対策ガイドライン」で示すセキュリティ対策は、決してハードルが高いものではなく、多額の費用が必要でもない。参考にしながら、セキュリティ対策を伴う有効性の高いIT化を進めていきたい。
