最新情報

2023.7.14

新型コロナによる世界規模のパンデミック、そして働き方改革の影響により、テレワークを導入する企業が増えましたが、それに伴うセキュリティ対策への投資をとっている企業は、少ないのが現状です。大切な顧客情報や、企業競争力にもつながる機密情報を守り、クライアントや消費者に被害を出さないためにも、大企業だけでなく中小企業にもセキュリティ対策を取る社会的責任があると言えるでしょう。

以下では、中小企業のセキュリティ対策の現状や、これから取るべきセキュリティ対策などを記載していきます。

中小企業が行っているセキュリティ対策の現状

近年、中小企業を狙うサイバー攻撃が後を絶ちません。しかも、その攻撃は年々複雑化し、回避することが難しくなっています。なぜ中小企業が狙われるのかというと、その背景には、大企業よりも中小企業の方が、比較的セキュリティ対策が甘くて狙いやすいということが一番考えられる要因となっています。

情報処理推進機構（IPA）によると、「2021年度中小企業における情報セキュリティ対策の実態調査報告書」において、直近の過去3期セキュリティ投資を行っていない中小企業は約3割に及ぶことが記されています。
セキュリティ投資を行わなかった理由として多かった回答として「必要性を感じていない」が4割でした。このように回答した企業は、まだまだサイバー犯罪を「他人事」と捉えており、実際にサイバー攻撃にあった際に大きな損害を被り、顧客や消費者の信頼を損なう恐れがあります。

IPAの「中小企業の情報セキュリティ対策ガイドライン」に沿ってセキュリティ対策を始めましょう

中小企業におけるセキュリティ対策は、その事業の規模や、従業員の数、仕事内容などで何を優先して守るかが異なってきます。また、セキュリティ対策を十分にするには、コンサルタントを雇ったり、セキュリティ機器を導入したり、お金もかかることなので、予算の範囲内でどれだけの対策を取るか、ということを決めることが重要です。その対策の指針となるガイドラインが、IPAにより公開されています。

まずは、この「中小企業の情報セキュリティ対策ガイドライン」を参照し、必要と思われる対策を知ることから始めてみましょう。

セキュリティ対策チェックリストは必須項目

「中小企業の情報セキュリティ対策ガイドライン」において、セキュリティ対策チェックリストが記載されているので、この項目を以下に記載します。このリストは、企業にとって最低限必要なチェック項目となっていますので、確認し、自社のセキュリティ対策を見直すきっかけにもなるでしょう。

• ・OSを最新バージョンにしている
• ・ウイルス対策ソフトのパターンファイルが24時間以内に更新されている
• ・パスワードは長くて複雑なものを使用し、使い回しをしない
• ・心当たりのないメール、ファイルは絶対に開かない
• ・不在時はPCをロックし、担当者しか使用できないようにしておく
• ・オフィスの最終退出者をチェックできるようにする
• ・セキュリティに関するルールをいつでも確認できるようにする
• ・情報セキュリティに関する最新ニュースを常にチェックする

これらの対策はアナログ的なアプローチに思われるかもしれませんが、この基本を全従業員が徹底した上で、新たなセキュリティ対策を取らなければ、より強力なセキュリティ機器を導入したとしてもその効果は限定的になってしまうでしょう。

従業員への教育の徹底や、セキュリティ対策のルールの整備は、時間的コストもかかることを念頭におきましょう

セキュリティ対策をとる上で、セキュリティ機器を導入することも自社のセキュリティをより強固なものにするために必要ですが、そのセキュリティ機器を使用する従業員が、状況に応じて適切な判断ができるということが、実際のセキュリティ対策として重要となってきます。

このようなセキュリティ対策を取るためには、従業員のセキュリティ意識の向上、そして、過去&最新のセキュリティリスクの周知が必要となることでしょう。
しかしながら、全従業員にセキュリティに関する教育を行うということは、非常に時間のかかることです。セキュリティ対策として研修を設けるにしても、1回の対策では、従業員は本業を抱えているので、期間が経てばすぐに忘れてしまうことでしょう。したがって、長期間にわたって、定期的にセキュリティに関する研修を根気強く行う必要があり、こうすることで、全社員が一丸となって、万が一のセキュリティ事故が起こりそうになったときに、素早いアクションを取ることが可能となります。

したがって、教育や研修、社内周知は、定期的に行うことが推奨されています。

セキュリティに関する取り組みを整備させましょう

• ・ファイルサーバやクラウドサービスへのアクセス権は限定する
• ・無線LANは暗号化やユーザ認証を行うようにする
• ・大切な情報は複数個所にバックアップをとっておく
• ・情報の取扱いについてのルールを全従業員に周知させる
• ・トラブルやセキュリティ事故が起きた場合のガイドラインを定め、訓練を行う

従業員のセキュリティ意識を向上させることを目的に、これらのセキュリティに関する取り組みを整備させましょう。

また、これらの対策をスタートしたとしても、全従業員に定着させるためには、長い時間がかかるということを念頭におき、早め早めの対策を取っておきましょう。

自社のセキュリティリスクを分析し、必要な対策を洗い出そう

中小企業がセキュリティ対策をする上で重要なことは、自社のセキュリティリスクを認識し、どのリスクに対してどのようなアクションを取るのか、そして、どのような対策を優先して行うべきか見極めることです。そのため、以下のような事項を社内で話し合い、共有していきましょう。

• ・社内で起こりうるリスクな何か
• ・そのリスクに対する対策はどのようなものがあるか
• ・どのリスクを優先して対策するか
• ・守るべき情報資産の優先順位
• ・検討したセキュリティ対策は予算の範囲内に収まるか など

このように、リスクの優先度合いなどを検討し、必要な順に対策を取っていきましょう。
セキュリティ対策も、会社ごとにその最適なセキュリティ対策の内容は異なり、十人十色です。自社にとって最適なセキュリティ対策を取れるように、自社のリスクをしっかり分析しましょう。

より強固なセキュリティは業務の進行を妨げるケースも

セキュリティシステムを強固にすることで、外部からのウイルスの侵入などのサイバー攻撃は防ぐことが出来ますが、その分、複雑化した多段階認証により何度も作業が必要になり、時間がかかるようになったり、プログラムの異なったふるまいを敏感に検知することからの、誤作動などで業務が進まなくなる恐れもあります。このように自由度が低くなりすぎては、業務に支障が出てしまいます。したがって、セキュリティもある程度強固にしつつ、自由度とのバランスを取った対策を取る必要があります。

新たな仕組みを導入するにあたっては、実務を行う人たちのヒアリングを行って、必要であれば、改善策を検討するようにしましょう。
新しい仕組みを導入することで業務に支障が出た場合に、その仕組みを回避するようなことを行った場合、逆にリスクを高めことになるので、なるべく、セキュリティレベルを少し下げてでも常にセキュリティが働いている状態にしましょう。

まとめ

高度情報化社会の今、中小企業に増えているセキュリティリスクに対抗するためにも、中小企業では先手を打つセキュリティ対策を取っていく必要があります。

中小企業のセキュリティ対策は、何を重視してセキュリティ対策をするかを決定することが非常に重要になってきます。その中でも、企業の規模や、事業内容に沿ったセキュリティ対策を取ることが求められます。

一番忘れてはいけないのは、全社員がチームとなってセキュリティ認識を向上させることです。そのためには、長期間にわたり、定期的に研修やシミュレーションを行う必要も出てくることでしょう。また、何を優先して守るのかを全社員が共有することも大事です。中小企業の経営者は、このようなことを念頭において、先陣を切ってセキュリティ対策を進めていきましょう。