近年は、サイバー攻撃の手法が高度化・複雑化してきたり、システムの複雑化により情報漏洩リスクが高まってきたりするなど、中小企業においても情報セキュリティ対策の必要性が増しています。しかし、中小企業であるがゆえの課題に直面し、思うように進められない担当者の方も多いのではないでしょうか。
この記事では、中小企業における情報セキュリティ対策の課題やリスク、具体的な5つの対策方法などをご紹介いたします。
中小企業でよくあるセキュリティ対策の課題
中小企業におけるセキュリティ対策の課題としてまず挙げられるのは、専門人材の不足です。大企業と比べて、ブランド力や採用資金がないため、新しい人材の確保に苦戦している企業も多いことでしょう。
たとえ専任の人材を任命していたとしても、担当者がそれほど高度な知識を持ち合わせていないこともあるようです。
また、「セキュリティにかけられる予算が確保できない」といった課題を抱える中小企業も存在します。これは、セキュリティ対策が直接の利益につながらないため、資金が限られている中で予算を回しづらいという事情が多いようです。
大企業と比べてリソースが追い付かない中で、いかに工夫をしながら適切な対策をしていくかが求められています。
中小企業が情報セキュリティ対策を怠るリスク
初めに、中小企業が情報セキュリティ対策を怠ることで、どのようなリスクが生じるのかについて説明していきます。
顧客の信頼を失う可能性
第一に、情報漏洩などにより、顧客の信頼を失ってしまう可能性があります。たとえそれが従業員の過失だったとしても、顧客から見れば、会社の失態として映ってしまうからです。
とくに、顧客データが流出した場合における信用失墜の程度は計り知れません。BtoB企業であれば取引停止、BtoC企業であれば不買行為などによって、自社へ大きなダメージを与えます。
社会的な信用を回復していくには時間がかかるため、場合によっては事業が立ち行かなくなってしまうこともあります。さらに、従業員のモチベーション低下も考えられるでしょう。
営業・販売機会を失う可能性
第二に、ウイルスの侵入や通信障害などによってシステムが停止すると、自社のサービス提供が困難になり、営業機会や販売機会を失ってしまう恐れがあります。せっかく得られるはずだった売上も、あっという間に消えてなくなってしまうのです。
止まる恐れがあるシステムは、Webサイト・電子メール・受発注システムなど、インターネットにつながっているものすべてです。短くて1日、長いときは1か月以上サービスが停止してしまうこともあるでしょう。
自社の業務を継続的に続けていくためにも、情報セキュリティ対策は必須です。
中小企業の情報セキュリティ対策で必ずやるべき5つのポイント
ここでは、中小企業の情報セキュリティ対策において、最低限実施しておきたいポイントを5つご紹介します。
1.OSやソフトウェアをアップデートする
まず、OSやソフトウェアを最新の状態にアップデートしておきましょう。この取り組みをするだけで、脆弱性を突いたサイバー攻撃を8割以上も防げるともいわれています。
具体的には、業務用のPCに搭載されることの多いWindowsやMac OS、業務用スマホに搭載されることの多いAndroidやiOSといったものです。その他にも、各デバイス内に入っているアプリケーションは、できるだけ速やかに更新するようにしましょう。
近年のサイバー攻撃において、PCやスマホなどの「エンドポイント」を狙ってウイルスを仕込む事例が数多く発生しています。アップデートといった基本的な内容を実施するだけで、非常に強力なセキュリティ対策ができるのです。
2.パスワードを複雑なものに設定する
次に、利用するサービスのログインパスワードは、できるだけ複雑なものを設定するようにしましょう。これにより、社内システムへの不正ログインを防ぎ、情報漏洩や改ざんへ対策することが可能になります。
よく設定されるパスワードとして挙げられるのは、「123456」「0000」「password」といったものです。できるなら、大文字・小文字・数字・記号を組み合わせて、長い文字列を作りましょう。
また、1つのサービスで使用したパスワードは、ほかのサービスへ使い回さないことが重要です。万一、どこかで不正アクセスが発生すると、連鎖的にアクセスされる恐れがあるからです。
3.サービスや機器の設定を見直す
顧客情報を扱っているデータベース、ネットワークに接続している複合機など、利用しているサービスや機器にセキュリティの抜け穴がないかどうかを確認することも大切です。とくにセキュリティの設定が間違っていると、大事な情報が誰でも見られるようになっていることもあるからです。
特筆すべき点として、「権限付与」が適切にされているかを入念にチェックしましょう。「誰がどのデータを閲覧できるようになっているか」「どのような操作が可能になっているか」などを見直しします。
4.重要なデータのバックアップを取る
企業にとって重要度の高いデータは、サーバーやPC内にとどめておくだけでなく、必ず外部の媒体へバックアップを取るようにしましょう。サイバー攻撃や災害が発生したときでも、企業のデータを守っておけるからです。
バックアップの方法は、外付けHDD/SSD・NAS・クラウドストレージなどが挙げられます。とくにクラウドストレージは、比較的低コストで利用できるうえ、保守運用の手間がかからないので、リソースの少ない中小企業におすすめです。
またバックアップを取るときに、以下の対策もしておくと、大事なデータをより安全に守れるでしょう。
同じデータを3つ以上保存する
2種類以上の媒体で保存する
1つを遠隔地で保存する
これらすべてを実施することは難しいかもしれませんが、中小企業においても「分散」の意識をもって行うことをおすすめします。
5.ウイルス対策ソフトを導入する
ウイルス対策ソフトとは、サイバー攻撃者が仕掛けるコンピュータウイルスを検出し、除去するためのシステムのことです。近年、ウイルスを用いた攻撃手法が高度化してきているため、中小企業においても導入は必須です。
ウイルス対策ソフトは、有償の製品を導入するようにしましょう。無料ソフトでも対応できないことはないですが、検出履歴が確認できなかったり、サポートが用意されていなかったりすることがあるので、企業向けの利用としては不足を感じやすいです。
また、複数のウイルス対策ソフトを有効にしないように注意しましょう。2つ以上が競合してしまうと、不具合が発生して機能しなくなってしまう恐れもあります。
中小企業の情報セキュリティ対策として策定すべき計画
ここでは、中小企業の情報セキュリティ対策において、セキュリティ担当者が策定すべき計画を解説いたします。
情報セキュリティポリシー
情報セキュリティポリシーとは、企業がセキュリティを維持するための指針・方針を体系的に取りまとめたもののことです。策定することで、従業員のセキュリティ意識が向上したり、顧客や取引先からの信頼性が増したりするなどのメリットがあります。
具体的には、以下のような項目を記載します。
基本方針
運用体制
運用規定
対策基準
情報セキュリティポリシーは特別に決まりきった型がないため、自社の現状に合わせて固有のものを作成します。組織形態・システム構成・情報資産の種類などを踏まえたうえで、だれにとっても理解しやすいものを策定しましょう。
緊急事態時における対応方法
情報セキュリティポリシーなどの基本方針に加えて、緊急事態発生時の対応方法をあらかじめ決めておくことも大切です。なぜなら、中小企業を取り巻くセキュリティリスクが年々高まってきており、アクシデントの発生は避けて通れない状況になっているからです。
緊急事態発生時の対応方法として、以下のようなことを定めます。
これらは作成するだけでなく、日ごろから組織内で周知しておくことが大切です。
中小企業における情報セキュリティ対策で失敗しないためのコツ
最後に、中小企業が情報セキュリティ対策を実施するために、意識すべきポイントをいくつかご紹介します。
守るべきデータを明らかにする
中小企業が情報セキュリティ対策を実施する際は、どのデータが優先的に守られるべきなのかを明らかにしましょう。ただ闇雲に対策を打ってしまうと、巨額なコストがかかってしまったり、本当に重要なデータへの対策が稀薄になってしまったりします。
たとえば、ECサイトを運営している企業であれば、サーバーに格納されている顧客データベースや、サイトのログイン情報などが重要なデータとして挙げられるでしょう。それらにアクセスされないためには、WebサイトのSSL化や、不正ログイン対策などが有効な手立てとなります。
「うちはウイルス対策ソフトを導入しているから大丈夫」「ファイアウォールで不必要なアクセスは遮断できている」などと安心するのではなく、本当に守りたいデータがしっかりと守られているかを把握し、対策しましょう。
役割や責任を明確にする
中小企業が情報セキュリティ対策を実施する際は、だれがどのような役割を全うするのかを決めましょう。役割や責任が明確になることで、情報が迅速に伝達され、スムーズな運用が可能になるからです。
具体例は以下です。
- 全社的な情報セキュリティ責任者:全社的な情報セキュリティに責任を持つ人
- 部門別の情報セキュリティ責任者:各部門における情報セキュリティに責任をもつ人
- システム管理者:情報セキュリティ対策として導入・構築した各システムを管理する人
- 教育責任者:情報セキュリティ教育に責任を持つ人
- 点検責任者:情報セキュリティ対策が問題なく行われているかをチェックする人
組織規模が非常に小さいような場合には、一人が複数の責任を担うなどして、簡素化してもよいでしょう。いずれにせよ、情報セキュリティ対策を円滑に運用していくために大切です。
社員教育をする
セキュリティのリスクは、技術的な要因だけでなく、人的な要因も考えられることから、社員のリテラシーを向上させていくことが欠かせません。そのためには、セキュリティ教育を実施していきましょう。
具体的には、「これをしてはならない」などと遵守事項だけを教えるのではなく、「どうしてそれをしなければならないのか」「やらないとどうなってしまうのか」など、各人が自分ごととして捉えられるような伝え方を意識します。また、実際に攻撃のデモを行ってみるなど、従業員の記憶に残るようなやり方を採用してもよいかもしれません。
委託先へも目を向ける
社内の一部業務をほかの会社へ委託していたり、ベンダーが提供するクラウドサービスを利用していたりする場合は、その会社のセキュリティ状況もチェックしましょう。とくに自社の重要なデータを渡すような場合は、自社と同等か、それ以上のセキュリティが求められます。
万一、委託先から情報が流出してしまうと、自社の管理責任が問われることもあります。そのため、ベンダーや外注先へ丸投げすることはせず、必要な対策が取られているかどうかを、コミュニケーションを取りながら判断してください。
もし、直接確認したり指示したりすることが難しいような場合は、契約書等に必要な対策を明記することが望ましいです。それも難しいような場合は、その会社のサービス利用規約や、セキュリティポリシーを入念にチェックしたうえで、取引するかどうかを判断します。
できるところから情報セキュリティ対策を始めましょう
この記事では、中小企業における情報セキュリティの課題やリスク、具体的な対策方法についてご紹介しました。人材や資金などのリソースが割けなくても、今から取り組める対策は数多くあります。
また、情報セキュリティポリシーや、緊急時の対応方法をあらかじめ定めておくことが重要であるとも説明しました。これから大きくなっていく組織の規律を維持していくためにも、必要な内容です。
実際に対策すべき箇所を挙げれば、Web・アプリケーション・サーバー・デバイスなどきりがないため、自社で重要度の高いものを判断してから取り組みましょう。ぜひこの記事を参考にして、自社のセキュリティ対策を進めてみてください。