中小企業の「情報セキュリティ」基本的な考え方
~中小企業経営者のための情報セキュリティ最前線[第1回]

近年、PCやインターネットは欠かせないものとなりました。同時に高まっているのが、サイバー攻撃の脅威です。「ウチは中小企業だから、攻撃対象にならないだろう」と楽天的に考えている経営者は、意識改革を進めなくてはなりません。

本連載では中小企業経営者なら知っておきたい「情報セキュリティ」の最新事情を紹介していきます。今回は中小企業として情報セキュリティをどのように考えていくべきか、その基本についてみていきます。

中小企業がサイバーセキュリティリスクに備える必要性

サイバー攻撃に端を発する事件の代表格は「情報漏えい」です。エンドユーザーの個人情報を含む機密情報が漏えいすると、企業の信用は著しく低下します。こうした事態を経験した大企業は、再発を防止すべく、セキュリティ対策を強化しています。

すると次の標的になるのは、大企業と取引関係がある中小企業です。セキュリティ対策の甘い中小企業に、メールやクラウドなどを通じてマルウェアを潜入させ、PC経由で大企業へ入り込もうとするわけです。

このような段階を踏む狡猾なサイバー攻撃は「サプライチェーン攻撃」と名付けられ、注意喚起されています。たとえ中小企業であっても、きちんと対策を講じなくてはならない所以です。

また業種によっては[大企業 ⇔ 中小企業 ⇔ 個人事業主などの外部クリエイター]という仕事の流れが発生します。経営者は社内だけでなく、プロジェクトへ参加しているすべての関係者と適切なコミュニケーションを取り、意識を統一していく必要があります。

経営者がすべきこと~情報セキュリティの基本的な考え方

では経営者は、どのように情報セキュリティ対策を構築していけばよいのでしょうか。以下に見ていきましょう。

■セキュリティ対策の基本・CIAの理解
まず経営者は原点に立ち返り、セキュリティ対策の基本・CIAを理解する必要があります。

【図表1】CIAとは

【図表1】CIAとは

セキュリティ対策においてはCとIを徹底しながら、Aを同様に実現しなくてはならないという難しさを、よく理解しておくことが大切となってきます。

■CISOというポジションを知る
欧米の大企業にはCISO(Chief Information Security Officer)というポジションがあります。この肩書は、社内の「最高情報セキュリティ責任者」を意味します。

CISOは「システム・ネットワークの安全管理」や「セキュリティポリシーの策定」、そして「緊急時の初動マニュアル作成」などを任せられる適任者として、雇用または選出されます。

日本にはまだCISOが浸透しておらず、情報セキュリティ対策としては「セキュリティソフトの導入」や「サイバー保険加入」などが一般的という状況です。しかし日本の中小企業にとっても「セキュリティポリシーの策定」や「緊急時の初動マニュアル作成」は急務。これらを支援するサービスは国内でも数多く提供され始めていますので、ぜひ利用を検討してみてください。

■セキュリティポリシー・実施計画の承認

セキュリティポリシーが策定できたら、経営者による最終チェックが必要となります。

「内容が自社の経営戦略と矛盾していないか」、「すでにあるPDCAサイクルへ取り込み、組織全体で実践可能な計画となっているか」などさまざまな角度から内容を吟味したうえで、承認へと移るのです。

そのためには、経営者自身が情報セキュリティについて知識を深めていかなくてはなりません。

セキュリティ対策のポイント

次に、自社セキュリティ対策の実践にあたり、留意すべきポイントを紹介していきます。

■予算確保と活用サービスの検討

これまでセキュリティ対策を充分に講じてこなかった企業の経営者は、その実践に必要な費用を「予想外の出費」と捉えるかもしれません。しかし自社経由で取引先にサイバー攻撃が及んでしまうと、最悪の場合、取引そのものが消失してしまう可能性もあります。セキュリティ対策には「投資の意義がある」と理解し、予算を割いていきましょう。

以下にセキュリティ対策の費用例を紹介しますので、参考にしてください。

【図表2】セキュリティ対策の費用例

【図表2】セキュリティ対策の費用例

上記のすべてを一度に導入することが難しければ、段階的に検討してください。

また公益社団法人東京都中小企業振興会が「サイバーセキュリティ対策促進助成金」の申請も受け付けていますので、検討してみるのも一案です。

■スタッフに徹底してもらうこと

社内スタッフには「自社業務において、セキュリティ対策がいかに重要か」をきちんと説明する機会を設け、以下を徹底してもらいます。

  • パスワードは英大文字小文字+数字+記号で8桁以上
  • パスワードは機器ごとに変える
  • ログインは2段階認証を採用
  • 重要なデータや外部に持ち出すデータは暗号化する
  • パソコンにはセキュリティソフトをインストール
  • OSやインストールソフトの更新は常に最新の状態に
  • 社用タブレットやスマートフォン端末にも、セキュリティソフトをインストール。また業務外のアプリのインストールは禁止
  • 私用機器を業務に使用しない

また上記の遵守は社内だけでなく、外注のスタッフにも徹底してもらう必要があります。

セキュリティポリシーおよびその実施計画は、作成すればそれで終わりというわけではありません。定期的に見直しを行う必要があり、改善点が見つかった場合は、適宜対処していきます。

またサイバー攻撃の内容は、日々変化しています。予兆が感じられた段階でセキュリティレベルを強化しないと、取り返しのつかない事態を招く可能性もあります。セキュリティソフトや外部アウトソーシングを利用すると「定期レポート提出」などのサービスを受けられます。こちらを分析したうえで、適切な判断をくだすようにしましょう。

 

著者

株式会社ボルテックス 100年企業戦略研究所

1社でも多くの100年企業を創出するために。
ボルテックスのシンクタンク『100年企業戦略研究所』は、長寿企業の事業継続性に関する
調査・分析をはじめ、「東京」の強みやその将来性について独自の研究を続けています。

100年企業戦略研究所 ロゴ