情報セキュリティ対策における中小企業経営者の役割とは?
~中小企業経営者のための情報セキュリティ最前線[第2回]

近年、PCやインターネットは欠かせないものとなりました。同時に高まっているのが、サイバー攻撃の脅威です。「ウチは中小企業だから、攻撃対象にならないだろう」と楽観的に考えている経営者は、意識改革を進めなくてはなりません。

本連載では中小企業経営者なら知っておきたい「情報セキュリティ」の最新事情を紹介していきます。

サイバー攻撃によって被る損害は?

サイバー攻撃の恐ろしさを知る大企業は、十分な予算を割き、セキュリティを強化しています。こうした対策の網を潜り抜けるのは、犯罪グループにとっても大仕事。多くの予算や時間を費やさなければならないため、標的を中小企業へ移すケースが急増しています。

一般社団法人日本損害保険協会が、2020年2月に発表した『中小企業の経営者のサイバーリスク意識調査2019』からは「中小企業の4社に1社が、サイバー攻撃対策をしていない」という事実が浮かび上がりました。また「サイバーリスクへの対応」は、経営課題の中で「優先順位が最も低い」という結果も出ています。

[図表1]中小企業のサイバー攻撃の被害イメージ

中小企業のサイバー攻撃の被害イメージ

(出所)一般社団法人日本損害保険協会「中小企業の経営者のサイバーリスク意識調査2019」を基に株式会社ボルテックス100年企業戦略研究所が作成

それでは実際にサイバー攻撃に遭うと、企業にどのような損害があるのでしょうか。具体的に見ていきましょう。

[図表2]サイバー攻撃による企業の主な損害

サイバー攻撃による企業の主な損害

このようにサイバー攻撃は、中小企業を危機的な状況へ追い込むに十分な破壊力を持っているのです。

また先述の調査によると、対象となった中小企業の約2割がすでにサイバー攻撃の被害を受けており、そのなかでも「1,000万円~1億円未満の被害が発生した」と回答した数は全体の7.4%に上りました。

これまでサイバー攻撃対策に力を入れてこなかった経営者は、すぐに考え方を改めなくてはなりません。

情報セキュリティ対策…中小企業経営者は何をすべきか?

ここまで紹介してきた通り、サイバー攻撃により取引先や顧客の情報が漏えいしてしまった場合、経営者は社会的な責任を問われ、損害賠償請求に応じなくてはならないことがあります。

また「個人情報保護法」「マイナンバー法」「不正競争防止法」などの法律から「情報管理が不適切であった」と判断された場合、半年~数年の懲役が科せられることもあります。このような事態に陥ることのないよう、情報セキュリティにおける中小企業経営者が果たすべき役割を整理しておきましょう。

■リーダーシップを発揮してセキュリティ対策を進める
経営者は「最悪のサイバー攻撃被害」を想定したうえで、自社事業に見合うセキュリティ対策を主導する立場です。部下任せにするのではなく、自ら進んで予算を策定し、組織全体が目指す内容を明確化してください。

なお現場では「ただでさえ忙しいのに、セキュリティ対策で煩雑な作業が増える……」と不満を持つスタッフもいます。経営者はリーダーシップを十分に発揮し、全体の意思統一を図っていきましょう。

■委託先のセキュリティも考慮する
多くの中小企業は事業を進めるにあたり、別会社や個人事業主に業務を委託しています。委託先のシステム経由でサイバー攻撃を受けた場合でも、ケースによっては委託元が管理責任を問われることになります。

経営者は社内だけでなく、事業へ参加しているすべての関係者に情報セキュリティ対策の必要性を説き、実践を促してください。

■関係者とのコミュニケーションを意識する
情報セキュリティ対策は日進月歩の分野です。関係者から提供される最新情報にも積極的に耳を傾け、内容の見直しやブラッシュアップに役立てましょう。

中小企業が最低限すべき、情報セキュリティ対策

犯罪グループは、PCなどのデバイスを通じてサイバー攻撃を仕掛けてきます。社内に大規模なシステムを持たない中小企業の場合は、各端末の適切な管理が最も有効な対策となり得ます。では実際に、どのような内容を実践していけばよいのでしょうか。

■PC
現代はデスクワークを主業務としない企業でも、必ず一台はPCを備えているもの。この現状を悪用させないため、ウイルスソフトの100%導入は、基本的かつ有効なセキュリティ対策となり得ます。

ウイルスソフトには数多くの種類があるため、各商品の特徴を吟味したいところです。「どのような効果を得られるのか」、「複数台を集中管理はできるのか」、「USBメモリのスキャン機能はあるか」など、自社業務の内容に見合う商品を選ぶことが大切です。

また「退職者が出た場合、アクセス権限を即座に削除する」など、細かな管理体制構築も重要です。

■スマートフォンやタブレット
スタッフに業務用のスマートフォンやタブレットを与えている企業も多くなっています。しかし多くのリスクが伴いますので、以下の対策はしっかり講じておきましょう。

[図表3]スマートフォンやタブレットの情報セキュリティ対策

スマートフォンやタブレットの情報セキュリティ対策

■私用機器(BYOD)
小規模の企業では、スタッフが業務に私用機器を持ち込むことを黙認しているケースがあります。また新型コロナウイルスの流行に伴い、テレワークが進んだ結果、私用のデバイス使用を余儀なくされているケースもあるでしょう。

こうした私用機器経由のサイバー攻撃を防ぐためには、下記のような対策があります。

[図表4]私用機器の情報セキュリティ対策

私用機器の情報セキュリティ対策

PCやデバイスを業務に使用する以上、中小企業にもさまざまな対策を講じる必要があります。

またサイバー攻撃の内容は、日々変化しています。必要に応じて対策を見直し、セキュリティレベルを強化する努力を続けていくことが大切です。

著者

株式会社ボルテックス 100年企業戦略研究所

1社でも多くの100年企業を創出するために。
ボルテックスのシンクタンク『100年企業戦略研究所』は、長寿企業の事業継続性に関する
調査・分析をはじめ、「東京」の強みやその将来性について独自の研究を続けています。

100年企業戦略研究所 ロゴ