助けるビジネス、未来にプラス

中小企業の情報セキュリティ、この部分は大丈夫?

サイバー攻撃やフィッシング攻撃などの事件が増加し、企業における情報セキュリティ体制の整備は重要な経営課題になっています。特に最近はサプライチェーン攻撃と言われる、メインターゲットの取引先や提携先の企業を狙った攻撃が増えており、セキュリティ体制の甘い中小企業は狙われやすくなっています。中小企業の情報セキュリティで注意すべきポイントを紹介します。

情報セキュリティ対策の基本的な考え方

情報セキュリティ対策では行うべきことが幅広く、専門的知識も必要になるためどこから手をつけていいかわからないことも多いものです。まずは考え方について知り、社内の改善に取り組みましょう。

・情報セキュリティには改善はあっても完璧はない

情報セキュリティでは、完全な対策を施すことは専門家だとしても不可能です。そのため、気負いすぎず、できるところから着実に取り組むようにしましょう。組織のセキュリティ体制を認証するISMSやプライバシーマークなどでも、基本的には情報セキュリティに対するPDCAがしっかり行われているかが問われます。いきなり完璧を目指さず、少しずつ改善を重ねて強固な体制を作りましょう。

・情報セキュリティでは守るべき情報を明確に

情報セキュリティでは情報を守るためにさまざまな対策を行うことになりますが、守るべき情報とは何でしょうか。守るべき情報を明確にしておくことが、適切なセキュリティ対策のためには必要です。「個人情報の含まれるリストはマネージャー職以上のみがアクセス可能」「顧客との取引情報は5年は保管し、その後速やかに削除する」など、情報の種類ごとに扱うための権限や管理の方法を定め、しっかり運用することが大切です。

・対策するべきは「システム」と「人」

サイバー攻撃のターゲットになり、対策を講じる必要があるのは主にシステムと人です。システムにおける対策はセキュリティ強化のためのシステムや機材を整備することで、人的対策は教育が重要です。昨今はシステム面での情報セキュリティ対策でAIが使われ精度が高まっていることから、攻撃者は特に人間の心理をついた攻撃をしかける傾向があります。警戒すべき状況や、想定リスクをしっかりと教育することで心理的な隙をなくし、軽率な行動を牽制することが大切です。

中小企業の情報セキュリティ対策のチェックポイント

中小企業の情報セキュリティ対策でチェックしておきたいポイントを紹介します。

OSやセキュリティソフトは最新のものが使われていますか?
OSやセキュリティソフトは、最新の状態で利用していないと、脆弱性を突いた攻撃を受けるリスクが高まりますので、常に最新版にアップデートするようにしてください。特にOSやセキュリティソフトが企業で管理されておらず利用者任せになっている場合は注意が必要です。

業務に必要な情報へのアクセスが自由になっていませんか?
営業データや財務データなど、社内の機密情報に対して、業務上関係のない社員がアクセスできるようになってはいないでしょうか。役員や管理職の人だけが扱う情報だけではなく、情報の種類ごとにアクセス権を適切に設けて管理することが大切です。アクセス権の設定は組織内部からの情報漏えいを防ぐだけでなく、攻撃を受けた際の被害範囲を狭めるためにも効果的です。

リモートワークやテレワークのセキュリティ教育ができていますか?
働き方改革でリモートワークやテレワークを導入する企業も増えています。しかし、セキュリティに関する教育が不十分だとリスクの温床になってしまいます。社外から社内への接続が必要な場合、ネットワークを暗号化するVPNを利用することや、不特定多数の人がいるカフェなどの環境では重要な情報を含むファイルを開かないことなどをルール化して徹底させることが大切です。また、本来は社内で扱うべき情報を、外部のクラウドサービスや自分のスマホやパソコンで扱う「シャドーIT」に注意する必要があります。

情報の受け渡しをUSBメモリに頼っていませんか?
昨今の個人情報漏えい事件では、USBメモリの盗難や紛失による事件が非常に多くなっています。USBメモリはコンパクトで大容量と便利な反面、紛失しやすくその際の影響も甚大です。情報の受け渡しは極力、セキュアなネットワークを用いたデータ転送サービスなどを使うようにしましょう。

情報セキュリティのPDCAはしっかり回っていますか?
情報セキュリティはルールをしっかり定めて教育し、ルール通りに各自が行動してこそです。一度教育して終わりにするのではなく、その浸透度や取組状況などを定期的にチェックし、不足している部分や現場からの改善提案を吸い上げてより良いものに改善していく必要があります。

情報セキュリティ対策は誰が担当するべき?

中小企業では、情報セキュリティ対策が必要であることは理解していても、実際にはマンパワーの不足から難しく感じる企業も多いものです。

情報セキュリティ対策は、IT知識のある情報システム部門に任せられる傾向がありますが、全社に対する会社の本気度を示すには役員クラスが中心となって進めていくことが大切です。システム面では情報システム部門の協力が必要不可欠ですが、ルール作りや教育など人的対策の部分は役職者が中心になって動かなければ絵に描いた餅で終わってしまいます。

また、担当役員と情報システム部門、総務や法務の担当者からなる情報セキュリティ委員会を社内で立ち上げ、チームプロジェクトとして推進するケースも多く見られます。

まとめ

・情報セキュリティには改善はあっても完璧はない。まずは取り組むこと
・守るべき情報を明確にすることが行動を具体化する
・対策は「システム」と「人」に分けて行う
・情報セキュリティの推進役は、役員クラスが中心になって担うのが望ましい

中小企業でも情報セキュリティ対策は重要になっていますので、早めに対策に取り組みましょう。