コラム
2020.09.28 06:00
Index
お役立ち資料を無料配布中
御社の「セキュリティ」課題を見つけよう!1分でわかる簡単チェックリスト
セキュリティ対策の経営課題を見つけるチェックリストを無料配布中。当てはまる「あるある」にチェックを入れるだけで、会社が抱えている問題のタイプを診断できます。手元に置いて、課題解決の見直しにも。
お役立ち資料をダウンロードする
「あるある!から見つける経営課題」シリーズ、第2回のテーマは「セキュリティ」です。コンピュータウイルスによる攻撃を受けてシステムをダウンさせられたり、顧客データを盗まれたりする有名企業のニュースを見て、「うちのような中小企業には関係ないだろう」と思っていませんか?
もしそうだとしたら、とても危険です。次のような「あるある」に心当たりがないか、チェックをしてみてください。
保存する書類やデータに機密度や重要度を設定していない
市販のセキュリティソフトをパソコンにインストールして、ウイルス対策は十分だと思っている
退職した社員の担当していた業務データから必要なものを見つけられない
社屋内にいる人が、社員なのか外部の人なのか、ぱっと見てわからない
会社近くの喫茶店で機密事項を含んだ打ち合わせをしたり仕事をしたりすることがよくある
業務で個人情報を扱っていないため、たいして価値のある情報はないと思っている
テレワークでの情報管理は、社員個人に任せきり
社内にサーバコンピュータがあり、重要データを保管しているが地震などの災害対策は行っていない
ITを管理する担当者を設けていない
WebブラウザにInternet Explorerを使っている
「うちの会社は5つ以上当てはまるぞ」と思ったら、あなたの会社はセキュリティに課題あり!(1つでも当てはまるものがあれば要注意です。)
そのままの状態で放置しておくと、重要な業務上の情報の漏洩、顧客データの流出、さらには、サイバー犯罪者から「踏み台」として利用され、取引先や親会社などに損害をもたらすことにもつながりかねません。そんなことになれば会社の信用はガタ落ち。今後の事業運営にも支障をきたすことになります。
保存する書類やデータに機密度や重要度を設定していない
退職した社員の担当していた業務データから必要なものを見つけられない
テレワークでの情報管理は、社員個人に任せきり
紙の書類やパソコンのデータファイルは、部門別や担当者別、あるいは顧客別や製品別といった具合に、内容別で分類、管理をしていることがほとんどでしょう。それ自体は間違っていませんが、さらに加えて「機密度」と「重要度」の基準により管理することがポイントです。
機密度は“外部に漏らしてはいけない程度”を表し、重要度は“失ってはいけない程度”を表します。
それぞれ、高・中・低といったレベルを設定し、たとえば、機密度が高い書類は触れられる社員を限定して社外に持ち出せないようにする、重要度が高い書類は、複製を作っておき原本が失われても複製が残るようにするといった対応をします。
こうしてレベルをわけて管理することで、日々増え続ける書類やデータから、最低限これだけは流出も紛失もしてはいけないというものを、重点的に管理できます。書類の管理にかけられる人手やスペースが少ない中小企業だからこそ、レベル設定が重要なのです。
さらに、テレワークをする社員にも重要度や機密度が高い書類は自宅のパソコンには保存させないなどの対応が可能になります。
社屋内にいる人が、社員なのか外部の人なのか、ぱっと見てわからない
会社近くの喫茶店で打ち合わせをしたり仕事をしたりすることがよくある
社内にサーバコンピュータを置き、重要データを保管している
中小企業の良さとして、社員数が数十名程度までなら、社員同士、互いに顔と名前が一致するので外部の人間が入り込んでいたらすぐに気付く点があります。しかし、社員数が100名を超える規模になったり、派遣社員が増えたりすると状況が変わってきて、外部の人が入り込んでいても気付きにくくなります。
そうなってきたら、入退室管理システムを導入し、また正社員と派遣社員、外部業者それぞれに色分けしたネックストラップを着用してもらうなどの方法で管理する必要があります。もちろん、セキュリティカメラも導入したほうがいいでしょう。
また、ハードウェアの面では、社内にデータサーバや基幹システムのコンピューターを置くことは、管理リソースの少ない中小企業にはおすすめできません。盗難などのほか、火災や洪水などの災害が発生した場合に、被害を受ける可能性が高いからです。中小企業こそ、クラウドのサーバシステムを利用するほうが安心です。
さらに、案外盲点になるのが「人」のセキュリティです。たとえば、会社の近所の喫茶店で顧客と打ち合わせをしているときに隣で話を聞かれたり、ノートパソコンを持ち込んで仕事をしているときに後ろから画面をのぞき込まれたりして情報が漏洩するということも考えられるのです。ちょっとした意識の差が安全の差につながります。
市販のセキュリティソフトをパソコンにインストールして、ウイルス対策は十分だと思っている
業務で個人情報を扱っていないため、たいして価値のある情報はないと思っている
ITを管理する担当者を設けていない
WebブラウザにInternet Explorerを使っている。
多くの中小企業では、そもそも社長がITセキュリティの重要性を理解していないという問題があります。「うちには盗まれてもお金になるような価値のある情報などないだろう」というわけです。
しかしそれは大きな誤解です。なぜなら、コンピュータウイルスなどに感染してしまうと、自社のパソコンがいわゆる「踏み台」にされて、そこが他社への攻撃への足がかりにされることがあるからです。
とくに企業系列などで取引情報の結びつきが深い場合に、セキュリティの強い親会社(大企業)へは直接攻撃できなくても、セキュリティが弱い子会社(中小企業)に攻撃をしかけて、その「穴」から親会社への攻撃をしかける「サプライチェーン攻撃」が最近増えています。
もし、自社がそのような攻撃の「踏み台」にされ、自社ではなく親会社や取引先に甚大な被害が生じた場合には、最悪、損害賠償の請求を受ける可能性も考えられます。
では、どうすればよいでしょうか。ITセキュリティにかんしては、いくつもの防御策を組み合わせる「多重防御」と、「最新防御」という2つの点がポイントになります。
「多重防御」という点にかんしては、たとえばアンチウイルスソフトを導入するだけでは不十分です。より高度なITセキュリティを手軽に実現するUTM(Unified Threat Management:統合脅威管理)と呼ばれる機器を導入するのがよいでしょう。これは「統合」という名前の通り、ウイルス対策だけではなく、さまざまなITセキュリティを高めます。
また「最新防御」という点では、WindowsなどパソコンのOSを常に最新にする、以前は広く使われていたものの、現在では開発元であるマイクロソフト社が使用を推奨していないWebブラウザの「Internet Explorer」から、最新版のMicrsoft Egdeに切り替えるといったことに注意しなければなりません。
いずれにしても、社長自らが、ITセキュリティの「多重防御」や「最新防御」について詳細に把握して、社員に指示を与えたり確認したりすることは難しいかもしれません。そこで、兼任でもかまわないので「IT担当」の役職を作り、管理させるようにするといいでしょう。
もしそれも難しいようなら、外部のITコンサルタントに依頼することも検討しましょう。
経営者にとって、会社のセキュリティ対策は、「売上には貢献せず、コストばかりかかるもの」と感じられるかもしれません。
しかし、取引関連(サプライチェーン)全体を狙ったサイバー攻撃が増えている中で、セキュリティ対策に力を入れていることを、セールスポイントとして積極的にアピールして、受注拡大・売上拡大に結びつけている企業もあります。
世界的な大企業がシステムの中枢部まで侵入されて甚大な被害を受けた事件も起きていることから、取引先選定にあたって、セキュリティ対策の充実度を重視する傾向が、今後ますます強まっていくはずです。
今回の記事をもとに、セキュリティの課題を確認できるチェックシートの資料をご用意しました。この記事の下からダウンロードし、ぜひ貴社の課題解決にお役立てください。
取材・文:編集部
監修
那須慎二(なす しんじ)
株式会社CISO代表取締役。国内大手情報機器メーカーでのSE職を経て、大手経営コンサルタントファームでセキュリティコンサルティングを担当。2018年7月、株式会社CISOを創業。著書に『小さな会社のIT担当者のためのセキュリティの常識』(ソシム)など。
お役立ち資料を無料配布中
御社の「セキュリティ」課題を見つけよう!1分でわかる簡単チェックリスト
セキュリティ対策の経営課題を見つけるチェックリストを無料配布中。当てはまる「あるある」にチェックを入れるだけで、会社が抱えている問題のタイプを診断できます。手元に置いて、課題解決の見直しにも。
お役立ち資料をダウンロードする