DXの普及が推進されている今、企業のネットワーク上にはこれまで以上に重要データが溢れるようになりました。重要データを狙った不正アクセスなどセキュリティリスクに対する懸念が強まっています。デジタルツールの活用がハイレベルになるほど、実態に見合ったセキュリティ対策を整える必要があるというわけです。
セキュリティ対策において悩ましいのが、ハッキングやコンピューターウイルスといった脅威は短期間で変化を繰り返す点にあります。特に変化のサイクルは年々短縮される傾向にあり、適切な対策も刻々と変遷しています。
このような現状の背景には、以前の不正アクセスは愉快犯が多かった一方で、昨今は犯罪がビジネス化していることが挙げられています。ハッカーが犯罪による収益を組織的に目論んでいるため、手口をブラッシュアップするモチベーションがさらに刺激されているというわけです。特に、セキュリティ専門部署の未設置など対策の甘さが指摘されている中小企業は、ハッカーの餌食になりがちです。
そのため日本では、経済産業省の主導で「中小企業の情報セキュリティ対策ガイドライン」が定められています。変化する脅威に合わせて情報が更新されており、現行版である第3版は2019年に公開されました。
今回は、ガイドラインにのっとって国が推奨するセキュリティ対策についてご紹介します。中小企業は資金や人員といった対策に使えるリソースに限りがあります。まずはできることから始めていきましょう。
対策すべきセキュリティリスクは、事件が発生しないうちは実感が湧きづらいためアクションが先送りにされがちです。
防災活動や健康づくりの必要性をわかっていても、なかなか行動に起こせないことに似ています。セキュリティ対策が不十分な場合、発生しうるリスクをセキュリティ対策ガイドラインは次の項目を挙げています。
・金銭の損失……顧客の情報が流出した場合、損害倍賞など補償が必要となる。
・顧客の喪失……社会的評価が大きく損なわれることで、企業の競争力が失われてしまう。
・業務の停留……原因調査や再発防止策のため、インターネットを遮断する期間が生じる。
・従業員への影響……職場に疑心暗鬼の雰囲気が生まれ、モラルの低下に繋がり、人材流出が起きる。
セキュリティ対策は、経営者と現場のチームプレーが必要です。経営者に求められる動きについて「情報セキュリティ対策ガイドライン」では次のような3原則が定められています。
①情報セキュリティ対策のリーダーシップは経営者にある
②社内に加えて委託先のセキュリティ対策も考慮に入れる
③ステイクホルダー(利害関係者)と情報セキュリティについてコミュニケーションをとる
また、アクション項目としては次に挙げる7つの大枠があるとされています。
①組織全体の対応方針を定める
②予算や人材などを確保する
③担当者に対策の検討と実行を求める
④対策の見直しを適宜求める
⑤緊急時の対応と復旧に必要な体制を整備する
⑥セキュリティの責任について委託先や外部サービスと合意する
⑦最新動向について情報収集する
セキュリティ意識が十分に浸透していない企業では、一気に万全な対策を実行することは困難に感じられるのではないでしょうか。
そのため、必ず実行すべき5つのアクションがガイドラインでは挙げられています。
これら5つを実施することで、「SECURITY ACTION 一つ星」という国が提供するロゴマークを使用して対策状況を宣言できるようになります。基本的なアクションからスタートして、本格的な動きに繋げる雰囲気づくりを進めていきましょう。
①OSやソフトウェアは最新の状態を保つ
②アンチウイルスソフトを導入する
③パスワードを強化する
④データの共有設定を見直す
⑤最新の手口について情報収集をする
新たな施策にあたって現状把握に努めたい方が少ないと思います。
ガイドラインでは、25項目による自社診断リストが提供されています。
チェックに使用できるオンラインサイトも公開されており、複数の事業所がある中小企業でもリモートで自社診断を進めることができます。
リストの内容には、5つの基本的対策に加えて、従業員個人と組織体制の2つの視点が診断項目に取り入れられています。
「5分でできる!」と銘打たれているとおり、YES/NOでチェックしていく簡単なリストです。
(出典:小企業の情報セキュリティ対策ガイドライン第3版、情報処理推進機構、2019)
自社診断の結果を使って対策を検討する場合、ガイドラインの「解説編」が役立ちます。
ITについて詳しい人材がいない会社でも、等身大の対策からセキュリティ向上施策の道筋がわかるということです。
中小企業に寄り添うスタンスで対策例が紹介されており、費用や時間をかけないで簡単に実行できるアクションが具体的にわかるようになっています。
懸念される被害や事故が解説されているため、従業員やステイクホルダーに協力を求める資料としても役立ちます。
いきなり全ての項目について対策を実行できなくても、自社の事情を踏まえて優先順位付けをしてアクションを起こしていくことができます。
ダウンロードはこちら↓
資料:5分でできる!情報セキュリティ自社診断 https://www.ipa.go.jp/files/000055848.pdf
自社診断を踏まえて定めた対策について実行段階に移るとき、役立つのが情報セキュリティハンドブックのひな形です。パワーポイントのファイル形式で配布されています。
セキュリティリスクに関する注意喚起と対策において必要なアクションという2つが一体となった資料で、企業やソフトウェアの名称といった固有名詞や、電話番号など連絡先がブランクになっています。
資料作成は担当者の負担になる作業ですが、最小限の手間で対策を進めることができるというわけです。
セキュリティリスクを考えるうえで、DXの進展と同様に重要な変化がリモートワークの急増です。
会社のネットワークに接続する端末はエンドポイントと呼ばれ、セキュリティリスクの最前線にあたります。
リモートワークの普及にともなって、エンドポイントも急増しており、以前とは異なるセキュリティリスクのコントロールが求められています。
エンドポイントのセキュリティ対策は、企業規模で差が生じているとされています。企業規模が小さくなるほど対策が遅れがちで、中小企業はエンドポイントのセキュリティとして、アンチウイルスソフトの導入に留まっている会社が少なくありません。
しかし、アンチウイルスソフトの導入だけでは対策は不十分です。 昨今の攻撃手法のトレンドを踏まえると、アンチウイルスソフトで入口を絞ることに加えて、攻撃を速やかに検知かつ対処するEDR(Endpoint Detection and Response)が必要とされています。
そのため、EDRの機能が備わったパッケージソフトも数多く発売されています。
弊社のEXOセキュリティは、セキュリティ対策整備のスモールスタートに最適なソフトで、簡単な操作を特徴としたEDRが高い評価を受けています。
企業向けソフトは導入に高額な費用がかかりがちですが、EXOセキュリティは50ユーザーまで月額5000円でご提供しています。
中小企業のセキュリティ対策の第一歩を、簡単操作と最小コストで導入できるEXOセキュリティがお手伝い致します。
