情報セキュリティ対策を怠った末路は悲惨…!? 中小企業で行うべき対策とは
中小企業は、大企業と比べると多くのリソースを持っていないこともあり、情報セキュリティ対策の予算を確保することや、専任スタッフを配置することに制約があることが多いものです。しかしながら、サイバー犯罪が横行する昨今では、情報セキュリティ対策は必須であり、とくにIPOを目指す企業にとってはより重要です。ここで中小企業の情報セキュリティ対策について再確認しておきましょう。
目次
中小企業の情報セキュリティ対策、必要性と目的とは?
中小企業が情報セキュリティ対策に取り組むことによって、その企業の信頼性が対外的に高まり、業績向上につながる可能性があります。一方で、情報セキュリティ対策を怠ることにより業務で利用するシステムに障害が発生し、事業が停滞する可能性があります。
さらに情報漏洩が発生した場合は、顧客や取引先の信頼を失って業績悪化につながったり、賠償問題に発展したりすることになりかねません。情報漏洩の規模や内容によっては、刑事罰を受ける可能性すらあります。経営者としては、事業継続に情報セキュリティ対策が必須であることをしっかり認識するとともに、自身がリーダーシップを執って情報セキュリティ対策を進めていく必要があります。
そして、IPOを目指す中小企業であれば、情報セキュリティ対策はより重要になります。その最大の理由は、株主から信用を得る必要があるからです。投資する対象としてふさわしい企業かどうか、信用に足る企業であるかどうかを判断する要素は多数ありますが、その一つとして軽視できないのが、その企業が情報セキュリティ対策をしっかり行なっているかどうかということです。
対策が不十分であったために情報セキュリティの問題が発生した場合、その企業の信用が低下し、最悪のケースでは経営が立ち行かなくなることもあります。そういうリスクを払拭するためにも、上場を目指す企業はより念入りに情報セキュリティ対策を行なうべきでしょう。
中小企業が最低限やるべき情報セキュリティ対策
中小企業の情報セキュリティ対策は、少ないリソースでも対応可能なものから順次施策していくべきです。経営者として、まずはセキュリティ対策に関する組織全体の対応方針を定めます。自社の事業において情報セキュリティに問題が発生した場合、どういった事態になるかを想定し、それに対して具体的にどういった対策が必要かを考慮し、それを従業員や関係者に明確に示します。さらに情報セキュリティ対策に必要な予算、人材を確保する必要があるのですが、社内リソースでまかなえないと判断した場合は、社外の専門サービスの利用を検討してもいいでしょう。
情報セキュリティ対策において重要とされるのは、“機密性”“完全性”“可用性”の3要素です。
- 機密性・・・情報へのアクセス制限を行なったり、情報の暗号化を進めたりすることによって、不正なアクセスを防ぐことです。
- 完全性・・・不正アクセスを素早く検出すること、デジタル署名などによって情報の改竄を防ぐことによって、情報の正確性を保つことです。
- 可用性・・・情報のバックアップを行なったり、システムをクラウド化したりすることによって、万が一の場合でも事業継続できる状態にすることです。
そして、中小企業が取り組むべき具体的な情報セキュリティ対策として、IPA(独立行政法人 情報処理推進機構)が『情報セキュリティ5か条』を示しています。その内容を以下に示します。
まずはここから「情報セキュリティ5か条」
①OSやソフトウェアは常に最新の状態にする
OSやソフトウェアを古いまま利用していると、バグや脆弱性といったセキュリティの問題点が残ったままの状態でそれらを利用していることになります。サイバー攻撃者たちはそういった問題を悪用し、マルウェアの感染や不正侵入に利用します。使っているパソコンのOSやソフトウェアには修正プログラムを適用し、最新バージョンにしておきましょう。
②ウイルス対策ソフトを導入する
IDやパスワードを盗んだり遠隔操作を行ったりするマルウェアに加え、最近ではファイルを勝手に暗号化する“ランサムウェア”も急増しています。従業員の使うパソコンにはウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)についても常に最新の状態で利用しましょう。
③パスワードを強化する
安易なパスワードは簡単に推測されたり解析されたりする危険性があります。またIDとパスワードの組み合わせを使い回すことで、一つのWebサービスからその組み合わせが漏洩すること、ほかのサービスに不正アクセスされてしまう“パスワードリスト攻撃”のリスクも増大します。パスワードは“長く”“複雑に”“使い回さない”ようにして強化する必要があります。
④共有設定を見直す
データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違ったために、従業員以外に情報を覗き見られるトラブルが増加しています。Webサービスや機器の設定を再確認、従業員以外が利用できない設定にしておきましょう。さらにいうなら、社内の情報を分類し、どの情報にどの従業員がアクセスできるかを制限するべきです。すべての情報に全従業員がアクセスできる状態は、情報漏洩のリスクが高まるからです。
⑤脅威や攻撃の手口を知る
最近は、取引先や関係者と偽ってウイルスが添付されたメールを送ってきたり、本物のWebサイトにそっくりの偽サイトに誘導して情報を盗み出そうとするフィッシング詐欺が横行したりと、新しい手口によるサイバー攻撃が増加しています。そういった最新の脅威や攻撃の手口について情報収集することも、情報セキュリティ対策には重要なことです。
この“情報セキュリティ5か条”は、リソースが十分ではない中小企業にとっても実施可能な最低限の対策でありながら、企業の信用度を向上させる効力もある取り組みです。経営者が把握するとともに、従業員にも周知させていきましょう。
【参考】情報セキュリティ5か条/IPA(独立行政法人 情報処理推進機構)
【こちらもおすすめ】多様な働き方を実現するために必要な準備とは?制度の見直しポイントについて弁護士が解説【ABW第5回】
中小企業のサイバー攻撃被害事例
中小企業を狙ったサイバー攻撃は年々増加しています。サイバー犯罪者たちは、情報セキュリティ対策が不十分な中小企業を狙うことで、ビジネス上つながりのある大企業へのサイバー攻撃を目論むのです。
この手法は“サプライチェーン攻撃”と呼ばれ、情報セキュリティ対策が十分な大企業や組織への攻撃を可能にするきっかけになってしまうため、警戒が必要とされています。また、最近はとくにランサムウェアの被害が拡大していて、感染によって業務が滞る事態も増えています。以下に、東京都産業労働局が公開した中小企業におけるサイバー攻撃被害の実例を挙げます。
- 製造業(栃木県、従業員数51~100名):2013年、役員のパソコンがウイルスに感染。過去の電子メールが勝手に大量送信され、自社および取引先の重要な情報が漏洩し、企業的信頼が失墜した。
- 製造業(神奈川県、従業員数6~20名):経営者宛てのメールに添付されていたファイルを開いたところ、ランサムウェアに感染。バックアップを行なっていたものの、個人の写真などのデータが参照できなくなった。
- 製造業(静岡県、従業員数51~100名):従業員がメールに添付されていたファイルを開き、ウイルス感染により自社の基幹システムが書き換わる障害が発生。復旧するまで1週間ほど、基幹システムの一部が利用できなくなった。
【参考】中小企業向け サイバーセキュリティ対策の極意/東京都産業労働局
【こちらもおすすめ】中小企業にとっても他人事ではない…標的型攻撃メールによるセキュリティ事故【事例と対策】
中小企業におすすめの情報セキュリティ対策ツール
中小企業が利用すべき情報セキュリティ対策として①UTM、②セキュリティ対策ソフト、③バックアップツールがあります。
①UTM
UTMはインターネットと社内ネットワークの間に設けるネットワーク製品で、マルウェアのような外部からの脅威を防ぐとともに、社内ネットワークを監視して情報の流出を防ぐ役割を持ちます。UTMは、ネットワークにハードウェアを設置する“アプライアンス型”が主流でしたが、昨今では“クラウド型”のサービスを利用することもでき、社内の人的負担も軽く低コストで運用可能なため、中小企業向けといえるでしょう。
※製品例:エヌ・ティ・ティ・スマートコネクト株式会社『SmartConnect Network & Securityクラウド型UTM』
②セキュリティ対策ソフト
テレワークのような新しい働き方が拡がるとともに、業務用のパソコンを使う場所やシーンも多様化しています。それに伴ってウイルスやマルウェアに感染する機会も多様化、増加する傾向にあります。従業員はもちろん経営者も、業務で使用するパソコンにセキュリティ対策ソフトを導入し、常駐させておくことは必須です。
※製品例:トレンドマイクロ株式会社『ウイルスバスター ビジネスセキュリティサービス』
③バックアップツール
万が一のランサムウェア感染などにおいても、事業継続に役立つのが“データのバックアップ”です。業務に関わる情報を常時バックアップすることで、トラブル発生時のリスクを低減させることができます。バックアップについても従来はファイルサーバーやNASを社内ネットワークに置くことが多かったものの、最近はクラウドに業務データをバックアップできるサービスが登場していて、コストをかけないバックアップが可能となっています。
※製品例:株式会社ダイレクトクラウド『DirectCloud』
まとめ:中小企業こそ情報セキュリティ対策を重視すべき
企業の信頼性を高めるためにも中小企業にとって情報セキュリティ対策は非常に重要です。またサプライチェーン攻撃の標的となることが多くなっていることからも、事業を安定して継続するためには情報セキュリティ対策は急務であり、必須のことといえるでしょう。社内リソースが潤沢でない場合でも、クラウドサービスなどを利用することで負担を増やさない対策が可能です。自社の情報セキュリティ対策について確認するとともに、問題があれば見直しておきたいものです。
*NTTスマートコネクト, トレンドマイクロ, クラウドバックアップ, tadamichi, Xeno, taa, metamorworks, Graphs / PIXTA(ピクスタ)