中小企業の情報セキュリティ対策

 IPA(独立行政法人情報処理推進機構)から「中小企業の情報セキュリティ対策ガイドライン」が発行されています。非常にわかりやすく具体的に中小企業のセキュリティ対策についてまとめられており、大変参考になります。ここでは、このガイドラインのポイントを筆者なりに解説します。
 「中小企業の情報セキュリティ対策ガイドライン」のURL
  https://www.ipa.go.jp/security/keihatsu/sme/guideline/

 このガイドラインは、「第1部 経営者編」、「第2部 管理実践編」に大きく分かれています。
 「第1部 経営者編」では情報セキュリティ対策を怠ることで被る不利益や経営者の責任、経営者のするべきことが書かれています。
 情報セキュリティ対策をきちんと実施しないことにより、情報漏洩、ウィルス感染、ウェッブサイトの改ざん等が発生する可能性が高まります。これにより、インターネットバンキングによる不正送金、クレジットカードの不正利用の他、他社からの損害賠償請求による金銭的な損失を被ることがあります。また、信用問題となり、顧客や業務を喪失してしまう可能性も高まります。さらに、従業員のモラル低下や離職が発生する場合もあります。このように情報セキュリティ対策の不足は企業活動に大きな影響を与える結果となる可能性があります。
 経営者としては、刑事罰をはじめとする法的責任、営業機会の喪失、売り上げの減少、企業のイメージダウン顧客との信頼関係の喪失、また、場合によっては、株主代表訴訟を起こされることがあります。

 そして、経営者として、以下の3つの原則と7つの取り組みがあげられています。
  原則1 情報セキュリティ対策は経営者のリーダーシップで進める
  原則2 委託先の情報セキュリティ対策まで考慮する
  原則3 関係者との情報セキュリティに関するコミュニケーションはどんなときにも怠らない

  取組1 情報セキュリティに関する、組織全体の対応方針を定める
  取組2 情報セキュリティ対策のための資源(予算、人材など)を確保する
  取組3 担当者に必要と考えらえる対策を検討させて実行を指示する
  取組4 情報セキュリティ対策に関する定期・随時の見直しを行う
  取組5 業務委託や外部サービスを利用する場合は、情報セキュリティに関する責任範囲を明確にする
  取組6 情報セキュリティに関する最新動向を収集する
  取組7 緊急時の社内外の連絡先や被害発生時の対処について準備しておく

 「第2部 管理実践編」ではまず守るべきこととして「情報セキュリティ5か条」を挙げています。
 ① OSやソフトウェアは常に最新の状態にしよう
 WindowsのWindows UPdate、MacOSのソフトウェア・アップデート、スマホのOSバージョンアップなどOSやソフトウェアには修正プログラムを適用したり、最新のバージョンを使うようにします。
 ② ウィルス対策ソフトを導入しよう
 ウィルス対策ソフトは導入するだけではなく、ウィルス定義ファイル(パターンファイル)のアップデートを確実に行い、最新の状態とし、新たなウィルスに対応できるようにします
 ③ パスワードを強化しよう
 パスワードは推測されたり、解析されたりしないように「長く」「複雑に」「使いまわさない」ように強化が必要です。特に、昨今は様々なサイトに対して盗んだID、パスワードでログインを試みる攻撃があり、ID、パスワードを複数のサイトで使いまわすと、不正にログインされる確率が高まってしまいます。
 ④ 共有設定を見直そう
 社内の機器やファイルサーバのアクセス権の適切な設定(権限のある人のみアクセスできるようにする)を実施します。また、昨今はインターネット上のクラウドサービスを利用する場合もありますので、こちらのアクセス権等の共有設定は適切に実施するようにします。
 ⑤ 脅威や攻撃の手口を知ろう
 本物とまちがってしまうようなメールでリンクやファイルを送り付け、ウィルス感染をさせる標的型攻撃、本物とまちがってしまうようなWebページを作成してID、パスワードを盗み取るなど最新の脅威や攻撃の手口について情報を仕入れ、知っておくようにします。

 次に「5分でできる情報セキュリティ自社診断」では、基本的対策5項目、従業員としての対策 13項目、組織としての対策7項目の合計25項目のチェック項目により、情報セキュリティの自社診断が簡単にできるようになっています。
 標的型攻撃への対応、メール誤送信、重要情報の暗号化、無線LANのセキュリティ強化、Webサイト閲覧やSNS書き込みなどに対するルールや仕組み、バックアップ、机の上の書類放置(クリアデスク)、情報や機器の盗難や紛失対策、事務所の施錠等物理的管理、データや電子媒体・書類・機器等の廃棄方法、個人所有のパソコンやスマホの利用ルール、事故に備えた準備等非常に重要なチェック項目がまとめられていますので、ぜひ一度診断して現状の認識と今後の対策を検討したほうがよいでしょう。

 次に十分な情報セキュリティ対策を実施するには、情報セキュリティポリシーの策定を行い、これに基づいて行動することで、情報セキュリティリスクを現実的に問題のないレベルまで封じ込めることができます。情報セキュリティポリシーの策定については、基本的な考えからやポリシー策定までの流れを述べています。

  手順1 情報資産管理台帳を作成する
  手順2 リスクの値の算定
  手順3 情報セキュリティ対策を決定
  手順4 情報セキュリティポリシーを策定

 最後に情報セキュリティマネジメントシステムに関する国際規格ISO270001の考え方に基づく継続的改善活動について書いてあります。

 以上のように、情報セキュリティ対策は中小企業でもおそろかにすると、企業活動に重大な影響を与える可能性があります。情報処理安全確保支援士などの専門家や中小企業診断士に相談することも有効な手段です。

■守谷 元伸 (もりや もとのぶ)
 早稲田大学大学院理工学研究科修士課程修了
 経済産業大臣登録 中小企業診断士、PMP、ITコーディネータ、システムアナリスト
 特定非営利活動法人 東京都中央区中小企業経営支援センター 副理事長(事務局長)
 著書は「経費節減なんと1181の具体策」(共著)他