今日、「ヒト」「モノ」「カネ」に加えて重要な経営資源として挙げられるのが「情報」です。中小企業が利益を最大化するためには、情報セキュリティ対策が欠かせません。
ここでは、情報セキュリティとは何か、中小企業が情報セキュリティに取り組まなければならない理由や企業が行うべきセキュリティ対策とそのポイントについて解説します。
クラウドバックアップについて知りたい方はこちら
目次
情報セキュリティ対策とは「情報の安全を守ること」
中小企業が情報セキュリティ対策を行う必要性
セキュリティトラブルの実例
企業が必ず行うべき5つのセキュリティ対策
企業が情報セキュリティ対策を行う際のポイント
情報セキュリティ対策にも役立つ「使えるクラウドバックアップ」
FAQ
情報セキュリティ対策とは「情報の安全を守ること」
情報セキュリティ対策とは「情報の安全を守ること」です。
企業はかつては情報を紙ベースで管理していたため、物理的に遮断することで情報の安全を確保できました。しかし、IT化が進み、情報はすべて電子的に管理されるようになりました。結果として、情報を保存した端末がインターネットにつながっている限り、常に外部から安全を脅かされるという状況に陥っています。
情報セキュリティを構成する3大要素
情報セキュリティは3つの要素から構成されています。
参考:「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」(総務省)
(https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/02.html)を加工して作成
セキュリティ対策を怠ることで企業が被るリスク
セキュリティ対策を怠ることで企業が被るリスクには以下のようなものがあります。
・経済的不利益
・業務の停滞
・従業員のモラル低下
経済的不利益
セキュリティ対策を怠り、機密性が脅かされると企業が保有する顧客データや機密情報が流出する恐れがあります。それにより顧客や取引先が不利益を被れば、企業は膨大な額の損害賠償を請求されることになります。
また、情報セキュリティがかつてなく重視されているにもかかわらず、情報流出や不正アクセスが知られれば企業の信頼は失墜するでしょう。
業務の停滞
企業のシステムに外部から不正にアクセスされ事故が発生すると、被害拡大の防止や事故原因の調査が優先されます。その結果、インターネットを遮断したり、業務システムを停止したりすることになり、毎日の業務は停滞します。業務の停滞は納期の遅れや営業機会の損失につながり、企業は甚大な経済的不利益を被ります。
従業員のモラル低下
企業が一体になってセキュリティ対策に取り組まなければ、内部の従業員のモラル低下につながります。例えば、従業員による機密情報の不正持ち出しや不正操作、改ざんが発生するリスクを高めてしまいます。
また、セキュリティ上の事故が発生した際に管理職が責任をとらなければ、従業員エンゲージメントも低下するでしょう。
中小企業が情報セキュリティ対策を行う必要性
中小企業が情報セキュリティ対策を行うべきなのは、自ら不利益を被らないようにするためだけでなく、社会経済全体のためでもあります。
例えば、近年増加しているサイバー攻撃の一つに「サプライチェーン攻撃」があります。これは中小企業が大企業に比べてセキュリティ対策が希薄であることを利用した攻撃です。大企業のサプライチェーンである中小企業を踏み台にして、サイバー攻撃者は親会社や関連会社に攻撃の矛先を向けます。
2022年2月、大手自動車会社のサプライチェーンが攻撃されてマルウェア感染被害を受け、それに伴って国内14工場全28ラインが停止した事例は、中小企業にとって情報セキュリティ対策が喫緊の課題であることを突き付けました。
情報セキュリティトラブルの発生率
情報処理推進機構(IPA)セキュリティセンターが、2021年11月に全国の中小企業従業員1,000名を対象に実施した調査によると、過去3年間(2018年10月~2021年9月)にサイバーセキュリティ上の事故やトラブルを職場で経験した人は10.5%に上りました。
同調査によると、企業として事故やトラブルを社外に報告した事例は41%にとどまるとのことで、中小企業のセキュリティトラブルの発生率は、明るみに出ないものを含めればかなり高いことが想定できます。
情報セキュリティトラブルは規模の小さい企業ほど起こりやすい
2021年4月に行われた調査に基づき、日本政策金融公庫が2022年2月に公表したデータによると、社内ネットワークの不正アクセス対策は使用しているパソコンの台数が増えれば増えるほど進んでいることが明らかになりました。
パソコンの使用が1台のみの企業の場合、社内ネットワークの不正アクセス対策を講じている企業は41.3%で、「とっていない」と回答した44.2%を下回っていました。それに対し、パソコンを10台以上使用している場合、対策を「とっている」と回答した企業は全体の77.8%に達しました。
パソコンの台数と企業規模が必ずしも一致する訳ではありませんが、規模が小さい企業であればあるほど、情報セキュリティトラブルのリスクは高まることが伺えます。
セキュリティトラブルの実例
ここでは、情報セキュリティ対策を怠ったために発生したトラブルの実例を4つ取り上げ、トラブルの内容、原因、被害について説明します。原因を把握することで、自社で同じセキュリティトラブルに巻き込まれないよう対策を講じることができるはずです。
顧客の氏名や住所・クレジットカード情報が流出した事例
【トラブルの内容】
アクセサリーを専門に扱う企業は、2022年9月に第三者による不正アクセスを受けた。
【原因】
同社が運営するオンラインショップのシステムの脆弱性が狙われ、ペイメントアプリケーションの改ざんが行われた。
【被害】
317件の顧客のクレジットカード情報が流出、オンラインショップは運営停止に追い込まれた。
標的型攻撃メールにより企業の重要情報が流失した事例
【トラブル】
端末のパソコンがウイルス感染し、企業の重要情報が流出した。
【原因】
従業員の電子メールアドレスに知人を装ったウイルス付きのメールが送られてきたが、それを不審なメールと疑わずに業務用のパソコンで開封した。
【被害】
重要な組織情報が盗まれた。
エモテットについて知りたい方はこちら
ファイル共有ソフトが原因でデスクトップが公開された事例
【トラブル】
インターネット上に業務用パソコンのデスクトップが公開され、顧客情報が流出した。
【原因】
業務用パソコンでファイル共有ソフトを使用。ダウンロードした音楽ファイルを開いた際にウイルス感染した。
【被害】
顧客情報が流出した。
サーバに外部から不正アクセスが行われ機密情報が流出した事例
【トラブル】
中学受験学習指導を行う進学塾は、Webサーバに対する不正アクセスを受けた。
【原因】
SQLインジェクションを利用した外部からの不正アクセス。
【被害】
最大約28万件のメールアドレスが流出。さらに流出したメールアドレスが悪用され、スパムメールやフィッシング詐欺メールなどが送付されるリスク。
参考:「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」(総務省)
(https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/case/index.html)を加工して作成
企業が必ず行うべき5つのセキュリティ対策
企業が必ず行うべきセキュリティ対策には以下の5つがあります。
1. パソコンやスマホなど端末機器への対策
2. ブラウザへの対策
3. サーバへの対策
4. 社員への対策
5. パスワード設定や共有制限など社内ルール上の対策
1つずつ解説します。
1. パソコンやスマホなど端末機器への対策
1つ目は端末機器のセキュリティを高めることです。
働き方改革やコロナ禍で導入されたテレワークにより、従業員が社内で使用している端末を持ち帰ったり、タブレットやスマホを出先で使用したりすることが増えました。従業員が使用するパソコンやスマホはネットワークの終端であり、「エンドポイント」と呼ばれます。エンドポイントはウイルスの入口となりやすく、ユーザのITリテラシーにも依存するため、不正アクセスやサイバー攻撃のリスクが高まります。
昨今の業務環境の変化を前提にしてセキュリティルールを策定し直し、セキュリティソフトのインストール、ソフトウェアのアップデートの徹底、パスコードやコード認証などを導入しましょう。
2. ブラウザへの対策
2つ目は安全なWebブラウザを実現することです。そのためには、企業側と従業員双方の対策が不可欠です。
企業としては、従業員が使用するWebブラウザの安全性を担保するために定期的にWebアプリケーション診断を実施し、自社のセキュリティ状況を把握しなければなりません。その上で第三者の不正アクセスを防ぐための適切なツールの導入を検討しましょう。
従業員側としては、使用しているWebブラウザのバージョンを定期的に確認・更新したり、パスワード等の自動入力の無効、ブラウザを閉じる際のキャッシュや履歴を自動でクリアするなどの設定をしたりしておきましょう。
参考:株式会社セキュアイノベーション 「セキュアなWebブラウジングを実現するには」
3. サーバへの対策
自社サーバを運用している場合、サーバのセキュリティ対策も不可欠です。サーバには業務システムやメールの送受信データ、顧客情報、生産管理情報など重要情報が保存されているからです。
サーバのセキュリティを高めるために定期的に更新されるセキュリティパッチを適用することで、新たなサイバー攻撃に対処できます。OSやソフトウェアの定期的な更新を忘れないようにしましょう。
また、サーバシステムのログ管理を行うことで、不正な操作や不審なエラーがないかを定期的にチェックします。
さらに退職者などの不要アカウントを定期的に削除することで、アカウントの不正利用による機密情報へのアクセスを未然に防げます。
4. 社員への対策
セキュリティ対策は企業の情報管理担当者だけが行うものではありません。全社一体となって取り組むためには、社員ひとり一人のセキュリティに対するリテラシーの向上が必要です。定期的に研修を行うなどして、すべての社員に当事者意識を持ってもらうようにしましょう。
5. パスワード設定や共有制限など社内ルール上の対策
パスワード設定や共有制限に関しては個人任せにするのではなく、社内ルールを策定しておきましょう。
例えば、ファイルを共有する際に機密性の高いデータに誰がアクセスできるのか、「閲覧のみ可能」、「閲覧・編集が可能」などの権限をどのような基準で付与するのかも決めておきます。また、ルールを策定しておくことで、IDやパスワードが人為的な原因で流出するのを防げます。
ただ、セキュリティを万全にしようとして厳しすぎる、非現実的なルールを作らないように気を付けましょう。現場にそぐわないルールを作っても、形骸化してしまい、結局セキュリティに穴が生じ、情報漏えいのリスクが高まるだけです。大切なのは、「なぜそうするのか」について、ルールの目的や趣旨について従業員が理解できるように周知することです。
企業が情報セキュリティ対策を行う際のポイント
企業が情報セキュリティ対策を行う際のポイントを3つ挙げます。
・セキュリティ対策は経営者主導で進める
・委託先の情報セキュリティトラブルも考慮して対策をとる
・会社に適したセキュリティツールをうまく活用する
セキュリティ対策は経営者主導で進める
情報セキュリティ上の事故が発生した場合、管理義務がある経営者は損害賠償を請求されるだけでなく、刑事罰の責任を問われる可能性もあります。例えば、個人情報やマイナンバーに関する違反の場合は個人情報保護法、マイナンバー法違反に問われますし、個人情報保護委員会による立ち入り検査を受ける責任もあります。
加えて、経営者はセキュリティ対策を怠ったゆえに業績悪化などの経営責任も問われます。責任を負うべきなのは主に経営者なのですから、セキュリティ対策は経営者主導で進めるのが筋でしょう。
委託先の情報セキュリティトラブルも考慮して対策をとる
生産性向上や業務拡大を目的として、業務の一部を委託するビジネスモデルも増えていますが、その場合、委託元は委託先の情報セキュリティトラブルの管理も行う必要があります。
そのためには委託先と委託元との統一したセキュリティポリシーやルールを策定しておくことが必要です。また、委託する前には委託先が本当に信頼できるか十分な調査が必要ですし、委託することを決定した場合には委託契約、秘密保持契約書を締結し、自社が求めるセキュリティ上の要求事項を明確にしておきましょう。
参考:株式会社日本パープル 「委託先管理の基本。情報セキュリティ事故を防ぐために」
会社に適したセキュリティツールをうまく活用する
セキュリティツールは会社に適したものを選びましょう。
例えば、会社の業態や規模、従業員数、パソコンの台数などによって、適切なセキュリティソフトは異なります。また、一般的にセキュリティソフトは機能が多ければ多いほど、サポートが厚ければ厚いほどコストがかかります。初期コストだけでなく、ランニングコストも考慮して費用対効果を検証する必要があるでしょう。
情報セキュリティ対策にも役立つ「使えるクラウドバックアップ」
使えるねっとの「使えるクラウドバックアップ」は情報セキュリティ対策にも効果的です。その特徴をご紹介します。
脆弱性診断やマルウェア対策など万全のセキュリティ対策
使えるクラウドバックアップの「アクティブプロテクション」は、ファイル、バックアップデータ、バックアップソフトへの疑わしい改変を即座に検出・遮断します。既知のランサムウェアはもちろん、未知のランサムウェアの攻撃も識別してくれます。
ランサムウェアに感染!アクティブプロテクションを使用した場合/使用しなかった場合の、検証ビデオはこちら
サイバー攻撃対策やパッチ管理まで、クラウドバックアップの多彩な機能を知りたい方はこちら
障害発生時もボタンひとつでデータを復元
使えるクラウドバックアップは、データが不正アクセスやウイルスの被害を受けた場合、ボタンひとつでデータを復元してくれます。追加コストは復旧データサーバの稼働した時間だけです。
※データ復元は、使えるクラウドバックアップのオプション機能(ディザスタリカバリオプション)で利用可能な機能です。
ディザスタリカバリについて知りたい方はこちら
管理者アカウントから社内の別デバイスを一元管理
使えるクラウドバックアップでは、社員が使用するデバイスのアプリケーションやシステム、データの状態を把握し、管理者はWeb管理画面上で設定変更を行えます。
中小企業にとって、情報セキュリティ対策は急務です。
用途や容量に合わせて多彩なプランから選べる使えるクラウドバックアップは月単価1,870円(税込)から、30日間の無料トライアルも実施していますので、お気軽にお問合せください。
使えるクラウドバックアップのサービス詳細ページはこちら>>
FAQ
(1)情報セキュリティ対策を強化するメリット・デメリットは?
情報セキュリティ対策を強化する最大のメリットは、情報を安全に守れることです。また、情報セキュリティを強化するプロセスで、社内の業務フローや組織を見直すことになり、無駄を減らし、コスト削減にもつながります。
デメリットは、ルールが増えることで、業務の遂行が滞る可能性がある点です。
(2)セキュリティ管理者の役割は?
セキュリティ管理者の役割は、経営方針に基づき、情報セキュリティに関する組織全体のルールや施策を現場の実態に合わせて推進することです。
(3)一般的な情報セキュリティの組織体制は?
上述したように情報セキュリティの責任者は情報管理部門ではなく、経営者です。大規模な組織の場合は、経営者が策定した方針に従って、情報管理部門が施策をきちんと推進しているかチェックするための内部監査責任者や外部の専門家を置きます。
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)