今すぐできる中小企業のセキュリティ対策！IT担当が教える正しい対策と罠【お役立ち情報】 | OFFICE110

「情報セキュリティ対策」記事一覧

今すぐできる中小企業のセキュリティ対策！IT担当が教える正しい対策と罠

情報セキュリティに対して、このような疑問を持たれている方や、自社内でどう展開していけばよいか悩まれていらっしゃらないでしょうか？

今回は、セキュリティ対策の基本から、主要機関が公開しているセキュリティガイドラインの解説を踏まえ、とくに投入できる資源に限りのある中小企業の皆様に向けた重要なノウハウをまとめております。
実際に現場で教育を行った経験からリアルな意見をお伝えするので、最後まで必見です。

情報セキュリティリスクとは何か？対策の必要性を再確認しよう

セキュリティリスクについて重要性を認識している方もいると思いますが、改めて、どのような脅威があり、なぜ対策が必要なのかを今一度整理しましょう。

セキュリティリスクは、経営者だけ、システム担当者だけが認識すればよいのではなく、情報機器を取り扱うすべての人で共有しておくべき事項です。
それぞれ役割は異なっても、常にセキュリティリスクについて念頭にあることが理想です。

情報は会社の大切な資産、セキュリティリスクは経営に直結！

経営資源とは、以前は「ヒト・モノ・カネ」の3つでした。
今はこれに「情報」「時間」「知的財産」で、「6つの経営資源」と呼ばれるまでになっています。

経営資源を適切に分配することが、組織の成長に欠かせないものです。
ただし、「情報」には他の資源と異なる特徴があります。

それは「狙われる」ことです。

たとえば、会社の事務所の金庫が盗まれたり、会社のお金を不正に使われたりといったことは昔から発生し対策が行われています。
しかし、「情報」の狙われ方は、もっと気軽で、より被害者の受けるダメージが大きいです。
「情報」を狙うのは社内や日本国内だけではなく、世界中から狙われます。

狙い方も、その会社に特別な恨みがあるなどではなく、愉快犯的に、あるいは不特定多数を標的にする場合があります。
コンピューターウイルスの感染によって業務データが破損したり、ウイルスメールを関係先にばらまいたり、最悪、業務継続ができない状態に陥ってしまったりしたら、経営や社会的信用に大きなダメージを負います。

会社の情報や、情報機器に対するリスクは、経営に直接被害を与えるということを念頭に、経営者はセキュリティリスク対策を先導しなければいけません。

セキュリティ対策に終わりはなし。常にアップデートが必要

物理的なセキュリティ対策であれば、監視カメラ設置や入室時の認証装置を付けるなどの対策をするでしょう。
この場合設置から数年間は、カメラや装置が正常に動くようにメンテナンスすればよいだけです。

しかし情報セキュリティ対策は違い、日々新しい脅威が発生します。
全く未知の脅威が出ることもありますが、多くの場合は既存の手口を微妙に変えて、これまでの対策のスキマを狙ってくるような亜種が多いです。

軽微な例をあげると、皆さまのEメールには、一定数のスパムメール（広告目的の不特定多数宛メール）が届くのではないでしょうか？
今日届いたスパムメールは、受信拒否にメールアドレスを登録すれば、そのメールはもう届かなくなります。
しかし、明日には違うメールアドレスから似たようなメールが届くでしょう。

スパムメール程度であれば、開かなかったりと注意すればよいだけですが、これがコンピューターウイルスや不正アクセスなら、そうはいきません。
またいま目先の脅威を阻止したとしても、別の方法で脅威が発生し、またそれを阻止しなければなりません。

セキュリティ対策は、一度行えば終わりではないのです。
立派なシステムを導入したとしても、数年後には陳腐化し、見直しが必要となってきます。

新たなリスクが発生するだけでなく、自社の規模や環境も変化すれば、その都度セキュリティ対策も改善していかなければなりません。
いたちごっこであり、終わりはないのです。

IPAの「中小企業の情報セキュリティ対策ガイドライン」で自社の取り組み状況をスピードチェック！

セキュリティ対策は組織によって様々な形を取りますが、先進的にITに取り組んできた大企業や研究機関によってある程度体系化できており、その情報はチェックリストとして公開されています。

そのひとつとして、情報処理推進機構(IPA)が公開している「中小企業の情報セキュリティ対策ガイドライン」は非常によくまとまった内容となっており、実用性も極めて高いです。

ここでは2021年3月公開の第3版を凝縮して、特に重要度の高い部分をピックアップ。
自社ではどこまで対策できているか、チェックしてみましょう。

最低限これだけは今すぐ確認！セキュリティチェックリスト

ここでは、最低限出来ていて欲しいポイントをご紹介します。

できていない項目や、どう対処しているかを即答できない項目はありませんか？
全てのチェックについて自信をもって「確実にやっています！」と言えることが、最低限のセキュリティ対策です。

コストをかけずに「心がけ」だけで簡単にできる対策もあるので、まずは最低限以下の項目を徹底しましょう。

これらは、非常に基本的な所作でアナログ的ですが、どれほどハイテクなセキュリティ保護システムを導入しようと、上記のことが守れていないなら対策は万全ではありません。

大事なことは、経営者だけ、システム担当者だけが意識するのではなく、情報や情報機器を取り扱う人々全員、つまり全社員が意識することです。

時間がかかる「教育」「整備」は、目標を立てて着実に構築！

情報セキュリティ対策というと、大仰な対策システムの導入を想像する方もいらっしゃるかもしれません。

もちろん、そのようなシステムがあるとセキュリティを堅固にすることは可能です。
しかし、情報機器を操作するのが人間である以上、適切な判断ができることがセキュリティ対策として重要です。
そしてその効果的な手段の一つが、「教育」です。

しかし、教育は1回行えば効果が永久に持続するわけでなければ、目に見えて絶大な効果を即時に発揮するものではありません。
大事なことは何度も繰り返して伝えることで、組織に考え方が浸透します。
そのためにも定期的・計画的に教育・研修・社内周知を行うことが、情報セキュリティ向上の打一歩です。

利用者の心構えに加えて、「整備」をすることで、セキュリティをより確実なものにします。
以下の項目について、「整備」が出来ているでしょうか？

これらは今日明日から始められるものではないので、現在未着手であれば、まずはゴールを決めて、遅くとも1年後には「対策をしている」といえる状態になっているようにしましょう。

中小企業の各社が手探り、情報セキュリティ対策は何をすべき？

大企業であれば、情報セキュリティに対する専属チームが組織され、先進的な保護システムを導入する体力があるかもしれませんが、多くの企業ではそうではありません。
他の一般業務を兼任しながら検討している方もいれば、経営者自らが実際に手を動かされている場合もあるでしょう。

そうなると、時間的にもできることに限りがあります。

しかし、じつは「際限がある」という考え方は、組織や規模が大きくなっても変わりません。
すべてのリスクを防ぐつもりでいると、あっという間にリソースはなくなってしまいます。

そこでまずは、基本的な考え方を整理しましょう。

自社のリスクを分析・把握して、順番付けて対処する

情報セキュリティは「他で入れているから自社でも入れる」という性質のものではありませんし、「最新のセキュリティ製品が出たから率先して導入する」ということもありません。
情報セキュリティ対策で最初に行うことは、自社にどのようなリスクがあるかをまず認識することです。

リスクを認識して順位付けを行い、順位の高い順番から対策を行うことが、セキュリティ対策の鉄則です。
いま、自社が行っているセキュリティ対策やリスクの把握が、他社と全く同一になる可能性は極めて低いです。

「他社で取り入れている」からといって、自社の導入を悩むようなことがあれば、それは順序や考え方に誤りがあります。
リスクの分析が十分にできていれば、他社の動向を比較する必要はないのです。

自由度と安全性のバランスを考える

セキュリティ対策を考えるうえで留意したいのは、システムが頑丈になることで自由度が失われるという点です。

もちろん自由度が低いほうが安全にシステムや情報を保護することが可能ですが、バランスを誤ると業務効率を下げてしまいます。
リスクに対抗する仕組みを導入するにあたっては、業務やルールも見直し、改善しなければいけません。

新たな仕組みを入れるにあたっては、実際に業務を行う人たちのヒアリングを行って、業務がどう変わるのか、それを改善することが可能なのかをしっかりと検討します。

新しい仕組みを入れたことで適切に業務が回らなくなった時に、その仕組みを回避するような独自ルールが生み出された場合、リスクを高めるようなことになりかねないため注意が必要です。
以下に、考えられるケースを記載します。

【ケース1】アクセス権を厳密にした結果、組織間のデータ授受がしにくくなった

悪い例：メール添付やクラウドなど、外部システムに迂回して授受を行う
改善例：組織構造や業務を改善し、組織間でも安全に連携できる方法を用意する

【ケース2】メール送信を上長承認型にしたら、レスポンスが遅いとクレームが来た

悪い例：数が多すぎて承認役が確認せず承認する、メール以外の手段で連絡を取り合うようになる
改善例：添付ファイルがある場合や特定キーワードを含む送信メールのみ承認型にする

リスクへの対策を行うつもりが、逆にリスクを生み出すことのないよう、対策の成果や経過、適切性も定期的に点検することをおすすめします。

ちょっと待った！注意したいセキュリティ対策

セキュリティ対策の重要性はご理解いただけたでしょうか。

そこで続いては、ついついやってしまいがちな、適切ではないセキュリティ対策の進め方をご紹介します。
もしあなたの会社でこのような動きがあった場合、十分注意いただいて同じようなミスに陥らないようにしましょう。

EDR？ゼロトラスト？流行りのキーワードに流されない

セキュリティに関する情報は日々アップデートされ、そこには見知らぬ言葉もたくさん登場します。
重要なキーワードが示されている場合もあるのですが、それらを鵜呑みにすることには注意が必要です。

たとえば、近年では「EDR(Endpoint Detection and Recovery)」や「ゼロトラスト」といった言葉がはやっており、これらに対する商材が活発にリリースされています。
セキュリティ対策を調べると、こういった専門用語がたくさん飛び交います。

本稿ではあえて、これらのキーワードの委細は説明しません。
その代わり、もっと大事で、将来にわたって通用する概念だけを、ここでは覚えてください。

「何を使うか」ではなく「何を守りたいか」で考える

知識としてキーワードを知ること自体はとても重要ですが、経営者が「EDRが流行っているようだけど、ウチはどうなんだ？」とシステム担当者に聞くのは、とてもイジワルといえるでしょう。
なぜイジワルかというと、順序が違うからです。

サイバー攻撃やリスクは無限にあり、それに対するソリューションもたくさん出現します。
世界的大企業が使うような超高級なものから、無償で使えるものまで、ピンからキリまで存在します。
これらが出現するたびに判断していては、時間がいたずらに消費されます。

大事なのは、何を使うかではなく、何を守りたいかです。
前項でも述べた通り、まずは会社のリスクを見直して、優先順位をつけ、それをどう守るか、それからセキュリティの議論は始まります。

その流れの中で、結果としてEDRを採用したり、ゼロトラストに基づいた構築を行ったりすることは当然あります。
しかし、流行りのキーワードありきでセキュリティ対策が決まるのは、陥りがちな誤りの一つですので十分注意しましょう。

まとめ｜セキュリティ対策は一日にして成らず、完璧や終わりはない

いかがでしたでしょうか。
セキュリティ対策をよそではどのように進めているのか、とても気になる方も多いと思いますし、もしかして自社のセキュリティ対策は全然足りてないのでは、と不安になる方もいるかもしれません。

結論を言ってしまえば、どれほど先進的な大企業であっても、セキュリティ対策に終わりはなく、完璧もありません。
誰もが対策の道半ばですし、新しい脅威も日々誕生しているからこそ、

以上の3点が、正しいセキュリティ対策の在り方となります。
また、同時に、特定の社員だけでなく、全社員が共有のセキュリティ意識を持てるよう、コミュニケーションを取り、教育を進めることを徹底しましょう。
セキュリティ対策は一日にして成らず、です。

セキュリティ商材も豊富に用意、OFFICE110が貴社の事業の安全を守ります！

セキュリティはもちろん、組織のに関わるあらゆる活動はどう実現するかの目標を明確にすることから始まります。
しかし何かを実現するためには、現在所有するリソースでは達成できないことも多々あります。

そこで「OFFICE110」では、セキュリティに関する商材を始め、幅広いニーズにお応えする商品とアフターサービスを備えております。
また、知識豊富な専門家による無料のセキュリティ調査で貴社のセキュリティの脆弱性を見つけ出し、必要な商品のご提案からアフターサービスまでトータルサポートさせていただきます。

まずはセキュリティ診断やささいなご相談だけでも、ぜひお気軽にOFFICE110へお問合せください！