これだけはやっておきたい!中小企業・小規模事業者の情報セキュリティ対策

中小企業や小規模事業者においても、情報システムの活用が業務上欠かせない時代になりました。

情報システムの活用するときは、適切な情報セキュリティ対策を実施することも求められます。

しかし、大企業と比べて経営資源が限られ、他に優先課題を抱えているため、後回しになっている事業者が多いのではないでしょうか。

テクノロジーの進化に伴って、情報セキュリティの脅威や攻撃の手口も、日々巧妙化しています。

いつまでも対策を怠っていると、セキュリティ事故が発生したとき、企業の存続さえ危うくなることもあります。

この記事では、IPA(独立行政法人情報処理推進機構)が発行する「中小企業の情報セキュリティガイドライン」をもとに、情報セキュリティ事故発生時の被害と、情報セキュリティ5か条についてご紹介します。

情報セキュリティ対策を始めたい方は、参考にしてください。

情報セキュリティ事故発生時の被害

情報セキュリティ対策を怠ると、企業が被る不利益として、次のことが挙げられます。

金銭の損失

機密情報や個人情報を漏洩させてしまった取引先や顧客からの損害賠償請求や、インターネットによる不正送金、クレジットカード不正利用による直接的損失を被ります。

顧客の喪失

セキュリティ事故を起こしたことで、社会的信用が低下し顧客が離散します。

業務の停滞

原因調査や被害の拡大防止のため、業務システムの停止やインターネット接続の遮断によって業務が停滞し、納期遅れや機会損失が発生します。

社員への影響

不正が容易に行えるような職場環境がモラルの低下を招き、対応がまずいと社員が働く意欲を失い、人材が流出するおそれがあります。

情報セキュリティ5か条

IPAでは、中小企業・小規模事業者の情報セキュリティ対策として、次の5か条を守ることから始めるように推奨しています。

(1)OSやソフトウェアは常に最新の状態にする

OSやソフトウェアは、プログラムの集合体です。

古いプログラムのまま放置すると、セキュリティの脆弱なプログラムが攻撃の対象となり、悪用される危険があります。

OSやソフトウェアの修正プログラムを適用したり、最新バージョンのソフトウェアを使用したりすることが、セキュリティ対策につながります。

注意点として、最新の状態にすることで、他のソフトウェアやアプリケーションが正常に動作しなくなる可能性があります。

最新の状態にする前に、利用しているITベンダーやサービス提供者に問い合わせ、修正プログラム適用の可否や、対応するバージョンを確認しましょう。

(2)ウイルス対策ソフトを導入する

コンピューターウイルスに感染すると、パソコンやファイルが使えなくなったり、遠隔操作をされたり、個人情報や機密情報を窃取されたり、さまざまな被害を受けます。

ウイルス対策を怠った結果、取引先など外部の関係者にも感染させてしまうと、会社の信用が著しく失墜します。

このような被害を防止するために、ウイルス対策ソフトを導入します。

無料のウイルス対策ソフトは、Windows10に標準搭載しているMicrosoft Defenderのほか、インターネット上にも多く存在します。

無料版でも充分なウイルス対策機能を持っていますが、不具合が発生しても自己解決する必要があります。

信頼と実績があり、きちんとしたサポートが受けられる有料ソフトを利用することをおすすめします。

(3)パスワードを強化する

パスワードは長く、複雑に、使い回さないようにして、不正にログインされないように強化します。

具体的には、次のとおりです。

  • 英数字記号を含めて10文字以上にする
  • 名前、電話番号、誕生日、簡単な英語などを使わない
  • 同じID・パスワードを他のWEBサービスで使い回さない

なお、パスワードの定期的な変更は、これまで情報セキュリティ対策の基本とされてきました。

しかし、2017年に米国国立標準技術研究所(NIST)は、「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」と提唱しました。

定期的な変更を強いることで、パスワードがパターン化し簡単なものになることや、使い回しをするようになることの方が問題だから、という理由です。

これを受けて、日本政府もパスワードの定期的な変更は不要との見解を示しています。

定期的に変更するよりも、使い回しのない固有のパスワードを設定するように求めています。

(4)共有設定を見直す

機器、ソフト、データファイル、WEBサービスなどを他の人と共有するメリットは非常に大きく、業務の効率が向上します。

しかし、共有すべき人を適切に設定しておかないと、無関係な人による不正利用や情報漏洩につながります。

共有設定を見直すためには、共有する機器、ソフト、データファイル、WEBサービスなど全ての共有資源を把握する必要があります。

そして、各社員の職務において必要最低限の共有資源に限定して、利用権限を与えるように設定します。

社員が異動や退職したときは、設定の変更や削除を忘れずに実施しましょう。

(5)脅威や攻撃の手口を知る

脅威や攻撃の手口を知って、いち早く対策を講じましょう。

脅威や攻撃の手口は、IPAの情報セキュリティ関連サイトなどから、情報を収集することができます。

IPAは毎年、「情報セキュリティ10大脅威」を公開しています。

年ごとに、社会的影響が大きかった脅威や攻撃の手口について解説しています。

出典:IPAホームページ

無料でダウンロードできますので、まずはこちらを活用することをおすすめします。

ほかにも、IPAでは、メールニュース、SNSでの情報提供、自社のサイトにセキュリティ情報をリアルタイムに配信するサービス「icat for JSON」なども提供しています。

また、自社で利用中のサービスを提供する事業者の多くが、脅威や攻撃に関する注意喚起をしてくれます。

このように、脅威や攻撃の手口を知る方法は多くありますが、情報を収集するだけでは意味がありません。

収集した情報をもとに、自社への影響を確認して、しかるべき対策を講じることが必要です。

そのためには、社内に情報セキュリティの脅威に組織的な対応ができる体制を構築し、常日頃から運用しておくことが求められます。

利用者に対する取組みも大切

情報セキュリティは、技術的な対策を講じるだけでは不十分です。

併せて、社員など利用者のミスによるセキュリティ事故を回避するための取組みも必要です。

基本的な取組みの具体例としては、次のようなものがあります。

  • 怪しいメールの添付ファイルを開ない、メール本文のURLリンクはクリックしない、不明なWEBサイトにはアクセスしない、などのユーザー教育を実施する
  • USBメモリなどの外部記憶装置はウイルスの感染源となるので、使用を禁止または制限するといった運用を取り決める

とりあえず、できるところから始めてみてください。

情報化社会では、情報セキュリティ対策が必要不可欠です。

企業や社会に重大な被害が及ぶことを避けるために、適切な自己防衛を継続的に実施しましょう。