中小企業に求められるセキュリティ対策

皆さまの組織ではセキュリティ対策を実施していますか？セキュリティ対策を実施していないと、個人情報や機密情報の漏えい、ホームページの改ざん、システムの破壊、サービス停止など、さまざまな被害に遭う可能性があります。

本稿では、独立行政法人IPA（情報処理推進機構）が公開している『中小企業の情報セキュリティ対策ガイドライン』を参考にしながら「企業に求められるセキュリティ対策」について解説します。

セキュリティ事件によって企業が被る不利益

現在、メディアではさまざまなセキュリティ事件・事故が取り沙汰されており、セキュリティに関するニュースを目にしない日はないほど世界中で多発しています。

セキュリティ事件は、組織外部からのサイバー攻撃によって起こるものだけではありません。

メールの誤送信やパソコンの紛失、サーバーの設定不備などの従業員の過失のほか、従業員による不正な情報の持ち出しといった内部犯行によって起こる事件もあります。サイバー攻撃によるセキュリティ事件だけでなく、内部要因によって起こるセキュリティ事件も多発しているのが実情です。

では、セキュリティ事件が発生すると企業はどのような不利益を被ることになるのでしょうか？

金銭の損失

取引先の機密情報や個人情報を漏えいさせてしまった場合、取引先や顧客から損害賠償請求を受ける可能性があり、経済的に大きな損失を被ることになります。

フィッシング詐欺により、インターネットバンキングの不正送金やクレジットカードの不正利用などの被害を受けることもあります。

顧客の喪失

取引先やプロジェクトに関する重要情報を漏えいさせてしまった場合、その原因がどこにあろうと事件を起こした企業の責任が問われます。

社会的信用は低下し、同じ製品やサービスを提供している競合企業に顧客が流れていってしまう可能性もあります。そうして顧客を失い、事業が低迷した事例はいくつもあります。

事業の停止

日常的に使っている業務システムがサイバー攻撃などによって被害を受けると、被害拡大防止や原因調査などのために運用中の業務システムを停止したり、インターネット接続を遮断したりしなければいけないことがあります。

その結果、業務が停滞して納期遅れや営業機会の損失など、事業への影響が大きくなってしまうことがあります。

従業員への影響

セキュリティ事件を起こしてしまった企業は、社会的なイメージの低下を痛感することになります。事件・事故の責任に経営層が真摯に向き合わず、担当者に責任を押し付けたり、罰したりするような環境では、従業員が働く意欲を失い組織全体のモラルが低下する恐れがあります。

このような環境になってしまうと、組織から従業員の心が離れていってしまい、結果として優秀な人材を失ってしまうこともあります。

【解説】Webセキュリティ ～Webサイトを取り巻く脅威と対策～

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

中小企業セキュリティ対策の「3原則」

中小企業が効果的なセキュリティ対策へ取り組むのにあたり、大切な「3原則」があります。

それらの原則を理解した上で、後述する取り組みを実施することが中小企業のセキュリティ対策を強化するポイントになります。 

1. 情報セキュリティ対策は経営者のリーダーシップで進める

IT活用が当たり前になった現代において、経営者はセキュリティ対策の重要性を十分に認識し、自らがリーダーシップを発揮して対策を推進することが重要です。

自社にとって必要なセキュリティ対策は何か？を考え、経営者が判断して意思決定し、組織に合ったセキュリティ対策の実施を主導します。

2. 委託先の情報セキュリティ対策まで考慮する

業務の一部を他の企業や個人に委託するにあたり、重要情報を委託先に提供することがあります。その際には、委託先がどのようなセキュリティ対策を講じているかを考慮する必要があります。

委託先に提供した情報が漏えいしたり、改ざんされたりした時には、それが委託先の不備であったとしても委託元の責任が問われることになります。

3. 関係者と常に情報セキュリティに関するコミュニケーションを取る

顧客、取引先、委託先、代理店、利用者、株主など業務上の関係者からの信頼を高めるためには、普段からセキュリティ対策に関する規定や事故が起きた際の対応について明確に説明できるように、経営者自身が理解し、情報を整理しておくことが欠かせません。

そうした情報をコミュニケーションを通じて日頃から伝えておくことで、関係者の不安を解消し、信頼関係を築くことができます。

中小企業の取り組むべき「7つの重要項目」

経営者自身が上記の「3原則」を理解し、セキュリティ対策を講じるための姿勢が整ったら、次に大切なのが以下の「7つの重要項目」への取り組みです。

1. 情報セキュリティ対策に関する組織全体の対応方針を定める

企業としてセキュリティ対策を組織的に実施する意思を関係者や従業員に周知するために、「どのような情報をどのように守るのか？」などについて、セキュリティ対策に関する基本方針を定め、宣言します。

2. 情報セキュリティ対策のための予算や人材を確保する

必要なセキュリティ対策を実施するための予算や人材を確保します。セキュリティ事件の発生防止だけでなく。万が一事件が起きてしまった場合の被害拡大防止や復旧対応も含めて考えましょう。

3. 必要と考えられる対策を検討させて実行を指示する

懸念されるリスクに関連する業務や情報を整理し、損害を受ける可能性を把握した上で、責任者・担当者に対策案の検討を指示します。必要と思われる対策には予算を与え、実行していきます。

4. 情報セキュリティ対策に関する適宜の見直しを指示する

実行したセキュリティ対策について、実施状況を定期的にチェックし、最初に決定した基本方針に沿って進められているかを評価します。さらに、業務や顧客の期待の変化なども踏まえて、基本方針自体も適宜見直しを行い、セキュリティ対策の強度を上げていきます。

5. 緊急時の対応や復旧のための体制を整備する

有事に備えて、緊急時の対応体制を整備しておきます。被害原因を速やかに特定し、被害拡大を防ぐ体制を作ると同時に、的確な復旧手順を予め定めておくことにより緊急時に適切な指示を出すことができます。

6. 委託や外部サービス利用の際には、セキュリティに関する責任を明確にする

業務の一部を外部に委託する場合、委託先でも自社と同等のセキュリティ対策を要求しなければいけません。

また、外部サービスを利用する場合は提供事業者のセキュリティ対策について十分に評価した上で、責任を明確にしておくことが大切です。

7. 情報セキュリティに関する最新動向を収集する

昨今、非常に速いスピードで新しい情報技術が登場しています。実施すべきセキュリティ対策も目まぐるしく変化しており、これを経営者自身が把握するのは困難なことです。

情報セキュリティに関する最新情報を発信している公的機関などを把握し、定期的に情報をチェックすることで、必要なセキュリティ対策を速やかに実施できるように準備を整えておきましょう。

（参考）注意喚起・脆弱性関連情報：JPCERT コーディネーションセンター

セキュリティ対策に取り組もう！

「セキュリティ対策」と聞くと、システム導入など高コストな対策をイメージしがちですが、それだけではありません。セキュリティシステムは大変有効な手段ですが、運用していくのは人であり、組織全体のセキュリティ意識の向上が大切になります。

セキュリティ対策を身近な事と捉え、できることからセキュリティ対策に取り組んでいきましょう。

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。