ビジネスにおいて、インターネットが必要不可欠な存在となった今、中小企業における情報セキュリティ対策の重要性が増しています。しかしながら、限られた予算の中では、十分な対策ができていないという企業も多いことでしょう。
企業の情報セキュリティを高めるためには、一体何から取り組んでいけばよいのでしょうか。本稿では、IPA(情報処理推進機構)の資料をもとに、重要度が高いとされるセキュリティ対策についてご紹介します。
中小企業が狙われる? 情報セキュリティが重要な理由
サイバー攻撃をはじめとした情報セキュリティの穴を突くトラブルは、官公庁や大企業だけが抱える問題ではありません。中小企業のサイバー攻撃による被害は年々増加傾向にあり、中小企業を狙ったさまざまな手口が存在します。
中小企業では、セキュリティ対策に十分な予算やリソースが割けず、セキュリティに対する意識も低い傾向にあるため、セキュリティ対策の脆さが懸念されています。未だに「サイバー攻撃は大企業だけが抱える問題」という誤った認識の人も多く、対策を軽視されてしまうことがあるのです。
企業が受ける被害とは
情報セキュリティ事故による被害は多方面にわたります。
例えば、自社が抱える機密情報が漏えいしてしまった場合、不正送金により直接的に受ける被害、顧客・取引先への損害賠償といった「金銭損失」が発生します。さらには、第三者からの攻撃によりシステムが停止すれば、業務の停滞や営業機会の損失など「業務損失」が生じます。
そのほかにも、社会的信用低下による取引停止や顧客離れなど「顧客損失」、企業イメージ低下による離職者増加など「従業員損失」といったさまざまな不利益を被ることになります。
セキュリティ対策を怠っていると、中小企業といえども大きな損失を受けることとなり、場合によっては企業の存続に関わる状況に陥ることもあります。
【解説】Webセキュリティ ~Webサイトを取り巻く脅威と対策~
安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。
経営者に問われる法的責任とは
第三者攻撃によって情報漏えいが生じた場合、セキュリティ対策を怠った企業やその経営者に対して法的責任が追及されます。
情報管理が不適切な場合の処罰は、以下の各法令をもとに定められています。
- 個人情報保護法
- マイナンバー法
- 不正競争防止法
- 金融商品取引法
- 民法
さらに、個人情報保護委員会による立ち入り検査を受ける責任があるほか、個人情報やマイナンバーに関する違反については刑事罰が科せられる場合もあります。また、民法上の不法行為と見なされた場合には、経営者個人が損害賠償責任を負うことになります。
加えて、情報提供者や顧客など関係者への責任も問われます。情報漏えいの影響により企業のイメージダウンや売上減少といった自社損害が大きい場合は、会社に対する損害賠償責任を問われることもあり、株主代表訴訟を提起されるケースもあります。
顧客、取引先、従業員、株主に対して情報を預かる責任を果たすためにも、情報セキュリティ対策を行うことは経営者の務めでもあります。
IPA「中小企業の情報セキュリティ対策ガイドライン」の活用
情報セキュリティ対策を行う上で知っておきたいのが、IPA(情報処理推進機構)が取りまとめている情報セキュリティ対策ガイドラインです。実践的な内容のため、これから情報セキュリティ対策を行いたい方にとって役立つ情報が多く含まれています。
それでは、「中小企業の情報セキュリティ対策ガイドライン」の中から、知っておきたい「情報セキュリティ5か条」をご紹介します。
情報セキュリティ5か条とは
IPAでは、企業の規模に関わらず、必ず実行すべき「情報セキュリティ5か条」を提唱しています。内容は以下のとおりです。
- OSやソフトフェアは常に最新の状態にする
- ウイルス対策ソフトの導入
- パスワードの強化
- 共有設定の見直し
- 脅威や攻撃の手口を知る
「情報セキュリティ5か条」は、どの企業にも共通する基本的な対策をまとめたものです。逆にいえば、この5項目のセキュリティ対策を怠ると、企業規模の大小に関係なく、サイバー攻撃に対して脆くなるということです。セキュリティ対策の基本となるため、まずはこの5項目を徹底することを心掛けましょう。
IPAが推奨するネットワークセキュリティ対策
ネットワークには常にさまざまな脅威が潜んでいます。そのため、あらゆる角度から不正アクセスを試みようとする手口に対して、技術的なアプローチが必要不可欠です。
IPAでは、コンピュータやインターネットを利用する際に講じる技術的対策を紹介しています。ネットワーク脅威に対して、推奨されている主なセキュリティ対策は以下のとおりです。
- 通信させるかどうかを判断する「ファイアウォール」
- 不正アクセスを検知する「IDS(不正侵入検知システム)」
- 不正アクセスを遮断する「IPS(不正侵入防御システム)」
- セキュアな仮想専用環境を提供する「VPN」
- Webアプリケーションを保護する「WAF」
これらは主にネットワークの境界やサーバーの前段に配置し、不正な通信の制御・管理や安全な通信経路の確保を行います。
IPAが推奨するコンテンツセキュリティ対策
ネットワーク使用時に第三者攻撃を受ける可能性があるのと同様に、企業内部で利用するコンテンツについてもリスクが存在します。安心して利用できるように、IPAではコンテンツに対するセキュリティ対策も推奨しています。
IPAが推奨する主な対策は、ウイルス対策・メールフィルタリング・URLフィルタリングの3つです。
ウイルス対策とは、不正なWebページやメールなどから感染する可能性があるウイルスを検知・駆除することを指します。業務で使用するパソコンなどの端末にウイルス対策ソフトをインストールし、ウイルス定義ファイルを最新の状態に保つことで、既知のウイルスをブロックすることができます。
メールフィルタリングは、メールの送受信を監視して、指定した条件に合わせた処理が実行されます。メールサーバーにあるフィルタリング機能を活用することで、迷惑メールやウイルスが添付されたメールを選別することができます。
URLフィルタリングとは、定められた条件にしたがってWebサイトに対するアクセス・閲覧制限をかけることです。機能を持つ機器やソフトウェアを導入することで、業務に関係のないWebサイトへのアクセスを禁止し、不正アクセスやウイルス感染を防止する効果を発揮します。
このように、業務を遂行する上で必要不可欠なコンテンツに対しても、きちんと情報セキュリティ対策を行うことが求められます。
IPA「情報漏えい対策のしおり」の活用
情報漏えいが命取りとなり、存続が困難となった企業も少なくありません。身近に潜んでいる情報漏えいリスクを抑えるために、IPAでは「情報漏えい対策のしおり」を公開しています。
情報漏えい対策のポイントとして、しおり内には以下の7つが挙げられています。
- 持ち出し禁止
- 安易な放置禁止
- 安易な廃棄禁止
- 不要な持ち込み禁止
- 鍵を掛け、貸し借り禁止
- 公言禁止
- まず報告
7つのポイントは、企業内でコストをかけずにできる情報漏えい対策です。「情報漏えい対策のしおり」を活用し、従業員一同、情報漏えいを未然に防ぐ努力をすることが大切です。また、情報漏えいの危険性を感じたら、自分で判断せず、すぐに報告するなど早期発見に努めましょう。
すぐに始められる中小企業の情報セキュリティ対策
企業がセキュリティ対策としてすべきことは多岐にわたりますが、対策が不十分な中小企業では、いかにスピーディーに効率よく必要な対策を実施できるかがポイントとなります。
ここでは、すぐに始められる情報セキュリティ対策をご紹介します。
パソコンに対するセキュリティ対策
まずは、業務の全般を担う会社のパソコンに対するセキュリティ対策を行いましょう。その中でも、ウイルス対策は必要不可欠です。ウイルス対策製品を導入するほか、Webやメールフィルタリング製品を導入することで、ウイルスの感染ルートを遮断しましょう。
スマートフォンに対するセキュリティ対策
働き方改革により、業務にスマートフォンを活用している会社も多いことでしょう。しかし、パソコンと同じくらいの情報量を持ち運べるため、スマートフォンのセキュリティは企業にとって大きなリスクとなります。パソコン同様のウイルス対策を行い、メールやアプリを介した感染を防ぐことが重要です。
情報セキュリティに対する効率的な投資を
企業規模を問わず、多様な企業がサイバー攻撃の対象となっており、中小企業においても万全な情報セキュリティ対策が求められている今、限られた予算で効率的な対策を行うことが求められています。
EGセキュアソリューションズでは、ソフトウェア型WAF「SiteGuardシリーズ」を提供しています。WAFを導入することで、外部からの不正アクセスを効率的に防ぐことができますので、Webサイトの安全、セキュリティ対策をお考えの場合はお気軽にご相談ください。
WAFとは
Webアプリケーションファイアウォール(WAF:Web Application Firewall)は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。
