中小企業のセキュリティー対策 Vol.6 経営者主導で効果実感

SECURITY ACTIONのロゴマーク

サイバー攻撃は他人事ではない

テレビや新聞などでサイバー攻撃による情報漏えい事件などが報道されているが、これは大企業に限った話ではない。先頃、独立行政法人情報処理推進機構(IPA)が発表した「中小企業の情報セキュリティ対策の実態調査‐事例集‐」(以下、事例集)では、全国の中小企業の被害事例や取り組みが紹介されており、サイバー攻撃はもはや他人事ではないことが理解できる。いくつか掲載事例を紹介させていただきたい。

事例1

「従業員がメールに添付されていたファイルを不用意に開いたためウイルス感染し、基幹システムの設定が書き換わる障害が発生した。システムベンダーの協力を得て障害対応を行なったが、復旧するまでの1週間ほど基幹システムの一部が使用できなくなった(静岡県・製造業)」

同社ではウイルス対策ソフトを導入していたがウイルスを検出できず被害を受けた。これを教訓に、メールのフィルタリング製品の導入や従業員に対するセキュリティー教育を実施しており、以降は被害が発生していないという。

事例2

「自社で運営しているCMS(コンテンツマネジメントシステム)で作成したウェブサイトが改ざんされてしまい、閲覧者が有害なサイトへ誘導されるようになってしまった。実害はなかったが、セキュリティー被害は身近なものであると感じた(宮崎県・運輸業)」

サイバー攻撃を受けることで「被害者」になるだけではなく、「加害者」になることもある。同社はメールやウェブのフィルタリングができ一元的なレポーティング機能を備えたUTM製品を導入することで対策強化と監視業務の効率化に取り組んでいるという。 これらを対岸の火事と考えず、セキュリティー対策に取り組む際の参考としてほしい。

一方、事例集では前向きな取り組みも多く紹介されている。

事例3

「同業他社の情報漏えい事件をきっかけに、自社のセキュリティー対策の見直しとIT人材育成に取り組んでいる。セキュリティー認証取得にも取り組んでおり、行政、金融機関、取引先からの信頼獲得を実感している(北海道・金融業)」

セキュリティー対策は費用対効果が明確ではないためコストとして考えられることが多い。しかし、事例集では、取り組みを対外的にアピールすることで信頼獲得につながった、従業員のセキュリティー意識向上など人材育成につながったという経営者の声も多い。経営者がリーダーシップを発揮して対策を推進した企業ほど効果を実感しているようだ。

ロゴマーク取得し取り組みPR

中小企業がセキュリティー対策を進めるに当たってはIPAが公開する「中小企業の情報セキュリティ対策ガイドライン」(以下、ガイドライン)が指針となるだろう。

また、セキュリティー対策の取り組みを対外的にアピールするに当たってはIPAが4月から募集開始した「SECURITY ACTION」制度を活用してほしい。

「SECURITY ACTION」とは、中小企業自らが、セキュリティー対策に取り組むことを自己宣言する制度で、ガイドラインの実践をベースに2段階の取り組み目標を用意している。また、取り組み目標に応じたロゴマークを使用することができ、ウェブサイトや名刺などに表示することで、情報セキュリティーに自ら取り組んでいることをアピールすることが可能だ。

1段階目は、OS・ソフトウエアの更新やウイルス対策ソフトの導入、パスワードの強化など、あまりお金をかけなくても実施できる効果的な5つの対策に取り組むこととなっている。これまで組織として対策に取り組んでこなかった小規模企業でも容易に取り組める内容であるため、まずはここから取り組んでほしい。

利用手数料は無料。具体的な手続きはIPAのホームページhttps://www.ipa.go.jp/security/security-action/を確認してほしい。

(独立行政法人情報処理推進機構・江島将和)

次の記事

中小企業のセキュリティー対策 Vol.7 サイト改ざんで加害者に

独立行政法人情報処理推進機構・江島将和

CMSを悪用した被害が急増 ウェブサイトは今や企業にとって事業案内や求人、製品・サービスの訴求など多岐にわたる役割を果たし、事業運営に不可欠...

前の記事

中小企業のセキュリティー対策 Vol.5 長期休暇は危険が増大

独立行政法人情報処理推進機構・江島将和

長期休暇の時期は、システム管理者が不在になることも多く、ウイルス感染や不正アクセスなどの被害が発生した場合の対処が遅れてしまい、自組織の...

関連記事

中小企業のセキュリティー対策 vol.51 被害防止へ対応事例紹介

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)は5月31日、「令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業(サイバーセキュリティお助け...

中小企業のセキュリティー対策 vol.50 サイバーセキュリティ お助け隊サービス始動

独立行政法人情報処理推進機構・江島将和

経済産業省と独立行政法人情報処理推進機構(IPA)は、企業間サプライチェーン全体のサイバーセキュリティー対策強化の必要性の下、中小企業のサイ...

中小企業のセキュリティー対策 vol.49 内部不正による 情報漏えい減少せず

独立行政法人情報処理推進機構・江島将和

近年、企業の技術情報を同業他社や海外企業に不正に持ち出した事案が相次いで報道され、営業秘密の保護強化が課題となっている。そこで、独立行政...