ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ビズサプリ 情報システムポータル
  3. 専任担当者が少ない、中堅・中小企業の情報システム部門の方へ
  4. 第2回 「少人数の情シス」だからこそ常識的なセキュリティ対策が欠かせない
ここから本文です。

中堅中小企業の情シス部門向け セキュリティ対策室 第2回

「少人数の情シス」だからこそ常識的なセキュリティ対策が欠かせない

2016年10月

第1回では、「少人数の情シス」とはどういう状態を指すのか、そうした状況が生まれる背景には何があるのかについて触れた。彼らが陥る不安やリスクを解決するためには、個人が問題を抱え込まず、常に組織的な課題に“転化”していく視点が不可欠であることも強調した。第2回以降ではより具体的なセキュリティ対策に触れるが、その前にあらためて「少人数の情シス」状態が、企業システムのセキュリティに大きなリスクをもたらしている現状を振り返っておきたい。

自身のセキュリティ意識をチェックしてみよう

まずはセキュリティ対応チェックリストを活用し自身のセキュリティ意識を確認してみよう。

6個以下しかできていなかった場合は、セキュリティ対策の見直しが必要だ。また、7個以上であっても、「少人数の情シス」のセキュリティ対策について振り返りかえってみよう。

IPAも危惧する中堅中小企業のセキュリティ対策

独立行政法人 情報処理推進機構(IPA)が行った「2015年度中小企業における情報セキュリティ対策に関する実態調査」によれば、「組織的に情報セキュリティ対策担当者がいる」と回答した小規模企業(従業員数1〜20人)は19.6%にすぎなかった。100人以下の中小企業でもようやく過半数に達する程度だ。また「情報セキュリティ問題について相談する窓口がない」と回答した企業も、小規模企業で72.2%、100人以下の中小企業で37.5%に達している。

企業規模が小さくなるほど、セキュリティ対策は手薄にならざるを得ない実態が明らかになっている。

IPAがこうした実態調査を行った背景には、インターネットバンキングの不正送金や特定企業の情報資産を狙った標的型サイバー攻撃、内部の不正行為による情報漏えいなどが企業にとって脅威となっている現状があるからだ。

こうした攻撃は政府機関や大企業だけでなく、中堅中小企業にも向けられおり、直接の被害だけでなく、取引先を標的とした攻撃の踏み台にされる場合もある。組織の規模に関わらず適切な情報セキュリティ対策が必要になるゆえんである。

IPAでは、情報漏えいの脅威が増す中、多くの小規模企業は情報セキュリティ担当者が不在で社内外の相談窓口もない。社内だけなく社外の取引先の機密情報を守るため、小規模企業を中心とした中小企業向けの情報セキュリティ教育を促す必要性がある、と考えているようだ。

中堅中小企業が陥りやすいセキュリティ問題をめぐる誤解

「専任担当者がいない」「いたとしても兼務」というように、中堅中小企業のセキュリティ対策が組織的に整備されにくい背景には、もしかするといくつかの誤解があるからなのかもしれない。「誤解」とは例えば次のようなものだ。

陥りやすいセキュリティ問題をめぐる誤解

  • (1)中小企業を狙い撃ちするようなサイバー攻撃はないはずだ
  • (2)ウイルス対策ソフトを入れているからもう大丈夫
  • (3)小さな企業だし、盗まれて困るような情報は持っていないから安心
  • (4)Windows XPはすべて入れ替えたから、もう問題ない

これらの誤解について、より具体的にみていこう。

(1)中小企業を狙い撃ちするようなサイバー攻撃はないはずだ

2016年3月の警察庁資料によれば、インターネットバンキングの不正送金被害は広がりつつある。その中でも信金、信組、農協、労金などの被害は拡大する傾向にある。これらの金融機関の取引先の多くが中堅中小企業。万が一、取引先銀行の口座が攻撃されれば、会社のセキュリティ対策を一手に担う情報システム部門にとっては自身の責任問題にも発展しかねない。決して対岸の火事と、座していることはできないのだ。

(2)ウイルス対策ソフトを入れているからもう大丈夫

ウイルス対策ソフトの大手・シマンテックによれば(※)、従来のマルウェア対策ソフトがウイルスやスパイウェアなどの攻撃を検知できるのは全体の45%だけで、55%の攻撃は検知されることなく素通りしている。「ウイルス対策ソフトを入れているから安心」、あるいは「担当は自分一人だから対策はその程度が精一杯」と考えていると、足元をすくわれかねない。

(※)The Guardian(ザ・ガーディアン)の記事より

(3)小さな企業だし、盗まれて困るような情報は持っていないから安心

先にも述べたように、クライアントPCが不正送金の実行処理の踏み台にされ、犯罪に巻き込まれるケースは少なくない。近年では、ファイルを暗号化して身代金を要求するランサムウェア被害が多発している。これらの攻撃では、大手企業よりもむしろ情シスが一人しかいなくて、セキュリティ対策が脆弱になってしまうような小さな企業こそ狙われやすい。もし踏み台にされれば、取引先にも迷惑をかけ、信用を失う。

(4)Windows XPはすべて入れ替えたから、もう問題ない

Windows XPは、正式なサポートが終了したこともあり、新しいバージョンに移行している企業がほとんどだと思われる。もし、Windows XPをまだ使い続けているとすれば、たんにアプリケーションが対応しないというだけでなく、セキュリティ上でも深刻なリスクを招きかねない。

これはWindows XPに限った話ではないが、OSメーカーのサポートが終了すれば、原則的にその後のウイルス対策のためのパッチなどは配布されないことになる。そこで生じる脆弱性の隙間をあえて狙う攻撃もあり得るのだ。OSのアップデートはたんに使い勝手の向上や新機能の追加というだけでなく、OSメーカーが提供する、OSレベルの最新セキュリティ対策をサポート期間中に享受できるからでもある。

「Windows XPはすべて次世代のOSに入れ替えたらから安心」と思ってはいけない。OSアップデートは行ったものの、すべてのマシンにセキュリティパッチを適切に当てているかと聞かれると、不安を感じる担当者もいるはずだ。とりわけ一人またはごく少人数で情報システムを管理している会社では、IT担当者が多忙のために、社内の端末の状況を正しく把握するのが難しい。その盲点が、セキュリティホールになり得る。

現実的なセキュリティ対策を進めるうえでのキーワード

これらの誤解を払拭したうえで、さて「少人数の情シス」は社内でどのようにセキュリティ対策を進めるべきなのか。重要なポイントを挙げてみよう。

セキュリティ対策を知る

まず中堅・中小企業の経営者や従業員一人ひとりがサイバー攻撃と対策の知識を持つことが欠かせない。情シスは、日頃から「セキュリティ対策は経営戦略と同義である」と、経営者や社員に向けた啓蒙に務めるべきだ。自らが講師になって、ときには外部から講師を招いて、社内セキュリティの講習会を開くことなども検討したい。

最新の状態を保つ

先にも述べたように、OSやアプリケーションを最新の状態に保つことは、セキュリティ対策の基本だ。少なくとも、Windows、Webブラウザ、Java、Adobe Flash Player、PDFリーダー、マルウェア対策ソフトについては最新バージョンを使いたい。

情報システム部門が一人なので、すべてのコンピュータを管理することは難しい。アップデートすべき対象とその手順をマニュアル化し、社員一人ひとりに実行してもらうよう促すことも重要になる。

多層防御を行う

近年のセキュリティ対策は「多層防御」がキーワードになっている。パソコン自体のセキュリティ対策はもとより、ネットワークやサーバーなどウイルスが流入する危険性のあるあらゆる経路で、対策を練るべきだ。

中堅中小企業は大企業に比べて、サーバーやネットワークの構成が簡素な場合が多いので、多層防御は実はやりやすいはずだ。「ひとり」であることで、かえって意思決定が迅速に行えるという強みも意識したい。

ページ共通メニューここまで。

ページの先頭へ戻る