DIME MAGAZINE
近年、企業規模を問わずにサイバー攻撃の被害が拡大しております。サイバー攻撃とは、企業のシステムに不正アクセスし、機密情報の取得や暗号化を実施することです。
特に、最近多く見られるのはランサムウェアの被害です。ランサムウェアとは、重要な情報を暗号化し、復号する代わりに身代金を要求する攻撃となります。ランサムウェアによる被害は、億単位を超える多額なものになっており、多くの企業にとって悩みの種となっているでしょう。
そこで今回は、大企業と比べてセキュリティ対策への時間をかけられない中小企業へ向けて、実施すべきことを解説します。
中小企業がセキュリティ対策を進めていくためには?
中小企業の多くは、セキュリティ対策を万全にしているといえない状態です。では、どのようにセキュリティ対策を進めていけばよいのでしょうか?
セキュリティ対策は、以下の手順で進めるのが効率的です。
- 自社の情報資産を洗い出す
- 情報資産の脅威やリスクを考える
- どの情報資産を守るべきかを考える
- 全体方針やポリシーを決める
- 定期的な更新を続ける
それぞれの手順を解説しましょう。
自社の情報資産を洗い出す
情報資産とは、パソコンやスマートフォンなどのデバイスに加えて、個人情報を取り扱っている文書やプログラミングデータなども含まれます。
まずは、自社内で取り扱っている情報資産を洗い出すのが大切です。なぜなら、情報資産がわからないとどのようなセキュリティ対策を取っていくべきか分からないためです。
企業によっては、重要な機密情報を取り扱っていないケースもあります。自社が保有する資産によっては、対策の優先度も変わってくるためできる限り洗い出しましょう。
情報資産の脅威やリスクを考える
続いて、洗い出した情報資産に対して、どのような脅威やリスクが潜んでいるのかを明らかにします。脅威やリスクとは、情報資産の流出によってどのような問題が発生するかです。
例えば、企業内の開発データが流出したとしましょう。競合他社の手元に開発データが渡ってしまうと、今までの開発にかけてきたコストが無駄になり、今後の利益も見込めなくなってしまいます。このように、企業の利益に大きな影響を与えるため、流出を防ぐ対策が求められるのです。
どの情報資産を守るべきかを考える
それぞれの情報資産について、脅威やリスクを洗い出せたら、どの情報資産を守るべきか考えます。ここで重要になるのは、情報資産の機密度です。機密度とは、情報資産に対するレベルのことで、機密度の高い情報資産ほど流出すると大きなリスクにつながる情報となります。
例えば、顧客データを扱うような場合では、個人情報が最も機密度の高い情報です。個人情報が流出してしまうと、企業のイメージが下がってしまうのに加えて、顧客に対しても賠償責任が発生する可能性があります。他にも、場合によっては記者会見などを開く必要もあり、多くのコストがかかってしまいます。
そのため、機密度に応じて優先度を決めていくようにしましょう。
全体方針やポリシーを決める
守るべき情報資産が決まってからは、全体的な方針やポリシーを定めていきます。全体的な方針とは、規定やルールを担う部分です。例えば、情報システムに関する規定を表したものや、個人情報保護法についての規定が全体方針に当てはまります。
ポリシーは、全体方針よりも業務寄りになったルールです。例えば、個人情報については権限が管理された所定のフォルダに格納する、持ち出しを禁止するなどの実運用に沿ったモノです。
全体方針やポリシーは、従業員の認識を統一するためにも欠かせないでしょう。
定期的な更新を続ける
セキュリティ対策は、日々変化を遂げています。最近は、ランサムウェアやemotetといったサイバー攻撃が流行しており、今までと違ったセキュリティ対策が求められます。
このように、数年後にはセキュリティ対策の方針が変わってしまう可能性も考えられるため、そのタイミングで規定やルールも見直していかなければなりません。
定期的に振り返ることで、企業全体のセキュリティレベルも上がっていくため、よりサイバー攻撃に強い組織を作っていけるでしょう。
セキュリティ対策を進める上での注意点
セキュリティ対策を進める上では、以下の点に注意しましょう。
- CIAのバランスを考える
- 組織的に進める
CIAのバランスを考える
CIAとは、「「Confidentiality(機密性)」「Integrity(完全性)」「Availability(可用性)」の頭文字を取った言葉です。CIAはセキュリティの三原則と呼ばれており、情報セキュリティを考える上で欠かせない要素です。
例えば、情報の機密性を重視した対策をしたとしましょう。具体的には、特定のデータをUSBに格納できなくしたり、社外から情報資産にアクセスできなくしたり、重要な情報に暗号化を必須としたりなどの対策です。しかし、こうした機密性を重視した対策を進めていくと、業務上での制約が多くなってしまい、可用性が低い状態となってしまいます。
したがって、重要視する項目ばかりに気を取られるのではなく、全体的なバランスを見ながら対策していくようにしましょう。
組織的に進める
セキュリティ対策は、組織が一丸となって進めていくのが望ましいです。なぜなら、特定の部署だけが対策をしたとしても意味がないためです。
例えば、営業部だけにセキュリティ対策を施したとしましょう。そういった対策は、確かに営業部が取り扱っているデータが流出する可能性を低くできます。しかし、他の部署ではセキュリティ対策をしていないため、その部署に不正アクセスをされてしまい、結果的には営業部のデータを保存している場所へとたどり着いてしまうのです。
セキュリティ対策をするのであれば、組織全体で進めていく必要があります。
まとめ
今回は、中小企業がセキュリティ対策を進めていく方法について解説しました。
昨今、多くの企業がサイバー攻撃による被害を受けています。「うちの企業では個人情報を取り扱っていないから大丈夫」と思っていても、取引先に対して攻撃を加える「サプライチェーン攻撃」によって影響を与えてしまうリスクがあります。
セキュリティ対策を十分に実施しない企業は、今回の記事を参考にまずは情報資産の洗い出しから始めてみましょう。
文/長谷川貴之
編集/inox.
最新号
