小さな会社の情報セキュリティ対策で思うこと
先日、大阪府主催のサイバーセキュリティ対策セミナーに参加してみた。
内容的には警察庁からのサイバー攻撃の現状や手口に関するものや損保会社が提供するサイバーセキュリティのリスクに対処するための保険サービスの説明で、中小企業の経営者層が聴いても、具体的行動に結び付くことはないという印象を受けた。
私が知っている中小企業からも、2022年4月に個人情報保護法が改正され、より厳格に法令遵守が求められている状況もあり、情報セキュリテイ対策の話題がよく出ます。
ベンダーや外部専門家は積極的に助言すべき
この手の話は、ある水準以上の情報リテラシーをもつこと、そして技術的な専門用語についても概要とポイントを理解しておかないと、まったくチンプンカンプンになる可能性があります。
どのような中小企業であっても、ホームページの公開とメールシステム、最近ではモバイル機器(ノートPC 、スマートホン)の社外での活用、USBメモリなどの外部記憶媒体の持ち歩きなど、当たり前のように活用しています。
それらの基盤となるネットワーク機器やデバイスについては外部のITベンダーが関与していることと思います。ベンダーは中小企業、特に情報セキュリティ対策に疎いと思われる事業所に対しては積極的に助言すべきであると思います。
ベンダーは自社の商品・サービスに直接関係していないことであっても、積極的に、何がリスクになるのかをわかりやすく伝え、リスクを低減させるためには具体的に何に取り組めばよいのかを助言すべきであると思います。
まず、社内で話し合ってほしいこと
中小企業の経営層の中でも、自社の個人情報保護や情報セキュリティの取組みに不十分さを強く感じていらっしゃる方がいると思います。
私は、まず下記の内容を主要なメンバーで話し合っていただきたいと思います。
- 個人情報の含まれる情報は何か?
- その情報はどこに保管・保存しているか?
- 自社が独自に持つ情報の中で、盗まれたり、漏えいしたり、改ざんされることにより事業に影響がでる情報は何か?
- それらの情報はどこに保管・保存されているか?
情報セキュリティといえば、すぐにいろいろと対策ばかり検討してしまいますが、本当に大切なことは守るべき情報が何か、どこに保管・保存されているか、です。
これらは、「情報資産の棚卸」という作業です。精緻に棚卸作業を行う前に、社内の主要メンバーで上記4つを話し合い、これからの取組に対し危険レベルの認識を合わせておくことの方が重要であると思います。
情報は金庫に保管しておけない
昔は、大事なものは金庫に保管しておけばよかったのですが、情報は使わなければ価値を生み出さないものです。よって、サーバーに保管し、ネットワークに接続し、デバイスで使えるようにします。また、情報の種類と守る重要度によって、社内の特定な人に限定したり、人事部門や経理部門のみに限定したり、もしくは、営業がモバイル機器を利用して社外でも使えるようにします。このように、利用範囲や利用シーンが、いくつも出てくるので、情報セキュリティの対策が多岐にわたって必要となり、情報技術が高度になってくることで、対策の言葉や意味が分かりにくくなってきます。
しかし、私は基本は同じであると思います。
その基本とは
- 大切なものの台帳を作成し管理する
- 大切なものは、場所と人を限定する
- 大切なものは持ち出さない
- 大切なものを持ち出す場合は、肌身離さず持ち歩く
の4つです。この4つを基本にセキュリティ対策を検討すればいかがでしょうか。
サイバー攻撃の対策
但し、最近のサイバー攻撃(泥棒、詐欺、脅迫、いたずら)は、高度化し増加し続けていますので、それらに対する対応策は、プラスαで考えておく必要があります。
独立行政法人情報処理推進機構IPAが公表している「中小企業の情報セキュリティ対策ガイドライン」を参考にするのがよいと思います。
その中でも「情報セキュリテイ5か条」をまず実行し、さらに組織的に取り組むことを当該サイトも提案しています。
昨今のサイバー攻撃に情報として警察庁や大阪府警も情報提供をしていますので紹介しておきます。
大阪府警察本部警務部高度情報推進局サイバーセキュリティ対策課
最後に
中小企業には、情報セキュリティ対策を進めるための人的リソースが少ないことはやむを得ないことです。
だからこそ、ベンダーや外部専門家はわかりやすく具体的な助言をしてもらいたいと思います。
その中で、公的機関の支援もありますので、ぜひ中小企業の経営層の皆さまも積極的に、情報セキュリテイのことを話題にしていただき、ベンダーや外部専門家に助言を求めていただきたいと思います。