近年、中小企業を標的としたサイバー攻撃が増加しており、危機感を抱いている方も多いのではないでしょうか?
本記事では中小企業がセキュリティ対策を始める際の具体的な手順について、社内に情報セキュリティ担当がいない企業様にも伝わるよう、易しく解説していきます。
はじめに
日本では企業全体のうち99.7%が中小企業ですが、IPAの調査ではその内の約3割の企業がセキュリティ対策への投資を行っていないと回答しています。その理由として、「必要性を感じていない(40.5%)」や「費用対効果が見えない(24.9%)」が挙げられています。
引用:IPA.“2021年度 中小企業における情報セキュリティ対策に関する実態調査報告書について”.IPA ウェブサイト. 2022-05-23.https://www.ipa.go.jp/security/reports/sme/about.html(参照2024-05-29)
しかしながら、近年のサイバー攻撃では中小企業が標的にされるケースも増加しており、被害にあった場合には自社だけでなく関係会社や取引先にも被害が拡大してしまうケースもあり、リスクは高まりつつあります。
IPAでは「中小企業の情報セキュリティ対策ガイドライン」を公開していますが、今までセキュリティ対策をしてこなかった中小企業の皆さまは、ハードルが高いと感じるかもしれません。
本記事は社内にIT部門の無い比較的小規模な事業者様やIT担当を専門ではなく兼務で行われている、”ITもセキュリティも初心者”の方々に向けて、ガイドラインの前半部分を中心に、3ステップに分けて分かりやすく解説します。
今までセキュリティ対策をしてこなかったという皆さま。是非、最初の一歩を踏み出して堂々と「我が社ではセキュリティ対策をやっている」と言えるようにしましょう!
ステップ1:セキュリティ対策の必要性を知ろう
まずはそもそも何故セキュリティが必要なのかについて認識することが、セキュリティ対策をする上での最初のステップとなります。以下はセキュリティ事故が起きてしまった場合、どのような損失があるのかについてまとめています。これらに目を通し、自社ではどのような損失が発生しうるかをイメージしていただき、セキュリティ対策の必要性について認識していきましょう。
経営者が負う責任
サイバー攻撃による情報漏洩が発生した場合にセキュリティ対策を怠ったという過失が認められれば、「契約不適合責任」や「善管注意義務違反」に基づき損害賠責任を問われる可能性があります。
金銭の損失
企業が機密情報や個人情報を漏洩した場合には、不正なやり取りやコピー、持ち出しといった履歴を調査するフォレンジック調査や対応窓口を設置するなどのインシデント対応コストがかかる可能性があります。また、先述の通り損害賠償が発生する可能性があり、さらにインターネットバンキングを通じた不正送金やクレジットカードの不正利用の被害に遭うなどのケースも考えられます。
顧客の喪失
社会的評価の低下による顧客離れ、継続してきた受注の停止などの可能性が生じます。
また、失った社会的信用を取り戻すことには時間がかかり、事業の存続が困難になる場合もあります。
事業の停止
事業の中核となるシステムがストップすることで生産活動の遅れや、最悪の場合は事業の停止を余儀なくされます。
従業員への影響
事故によるイメージダウンを理由に、離職や新規人材の獲得難に繋がる可能性があり、長期的な目線で損失となる可能性があります。
ステップ2:情報セキュリティ5か条から始めよう
セキュリティ対策の必要性を認識していただいたところで、次のステップでは実際にセキュリティ対策に取り組んでいただきます。内容としてはIPAが発行している「情報セキュリティ5か条」と呼ばれるものです。業務で使われているパソコンなどのOA環境で必ず実施すべき重要な対策が盛り込まれています。まずはこちらの5つの対策を実施し、最低限のセキュリティ対策に取り組みましょう。
①OSやソフトウェアは常に最新の状態にしよう!
OSやソフトウェアの更新をせずに古いバージョンを使用し続けると、セキュリティ上の問題が解決されずにウイルス感染などのリスクが高まってしまいます。基本的にパソコンやルータは初期設定でアップデートが自動でされるようになっており、何もしなくても最新の状態になっているという場合もあります。しかし何かしらの原因でアップデートが出来ていない(失敗している)可能性もありますので、最新だと思われている方も今一度見直しをしてみてください。
特に注意していただきたい点が、場合によってはアップデートに時間がかかるケース(数時間程度)があることです。利用頻度の少ない、または利用時間が短いパソコンなどでは、使用している時間内にアップデートが完了せずにアップデートが溜まってしまっている場合があります。そのような場合にはアップデートが完了するまで電源を起動したままにしてください。例えば月に一度全てのパソコンやルータなどを最新の状態か確認し、最新でない場合にはアップデートをする運用などをご検討していただくとリスクを減らすことができます。
もしお使いのパソコンが古いバージョンで製品サポートの期限が既に終了している場合は、アップデートができません。セキュリティ上の問題を解決することはできず非常に危険な状態となっておりますので、早急に買い替えを検討しましょう。
②ウイルス対策ソフトを導入しよう!
ウイルス対策ソフトは種類によって得意分野が異なるため、ここでは具体的な製品名ついては触れません。購入時には価格の他にも契約年数や使用台数、動作の軽さやサポート体制などに気を付けていただくことをオススメします。なお、Windowsであれば初期で導入されているMicrosoft Defenderでも問題ありません。
こちらもOSやソフトウェアの最新化と同様にウイルス定義ファイル(パターンファイル)が最新の状態かを確認し定期的なスキャンをすることを検討しましょう。
③パスワードを強化しよう!
推測や解析のされにくい安全なパスワードを使用しましょう。なお、IPAでは安全なパスワードを以下の通りとしています。
- 最低でも10文字以上の文字数で構成されている。
- パスワードの中に数字や、「@」、「%」、「"」などの記号も混ぜている。
- パスワード内のアルファベットに大文字と小文字の両方を入れている。
- サービスごとに違うパスワードを設定している。
引用:IPA.“今、パスワードが危ない!チョコっとプラスパスワード あなたは大丈夫?”.IPA ウェブサイト. https://www.ipa.go.jp/security/chocotto/index.html(参照2024-05-29)
パスワードの桁数が多いと感じられた方もいらっしゃるかと思いますが、近年の技術の発達によりパスワード解析にかかる時間は以前に比べて大幅に短くなっており、10文字未満のパスワード桁数では危険な状態になってしまっているのが現状です。桁数を増やし記号や数字、大文字と小文字の両方を用いたアルファベットを含めることでパスワード解析を困難にすることができますので、これをきっかけにパスワードの見直しをしていただければと思います。
また、パスワードの使い回しをしていると別のサイトからパスワードが流出した場合などに被害が拡大する点から不正ログインを受けるなどの被害に遭うリスクが増しますので、使い回しをしている場合にはパスワードの変更を行いましょう。
離職や離任などが発生した場合は、不要となったアカウントの削除やパスワードの変更を適宜行いましょう。
時々パスワードを全く変更されていない事業者をお見掛けしますが、どんなに強力なパスワードを設定しても、知っている人であればアクセスが可能です。近年では退職者による情報持ち出しの事例も増加しており、対策の必要性も高まっています。筆者の経験上、特にクラウドサービスや無線LANのパスワードが変更されていないケースが多いですので注意しましょう。
④共有設定を見直そう!
インターネット上にデータを保管できるオンラインストレージサービスは非常に便利ですが、共有の設定によっては機密情報を第三者が閲覧可能な状態になっている可能性があります。気づかずに情報を漏洩しているというケースもありますので、今一度設定を確認してみてください。また、複合機においてもインターネットに接続をしている場合は、設定によっては不特定多数の人が複合機に保存された文書を閲覧できる状態となりますので、設定の見直しを行いましょう。
⑤脅威や攻撃の手口を知ろう!
自己防衛を適切に行うためには脅威や手口を知ることが大切です。IPAが公開している情報セキュリティ10大脅威では最近の脅威の動向について情報が公開されています。自社が被害に遭わないためにも、情報収集を行い社内に注意喚起をするなどして組織としてセキュリティへの意識を高めていきましょう。
ステップ3:自社のセキュリティ対策の現状を知ろう
ステップ2ではどんな企業においても必ず行うべき対策を実施しましたが、自社の環境に応じた本格的なセキュリティ対策を始めるためには、まずは現状を知ることが必要です。ここでは自社のセキュリティ対策の状況について診断を行います。
IPAが作成した「5分でできる!情報セキュリティ自社診断」をダウンロードして、実際に採点を行ってみてください。本文でも記載がありますが、採点の基準は「実施している 4点」「一部実施している 2点」「実施していない 0点」「わからない -1点」となっています。
実施しているのか実施していないのか分からないといった実態の把握不足が最も点数が低くなります。具体的な対策よりも前にセキュリティへの意識が重要であるということですので、把握できてない項目が多かった場合には現状を把握することから始めていきましょう。
まとめ
お疲れ様でした!ここまで中小企業のセキュリティ対策の始め方について3ステップに分けて解説しましたが、いかがでしたでしょうか?この記事をきっかけにセキュリティに対する意識が少しでも向上したのであれば大変嬉しいです。
ステップ3で現状を把握した後、次のステップとしては必要な対策を順番に実施していくことになります。各項目に対策例が記載されており、対策を決定する際には担当者と経営者で認識を合わせながら行っていきます。
内容によっては業務に影響することがありますので、そのような場合には従業員の意見も参考に現実的で実現可能な対策とすることがポイントですが、職場環境や業務に適した対策の検討は実際には難しい内容となります。
「セキュリティ対策がこれで合っているか分からない」や「これだけじゃ不安」など何かありましたら、セキュリティの専門家であるユービーセキュアにぜひお問合せください!
