中小企業で必要不可欠なの5つのセキュリティ対策

 2019.08.20  AJS株式会社

世界的に急増するサイバー攻撃は留まるところを知らず、日ごとその攻撃手法を進化させています。海外に比べサイバーセキュリティに対する意識が低いと言われている日本は、攻撃者にとって格好の餌食であり、企業・組織の規模を問わずサイバー攻撃の被害が増加し続けているのです。

また、内部犯行による情報漏洩も企業にとって大きな問題です。2014年に起きたベネッセホールディングスでの個人情報漏洩事件は、業務委託会社の従業員により犯行が行われ、結果同社では260億円もの保証対応費用が発生しました。さらに、その後も「情報漏洩企業」のイメージを払拭できず、二期連続での最終赤字を計上したのです。

東京オリンピック・パラリンピックが開催される2020年に向け、世界的に注目が集まる日本。アノニマス等の攻撃も激化することが予測されています。セキュリティ対策は日本企業にとって「急務」なのです。

今回は、日本企業の約99%を占める「中小企業」に焦点を当て、最低限行っておくべき5つのセキュリティ対策についてご紹介していきます。

会社パソコンのセキュリティ対策

「セキュリティ対策=アンチウィルスソフトの導入」と大半の方は考えるでしょう。アンチウィルスソフトの導入はセキュリティ対策の第一歩と言えます。

ソフトの導入に関しては、製品の特徴やメリット・デメリット等を総合的に比較し、自社のシステムや社内体制と調和するものを選択するようにしましょう。

予算は事前に決めない

セキュリティ製品に関わらず、新規導入の際によくあるパターンとして、あらかじめ設定した予算内で製品の候補をピックアップしてしまうことがあります。この場合「予算内であること」が選択の決め手となってしまい、結果的に期待する効果が得られない危険性があります。

必ず「その製品導入で得たい効果」や、「守りたい情報」を明確にしておき、それらを実現できる製品の中から選択するようにしましょう。

複数のソフトを導入しない

ウィルスソフトを導入すると、PCは起動からシャットダウンまで全てのプロセスが監視されます。万が一、複数のアンチウィルスソフトがインストールされた場合、両者はお互いを「不正ソフト」と認識し、不具合を起こす可能性が高まってしまうのです。

PCを新たに購入した場合などは、機種独自のアンチウィルスソフトが元々搭載されていることもありますので、必ず状況を確認してからインストールを行うようにしましょう。

会社スマホのセキュリティ対策

タブレットやスマホの進化により、仕事の場所を選ばない「新しい働き方」を認める企業が増えてきています。

労働人口の減少が懸念される中、在宅勤務等のフレキシブルな働き方が認められることは、社会全体での生産性向上が期待でき、よい流れであることは確かです。

しかし、PC同等の情報量を持ち運べる端末が持ち出されるという点では、企業にとって大きなセキュリティリスクとなります。タブレットやスマホに関しても、社内環境と変わらないセキュリティ対策が必須なのです。

ウィルスの問題

標的型メールによるウィルス感染も危険ですが、最近では正規品と見分けのつかない「ウィルスアプリ」の被害も確認されています。

アプリをインストールする事により、スマホ内の情報が抜き取られたり、メール内容が流出するなどの危険がありますので、専用のチェックツールなどを用いることが必要です。

認証の問題

社内システムにアクセスができる端末が増加したことで問題となるのが「本人認証」です。認証情報の増加は、「パスワード使い回し」を引き起こします。メールアドレスとパスワードによる単一的な認証では、悪意ある侵入を簡単に許してしまうのです。

そこで、パスワード+α(電話、認証コードの入力等)の「二段階認証」が有効です。二段階認証に関しては、さまざまな製品を開発されていますので、それらを導入するのも一つの方法です。

紛失の問題

万全のセキュリティ対策を行っている企業であっても、完全に防ぐことは不可能と言われるのが「紛失」や「盗難」といった、端末自体が無くなってしまう問題です。紛失や盗難は「起こるもの」と認識し、無くなった場合でも情報が守られる方法を選択するほかありません。

中小企業で必要不可欠なの5つのセキュリティ対策

会社のパソコン、USBの感染・紛失防止

業務効率化を目的に、ノートパソコンの持ち出しやUSBでのデータ持ち出しを可としている企業もあるかと思いますが、これらは情報セキュリティの観点から考えると非常に危険な行為です。

先述のスマホのセキュリティ対策でも述べましたが、「紛失」や「盗難」といったケースに関しては完全に防ぐことは不可能です。これらが起こることを想定したセキュリティ対策が求められます。

セキュリティ対策ソフトは必須

近年では紛失・盗難に対応した、遠隔でのデータ消去サービス等も多数開発されています。業務効率化による社外持ち出しだけではなく、海外への出張時等にもセキュリティリスクは潜んでいますので、何かしらの製品は導入しておくべきでしょう。

関連企業のセキュリティ環境

これは、取引先企業に関しても同様です。情報共有が行われる場合は、共有先のセキュリティ環境も確認した上で行わなければなりません。実際に、セキュリティ対策の弱い企業を踏み台とし、取引のある大企業の情報が盗まれる事件も発生していますので、情報の共有を行う前に必ず確認をしましょう。

退職者の端末について

従業員が退職する際にも細心の注意が必要です。端末上で削除したデータがバックアップとして残ってしまっているケースや、クラウド上に同期されていることも考えられます。また、退職者の社内システムへのアクセス権等も、退職日に削除するよう徹底しましょう。

私用パソコンの持ち込み・紛失防止対策

比較的規模の小さい企業で見受けられるのが、私用のパソコンを持ち込みビジネス利用しているケースです。

企業の端末管理が正しく行われている場合は問題ありませんが、申請を行わずに社内システムへアクセスしてしまっているケースもありますので、注意が必要です。

管理体制の強化

社内のセキュリティ環境を維持する為には、各端末の情報(OSやスペック)を管理する必要があります。さらに端末内に入っているソフトやアプリケーションについても同様に管理が求められます。

正しい権限付与

私用パソコンに限りませんが、情報の閲覧や各処理に関しての「権限設定」はセキュリティを考える上で非常に重要です。

ファイルのコピーや保存が行える状態で情報の共有が行われてしまった場合、悪意ある第三者によって情報が盗まれる可能性もあり得るからです。

紛失の問題

万全のセキュリティ対策を行っている企業であっても、完全に防ぐことは不可能と言われるのが「紛失」や「盗難」といった、端末自体が無くなってしまう問題です。紛失や盗難は「起こるもの」と認識し、無くなった場合でも情報が守られる方法を選択するほかありません。

情報セキュリティポリシーの策定

情報セキュリティポリシーとは、企業や組織が情報セキュリティを保つための全体的な指針や方針を定めたルールのことです。

「サイバー攻撃から機密データや個人情報を守るために、こんな防御策を講じていますよ」と宣言したもののことです。サイバー攻撃による被害が増加している現代社会において、企業運営のためのルールづくりとして欠かせないものの1つです。

「情報セキュリティポリシー」の策定がなぜ重要なのかというと、社員全員のセキュリティ意識の向上にあります。

会社としてのポリシーを決めておくことにより、インシデント発生時には何をすればよいのか?インシデントが発生しないようにするためには何に気をつければよいのか?など、社員全員が意識するようになります。

先にご紹介したベネッセの情報漏洩事件のように、社員や業務委託先のセキュリティ意識が低いことによって起きる内部犯行による漏洩事件を防ぐことが可能になります。

まだ「情報セキュリティポリシー」を作っていないという企業の方は、これを機に作成することをおすすめします。


『月刊人事マネジメント』事例掲載
「人事評価制度見直し」決断する前にやること

RELATED POST関連記事


RECENT POST「セキュリティ関連ブログ」の最新記事


中小企業で必要不可欠なの5つのセキュリティ対策