狙われる中小企業、セキュリティ対策は何から始める？

2024/11/21 セキュリティ

セキュリティ対策は企業規模に関わらず重要ですが、ランサムウェア攻撃など、昨今のサイバー攻撃のほとんどは企業がターゲットです。しかも、インターネットに接続しているすべてのデバイスが狙われる可能性があり、企業規模や業種にかかわらず、全ての企業がセキュリティ対策をしなければ社会的な責任が問われる時代になっています。

しかし、大企業のように潤沢なセキュリティ対策予算を用意できない中小企業の経営者からは、「何から対策したらいいのかがわからない」という声をよく耳にします。そこで今回は、中小企業が取り組むべきセキュリティ対策について検討してみることにします。

セキュリティ対策の責任者は経営者であることを自覚する

大前提として、企業の情報セキュリティ戦略は、経営者のリーダーシップで進める必要があります。何故なら、企業のセキュリティ戦略は、企業の経営戦略の一部だからです。大企業のようにセキュリティ対策用に潤沢な予算を用意できるわけではないため、実施できることには限界があります。そのため、限られた予算の中で、最大限の効果を発揮できる仕組みを導入しなければなりません。

なお、IPA (独立行政法人情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」でも、経営者が認識すべき三原則を次のように記載しています。

経営者が認識すべき三原則

原則1 情報セキュリティ対策は経営者のリーダーシップで進める
原則2 委託先の情報セキュリティ対策まで考慮する
原則3 関係者とは常に情報セキュリティに関するコミュニケーションをとる

また、実行すべき重要7項目の取り組みとして、次のように記載しています。

実行すべき重要７項目の取組

情報セキュリティに関する組織全体の対応方針を定める
情報セキュリティ対策のための予算や人材などを確保する
必要と考えられる対策を検討させて実行を指示する
情報セキュリティ対策に関する適宜の見直しを指示する
緊急時の対応や復旧のための体制を整備する
委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
情報セキュリティに関する最新動向を収集する

参考：中小企業の情報セキュリティ対策ガイドライン | IPA 独立行政法人情報処理推進機構
https://www.ipa.go.jp/security/guide/sme/about.html

しかしながら、ガイドラインでは「情報セキュリティに関する最新動向を収集する」と示されているものの、サイバー攻撃は常に進化し、高度で複雑なものになっています。それに伴ってセキュリティ対策の側も高度で複雑です。最新のセキュリティ対策について、企業の経営者がすべてを把握することは困難です。より正確に言えば、「常にサイバー攻撃を監視して新たな手口を発見する」「どのような対策が効果的かを検討する」といった専門的なことは、既に専門の“組織”がAI技術など最先端の仕組みを駆使しなければ対応できないレベルになっています。専門家であっても個人がすべてを網羅することはほぼ不可能ですし、セキュリティの専門家でもない経営者であればなおさらです。

「どんな攻撃があるのか」もわからず、「何をどうやって守れば良いのか」もわからない状況で、対応方針や予算が組めるはずがありません。そのため、経営者は情報システム部門の担当者やセキュリティ対策の専門家と密に連携し、自社のビジネスに沿ったセキュリティ対策の方針を立てなければならないということです。

ただし、経営者として絶対にやってはいけないことは、情報システム部門やセキュリティ対策の専門業者にセキュリティ対策を丸投げすることです。

「自分たちはどのようなビジネスを展開しているか」「自分たちの価値はどこにあるか」を把握している経営者だからこそ、「どんな情報を守らなければならないのか」「そのためならどれくらいまで予算をかけられるのか」を判断できるのです。経営者は守るべきものに優先順位を付け、その方針に沿って専門家が最適なセキュリティ対策を提案するという取り組み方が健全であることは間違いありません。

中小企業でもセキュリティ対策が必須な理由とは

規模の小さな企業の経営者には、「自分たちが扱う情報は大したものではない。攻撃されても巨額の身代金を支払う能力もないのだから自社が狙われることはない」と勘違いしている人も少なくありません。しかし、こうした考え方は既に通用しません。いまや企業規模や業種を問わず、ビジネスでインターネットに接続しているすべての企業がサイバー攻撃のターゲットになり得る時代なのです。

大企業は強固なセキュリティ対策を実施しているため、最近ではいきなり大企業を狙うのではなくサプライチェーンで繋がった規模の小さな企業を狙う「サプライチェーン攻撃」が報道されることが多くなっています。大企業に対して大規模なランサムウェア攻撃を仕掛けるため、まずはセキュリティ性能が低い企業を狙って攻撃し、そこを踏み台にして最終的なターゲットとなる大企業への攻撃を実行するという手口です。既にサプライチェーン攻撃によって、大手自動車メーカーの生産ラインを停止させるなど日本企業でもさまざまな事例が報告されています。

企業にとって「信頼」はとても重要な資産です。セキュリティ対策を怠った結果、取引先企業に大きな損害を与えてしまった場合、たとえ賠償金を支払って和解できたとしても、企業が信頼を取り戻すことは非常に困難です。それまでと同様の取引を継続してくれる保証はありません。もちろん、関係のない企業からも「あの会社はサイバー攻撃の踏み台になって、他社に損害を与えた企業」という目で見られることになります。事業が継続できなくなってしまうケースも少なくありません。

セキュリティ対策は何から始めるべき？

経営者が最初にすべきことは「セキュリティ対策チーム」を組織することです。当然ですが、チームのリーダーは経営者自身です。少人数でも構いませんが、必ず全社的な取り組みとなるような体制にすることが重要です。

IPAのガイドラインでは経営者が「自社に関連する脅威を把握し、経営者の役割を理解する」や「情報セキュリティに関する基本方針を明確にする」を先に挙げていますが、情報セキュリティにあまり詳しくない経営者にとっては敷居が高いと感じるかもしれません。まずは一緒に相談しながら進められるチームを作る方がスムーズです。

そしてセキュリティ対策チームは、まず基本的なセキュリティ対策として、IPAのガイドラインに記載されている情報セキュリティ5か条を徹底させることから始めるのがおすすめです。

情報セキュリティ5か条

OSやソフトウェアは常に最新の状態にしよう！
ウイルス対策ソフトを導入しよう！
パスワードを強化しよう！
共有設定を見直そう！
脅威や攻撃の手口を知ろう！

もちろん、この5か条はセキュリティ対策のほんの入り口です。当たり前だと感じる人も多いのではないでしょうか。しかし、実際には古いOSのPCがあった、セキュリティのアップデートを怠っていた、ウイルスに感染していることに気付かなかった、パスワードを使いまわしていたなどの理由によるセキュリティ事故は頻繁に報告されています。つまり、この最初の一歩ですら全社的に徹底することは難しく、セキュリティ対策が経営者のリーダーシップによって徹底すべき重要な取り組みであることがわかります。

クラウドサービスを活用しよう

セキュリティ対策チームは、組織を横断して全社的にさまざまな対策を実施していくことになります。主な対策として考えられるのは、次のような内容でしょう。

従業員へのセキュリティ教育
取引先と機密保持契約を締結する
ビジネスに利用するデバイスの管理規定をつくる
クラウドサービスを活用する
ペーパーレス化を推進する

特にお勧めなのは、“信頼できる”クラウドサービスの活用です。自社でオンプレミスのシステムを運用するのを止めるだけでも、セキュリティリスクは格段に低減されます。メールサーバーやファイルサーバーなどのシステムをクラウドサービスに移行すれば、クラウドサービスが提供している高いセキュリティレベルで管理されることになります。システムの管理コストやリプレイスのことを考えると、運用コストの面でもメリットが大きいと言えるでしょう。

なお、ペーパーレス化はセキュリティに関係ないと思われがちですが、実際には大きな影響があります。ファイルであればアクセス制限をかける、アクセスした人をログに遺しておくといった対策が可能ですが、紙に印刷された情報は簡単に持ち出しができてしまうというデメリットがあります。そのため、管理のルールを徹底する必要があり、保管する場合には保管場所を確保しなければなりません。廃棄にも配慮が必要です。「可能な限り紙に印刷しない」というルールの徹底は、単なるコスト削減ではなくセキュリティ向上にも貢献しているのです。