まったなしのセキュリティ対策、中小企業は何からやるべきか

更新日:2017年06月25日 | 公開日:2017年06月25日

まったなしのセキュリティ対策、中小企業は何からやるべきか

セキュリティ対策については、考えられる対策を網羅的に行うことが大切です。
つまり「最近テレビで話題になった○○攻撃」や、「同業他社のサイトが受けた○○攻撃」といったものに慌てて対策を立てたりしてもあまり意味がありません。

たまたま話題になっていたり、同業他社が被害にあったりしたこととはまったく関係なく、脆弱性のある部分を無差別に攻撃するのがインターネットのクラッキングの特色ですので、偏ったセキュリティ対策をするのではなく、網羅性を持った抜本的なセキュリティ対策こそが唯一の正しい対策なのです。

また「セキュリティ対策は知名度の高い大企業が取り組むべき課題であり、世間的にあまり知られていない中小企業は、なかなかそこまでできないのもしょうがない」という考え方は残念ながら通用しません。
中小企業であるからこそ、いったん失ってしまった信用を回復するのには非常に困難が伴うということもあります。

この記事では、中小企業にとってまったなしと言えるセキュリティ対策について全社的な取り組みの必要性を理解してもらい、「情報管理責任者」がリーダーシップを発揮して行うべき自社のセキュリティ対策の具体的な指針を提供したします。

中小企業のための情報セキュリティ対策の基礎

情報セキュリティ対策の具体化の必要性

企業のインターネットセキュリティ対策というと、公開しているwebサーバーのセキュリティ対策を思い浮かべる人も多いと思います。
確かに顧客や取引先との接点としてwebサーバーのセキュリティを守ることはプライオリティの高い対策です。

しかし、セキュリティ対策はそれだけではありません。
セキュリティ対策では、企業の持つ情報すべてが対象となります。
つまり、webサーバーとは連動していない「顧客情報」や「販売情報」ファイル、電子メールの内容、データがぎっしり詰まっている社員のノートパソコン、CD-ROMやUSBといった記録媒体などがすべて含まれます。

セキュリティ対策の基準として「情報セキュリティ製品・システム評価基準」(ISO/IEC15408)や「情報セキュリティマネジメントシステムの認証基準」(ISO/IEC27001)といった国際基準がありますが、中小企業の社内向けシステムや社外向けシステムの改善ポイントはなかなかつかめません。
そこで、まず中小企業が情報セキュリティを考えるときの3つの柱として、企業の保持する情報を「機密性」「完全性」「可用性」の観点から整理します。

企業の持つ情報価値
  • 機密性
    機密性(Confidentiality)とは、許可された者だけが情報にアクセスできるようにすることです。
    許可されていない利用者は、コンピュータやデータベースにアクセスすることができないようにしたり、データを閲覧することはできるが書き換えることはできないようにしたりします。
  • 完全性
    完全性(Integrity)とは、保有する情報が正確であり、完全である状態を保持することです。
    情報が不正に改ざんされたり、破壊されたりしていないことを指します。
  • 可用性
    可用性(Availability)とは、許可された者が必要なときにいつでも情報にアクセスできるようにすることです。
    つまり、可用性を維持するということは、情報を提供するサービスが常に動作するということを表します。

企業や組織においては、保有する情報資産の特質をよく検討して、機密性、完全性、可用性のバランスを考慮しながら情報セキュリティ対策を行うことが大切です。

「機密性」「完全性」「可用性」を確保する方法

情報の「機密性」「完全性」「可用性」を確保するためには、まず「情報セキュリティポリシー」を策定することが必要となります。
と言っても、法律の条文のようなルールを作っても現場では誰も使ってくれません。
現場で日々遵守してもらえる「情報セキュリティポリシー」を策定するためには、情報セキュリティマネジメントのPDCAサイクルを回すことが必要です。

情報セキュリティポリシー策定に必要なPDCA
  • 計画(Plan)
    セキュリティの対象となる全情報を洗い出し、それぞれの情報に対するリスクと課題を整理します。
    そして優先順位を付け、自社にとって最適な「情報セキュリティポリシー」を作成します。
    作成にあたっては「機密性」「完全性」「可用性」がすべて満たされていることを常に意識しましょう。
  • 導入・運用(Do)
    作成した「情報セキュリティポリシー」を社内の全職員に対して通知します。
    このとき、インターネット関連の部署やグループだけを対象にせずに、必ず社員全員に対して周知徹底することが大切です。
    知らせるだけでなく、必要に応じて、集合研修などの教育が必要な場合も出てくるでしょう。
    社員・職員が情報セキュリティポリシーに則って行動することで、目的とする情報セキュリティレベルの維持を目指します。
  • 点検・評価(Check)
    導入後に「情報セキュリティポリシー」が現場にきちんと浸透しているか常に確認していきます。
    チェックの基準としては情報の「機密性」「完全性」「可用性」の遵守ができているかどうかとなります。
    チェックした状況は常に記録に残しておきます。
    必要なファイルがどこかにいってしまったりして「完全性」が損なわれていないかどうか、また権限のある人が定期的にパスワードを変更した際、その情報を関係者に伝えていないなどの理由で必要な情報にアクセスできないという「可用性」についても常にチェックしていきましょう。
  • 見直し・改善(Act)
    点検・評価の内容を参考にして、「情報セキュリティポリシー」の見直し・改善を行います。
    「機密性」に関しては情報セキュリティポリシーを作成した当初は情報資産に対してアクセスできる人とできない人が明確なのです。
    しかし時間が経つにつれて情報アクセス権限を持っている人が持っていない人に対して「パスワードを教えるから、あのファイルコピーしておいて」など、基準が崩れていく傾向にありますので特に注意してください。

ここまでで、中小企業が組織全体としてセキュリティ対策にどのように関わるべきかを整理しました。
先程指摘いたしましたように、大切なのは、「情報セキュリティポリシー」をインターネット関連の部署やグループだけを対象にせずに、必ず社員全員に対して周知徹底することです。

ただし、セキュリティ対策を推進するリーダー(情報管理責任者)は必ず必要になってきます。
最終的に情報管理責任者がこれらの対策についてリーダーシップを取り、責任を負わなければ社内全体のセキュリティ対策を滞りなく進めることはできません。

次に、その「情報管理責任者」の役割を整理していきます。
ここでは対策の方法を大きく「技術的対策」「組織的対策」「物理的対策」に分けて解説します。

情報管理責任者の役割

【技術的対策】

ソフトウェアの更新

ソフトウェアは最初にインストールしたあとにも適宜バージョンアップが行われます。
これはソフトウェアの機能的な性能アップによるバージョンアップもありますが、それだけではありません。
製品のリリース時には見つかっていなかった脆弱性が発見されたり、新しいウイルスが見つかったりしたことに対するバージョンアップ措置ということもあります。

ソフトウェアのバージョンアップを機能的なものだと考えている場合には「導入したばかりだし、次々と新しい機能なんていらない」という間違った判断をしてしまいがちです。
バージョンアップの通知が来たら、セキュリティ的なアップデートが含まれていないかどうかをきちんとチェックして、必要な更新作業を行うことは「情報管理責任者」の大切な役割です。

ウイルス対策

社員が使うノートパソコンには配布時に必ずウイルス対策ソフトを導入するようにしましょう。
また、自社で公開しているwebサーバーや普段社員がアクセスしてきているファイルサーバーなどは外部からのウイルスが侵入しやすい温床となります。
いったんウイルスに感染すると、社内の情報資産の「機密性」「完全性」「可用性」が一気に崩れてしまうだけでなく、社内のネットワークを踏み台として取引先や、顧客などの一般ユーザーに被害を拡大してしまう可能性もありますので、注意してください。

外部からのサイバー攻撃

ウイルス対策は人間に対する風邪や感染症などのように、パソコンのなかの実行ファイルなどに侵入する病原菌に対する対抗策です。
それとは別に、ハッカーなどの人間の手によって外部から不正侵入をしてファイルを盗み出したり、webサイトを攻撃して閲覧不能にしたりするなどの「サイバー攻撃」も企業のセキュリティにとって重大な脅威となります。

外部からの不正なアクセスを遮断する方法として最も一般的なものは「ファイヤーウォール」を設置することです。
ファイヤーウォールは「防火壁」のことで、オフィスビルなどで火事が発生したときに火の手が回るのを防ぐ階段付近にある金属の重い扉と同じく、不正なアクセスで情報資産が毀損されないように不正アクセスをシャットアウトします。

しかしファイヤーウォールの設置はサイバー攻撃を防御するための最低限の手段であり、これだけで外部からのサイバー攻撃を防ぎ切ることは不可能です。

■ パーミッションを正しく設定する

「パーミッション」とは、自社の所有するファイルや、ファイルを格納しているフォルダ(ディレクトリ)へのアクセス権限です。
企業で管理するファイルには、外部のインターネットユーザーにもすべてオープンに公開されているファイルからもあれば、特定の部署の特定の人間しか閲覧できない機密性の高いファイルもあります。
そうしたファイルやフォルダに対してアクセス権限を正しく設定しておけば、ファイヤーウォールを突破して不正アタックを試みたとしても「権限なし」ということでセキュリティが保たれます。

■ 公開webサイトのSQLインジェクションへ対策

ファイヤーウォールですべてのアクセスを遮断してしまうと、webサイトなどの一般に広く公開したい情報までもアクセスができなくなってしまいます。
これはセキュリティ対策としてやり過ぎで、必要なサービスはサイバー攻撃対策を取りながら外部に公開していく必要があります。

公開用の情報として代表的なのがwebサイトですが、多くのwebサイトではお客様からの問い合わせや各種資料請求などで「フォーム」を使った窓口を開設しています。
また物販サイトを運営している場合も、ユーザーの個人情報を入力してもらうなどの「フォーム」が設置されています。
このフォームを経由して不正なデータベース操作を意図した悪意のある命令文を紛れ込ませる(インジェクション=挿入する)ことが可能です。

こうしたお客様との窓口として公開されている部分をファイヤーウォールでふさいでしまうと、確かに不正なコマンドのインジェクションはなくなりますが、問い合わせや資料請求、販売などのサービスができなくなってしまいます。

「フォーム」を悪用した攻撃の代表的なものは「SQLインジェクション」と言いますが、これについてはソフトウェアなどで簡単に対策が立てられません。
webサイトを作成してくれた業者にフォーム部分のセキュリティ対策がどのようになっているかを確認して、必要であれば対策を依頼してください。

■ ファイヤーウォールや侵入防止システム(IPS)の導入

ファイヤーウォールを設置していても、サイバー攻撃を仕掛けてくる悪意のあるユーザーはあとを絶ちません。
最初はブロックされていた社内のシステムも繰り返しサイバー攻撃を受けるうちに徐々に脆弱性が発見されて最終的にファイヤーウォールを突破されて不正侵入を許してしまう、ということもあり得ます。

そうした執拗な攻撃に対しては、不正な通信をブロックしたり、実際に行われた不正アクセスの記録を取ることができるファイヤーウォールや侵入防止システム(IPS)を導入することが必要です。
IPSはサーバーとインターネットとの通信内容を監視して不正侵入やサーバーへの攻撃を発見してサイバー攻撃を未然に防ぎます。

安全な無線LAN利用の管理

最近ではオフィスでのパソコン接続に無線LANを利用するケースも多くなりました。
しかし無線LANは便利な一方で通信内容の傍受(盗聴)や不正利用、アクセスポイントのなりすましなどの危険性が存在します。
社内限定で使っている場合にも情報セキュリティポリシーや利用規定によって、ルールを明確化することが重要ですが、外部に対してネットワークを不用意に公開しないように無線LANルーターの初期設定には注意しましょう。
新たに無線LANルーターを導入する場合には、「IEEE802.1X 認証」への対応など、セキュリティ機能を強化した無線LAN機器を選ぶとよいでしょう。

現在無線LANでは「WPA方式」「WPA2方式」による暗号化が普及していますが、「WPA2」のほうがより強固な暗号化方式となっています。
また、クライアント端末の設定画面ではいまだに「WEP」という暗号化方式が選択メニューとして出てくる場合がありますが、セキュリティ規格としては過去のものなので使わないようにしましょう。

ログの適切な取得と保管、分析

外部からの不正侵入や内部での不適切なファイル閲覧などは、ログをきちんと取るようにして定期的に監査することが必要です。
外部からの不正アクセスやウイルス感染、組織内部からの情報漏えいなどの日常的な運用のルールから外れた行動は、ログとしてシステムが記録し保存することができます。
ログが取ってあれば、万が一セキュリティ的な問題が発生した場合でも、被害状況や影響範囲の調査などが迅速に行えます。

また、セキュリティ問題にまで至らなくても、外部からの不正アクセスや内部からの情報漏えいなどの兆候をログの中から見出すことが可能です。ログをきちんと取得して保管、分析することで大事に至らない前に有効な対策を取ることに役立てましょう。

代表的なログの種類と内容
  • ファイヤーウォールを通過した/拒否されたログ
  • 侵入検知システム(IDS)や侵入防止システム(IPS)のログ
  • ファイルサーバーへのアクセスのログ
  • 誰がファイルを参照、編集、削除したかなどのログ
  • 認証の成功や失敗のログ
  • webサーバーのアクセスログ
  • データベースサーバーのログ
  • アプリケーションの正常終了、異常終了などのログ

ほかにもさまざまなログがありますが、すべてのログを取る必要はありません。
自社にとって必要なログの種類と内容を洗い出し、定期的に監査するようにしましょう。

セキュリティ診断と脆弱性対策

現在稼働しているwebサーバーやデータベースサーバー、ファイルサーバーなどが、セキュリティ的に問題ないかどうか診断してみると課題点や、脅威の度合いが把握できます。
セキュリティ診断を行うためには、専用のソフトを使って自分で解析する方法や、セキュリティ診断を専門に行う業者に依頼してレポートを提出してもらう方法などがあります。
診断を依頼してレポートを提出してもらったあと、実際にセキュリティ的に問題のある箇所を修復するサービスを手がけているところもあります。
一度もセキュリティ診断サービスを受けたことがないという場合、修復サービスを一緒に提供している業者に依頼して、自社のシステムの脆弱性に関する対策をしたほうがよいでしょう。

【組織的対策】

ユーザー権限とユーザー認証の管理

社長と社員数人などのこぢんまりとした会社を別にすれば、中小企業でも、社内のネットワークを利用するユーザー数はそれなりの規模になります。
社内で管理する情報を、すべての社員に対して完全にオープンにするのではなく、個々のユーザーごとに適切な権限を設定する必要があります。
情報資産の「可用性」をきちんと満たすためには、すべての利用者にすべての権限を与えるのではなく、誰にどんな権限が必要なのかをきちんと整理した上で、必要なユーザーにのみ最低限のアクセスを許可することが大切です。
こうすれば、「ファイルに接続できない!」などの可用性の問題を訴えてきた社員に対し、その社員の権限を確認した上で適切な処理を施すことが可能です。

サーバー管理者には、アドミニストレータ(管理者)権限が、データベース管理者の場合には、データの登録や削除の権限、読み取りの権限、プログラムの実行権限などが必要となりますし、部署ごとに課長の権限、係長の権限、リーダーの権限などもあります。
必要なユーザーが必要な情報にのみ接するという原則に従っていれば、内部からの情報漏えいリスクも抑えていくことが可能です。

社員の不正対策

インターネットセキュリティの問題が発生するのは、「外部のネットワークから不正にファイヤーウォールをくぐり抜けて、遠隔から攻撃を行う」という通念があります。
しかし、実際にはそうしたケースに加えて会社の内部から重要データを外に持ち出すというケースも頻繁にあります。
言うまでもありませんが、会社の内部に反抗者がいる場合には、いくら時間とコストをかけて不正アクセスを防止するセキュリティ対策を施してもすべて無効になってしまいます。

内部の不正による情報流出などの被害を減らすためには、すべての社員や職員に必要最小限の権限を設定したユーザーアカウントを配布することが大切です。
こうしておけば、責任者以外には社外に持ち出す価値のある重要データにアクセスすることができませんし、それでも情報流出が起きてしまった場合には誰がやったかを特定することも容易になります。

一般の社員から内部情報が流出する例として、会社から支給されたノートパソコンから社内のネットワークにアクセスをして重要データをノートパソコンや記録メディアにコピーし、それを社外に持ち出すというケースがあります。
まずは、権限のない社員が重要情報にアクセスできないようにするとともに、社外にノートパソコンや記録メディアを持ち出すときには、どんな内容をどんな目的で持ち出すのかを報告させ、中身を検証することも有効です。

定期バックアップの必要性

企業におけるバックアップが必要な領域は、大きく分けて2つに別れます。
ひとつは個人が使用するパソコンやノートパソコンのバックアップです。社員任せにしてしまっている企業も多いのですが、バックアップすべき情報の範囲の指定やリストアップ、バックアップの頻度などにつき、きちんとした指導も必要です。

もうひとつは、webサーバーやデータベースサーバー、ファイルサーバーなど、社員や外部の一般ユーザーがアクセスしてくる大元のデータです。
各種サーバーに保存されている共有データは、情報管理責任者が責任を持ってバックアップしなければなりません。
サーバーのバックアップを実行するためには、OSに装備されているバックアップユーティリティを利用すると、指定した時間ごとに自動的にバックアップを取ってくれます。
ただし、グラフィカルで分かりやすいGUIで管理画面が提供されていない場合も多いので、そうした場合には専用のバックアップソフトを利用することを検討しましょう。

ソーシャルエンジニアリング対策

「ソーシャルエンジニアリング」とは、パスワードなどの重要な情報を、ネットワーク経由ではなく人間経由で盗み出す方法です。
人間経由というとイメージが湧きにくいかもしれませんが、要するに社内のユーザーに対して重要情報を出させるように仕向けることです。
と言っても刃物を持って脅すなどの方法ではなく、人間心理のすきを突いた方法で実行します。
その例をいくつか把握しておきましょう。

■ 電話、メールでパスワードを聞き出す
「今、客先でどうしてもお客さんにうちの製品の詳細を見せたいのだけど、パスワードを忘れてしまった。
大事な商談なので、すぐ教えて欲しい」などのメッセージを電話やメールを通じて情報管理責任者に対して伝えます。
また、逆に情報管理責任者(の代理人)になりすまして、「セキュリティの見直しでパスワードのリセットが必要になったのだが、あなたのパスワードだけ不明なので教えて欲しい」などと偽のメッセージを伝えます。

これらのメッセージを送ってきた相手の本人確認をすればまったく問題はないのですが、「客先で緊急」とか「リセットが必要だがあなたのパスワードだけ分からない」などの人間心理のすきを突いてくるので、ついその場の雰囲気で教えてしまうケースがあります。

対策としては、理由を問わず電話やメールでパスワード関連の重要な伝達は行わない、としておくことがベストです。

■ ショルダハッキング
肩越し(背面)からパスワードを打ち込んでいるところを盗み見て、パスワードをハッキングする方法です。
非常に原始的な方法ですが、会議室などで隣に社外の人間がいたりする場面では注意するように社員に促す必要があります。
ノートパソコンの画面の隅にパスワードを書いた付箋紙を貼っておくなどはとても危険なので、社員に徹底しましょう。

■ トラッシング
トラッシュ(ゴミ箱のゴミ)を漁ることを指します。
ゴミ箱に捨てられた機密性の高い資料(パスワード変更の伝達書)などをシュレッダーにかけずにゴミ箱に捨てた場合、ゴミ焼却所に行くまでの経路で悪意ある人間に情報が取得される可能性があります。
パスワードのほかに、サーバーやルーターなどの設定情報、ネットワーク構成図、IPアドレスの一覧などは関係者の間で会議中配布されることもありますので、情報の流出が懸念されます。
そのまま不用意に資料を捨てることはないとしても、他のゴミと一緒に紛れてゴミ箱に入ってしまう場合もあるでしょう。
そうしたケースがあり得ることを周知徹底してください。


このほかに、業務上のメールを装うなどの手法も報告されています。
社内のシステムが、通信している2人のユーザーの間に第三者が介在し、送信者と受信者の両方になりすまして、ユーザーが気付かないうちに通信を盗聴したり、制御したりする「中間者攻撃」などを受けてしまった場合、攻撃を仕掛けた悪意のあるユーザーが会社の重要人物になりすまして、情報を引き出すなどもあり得ます。

こうした攻撃は、ネットワークの不備と人間心理のすきの両方を利用した手の込んだ方法であると言えるでしょう。

クラウドサービスでの対策

クラウドサービスは、社内のネットワークから社外のアプリケーションサービスプロバイダー(ASP)が提供するサービスを利用します。

ASPは堅牢なデータセンターなどに自社のシステムを構築して一般ユーザーに提供しているケースが多いのですが、サービスやセキュリティの品質は各社まちまちです。
そのため、クラウドのASPサービスを利用する際には、事業者が下記のような情報セキュリティ対策を継続して適切に行っているかどうかを確認することが必須です。

ASPに求められるセキュリティ対策
  • 災害対策や外部侵入対策
  • 適切なデータバックアップとリカバリ体制
  • ハードウェア機器の障害対策
  • 提供するアプリケーションの脆弱性対策
  • 不正アクセス防止対策
  • 各種ログの管理
  • 通信の暗号化対策

これらの対策を十分に行っていることがそのASPの選定条件となるのは言うまでもありません。さらにそうして社内やASPのセキュリティ対策が完璧にされていたとしても、社内からASPまでのネットワーク経路に脆弱性があった場合には、伝達途中で情報が抜き取られてしまう可能性があります。

途中のネットワーク経路の安全性を高めるためにはSSLやTSLを使うのが一般的ですが、提供するサービスのレベルは3段階あることを知っておきましょう。

SSL/TSLの3段階のレベル
  • ドメイン認証型SSLサーバー証明書
    ドメインの使用権を持っているかどうかだけを機械的に処理してすぐに発行されるSSL証明書です。
    当然悪意のあるユーザーもドメイン自体は自由に取得できますので、信頼性は最も低くなります。
  • 企業認証型SSLサーバー証明書
    SSL/TLS通信を行っている会社の実在性を認証するSSLサーバー証明書です。
    帝国データバンクなどの信用情報調査機関の持つ情報照会や、申込者への電話による確認などを行うことから、認証強度が強く、高い信頼性があるとされています。
  • EV SSL証明書
    「CA/ブラウザフォーラム」という主要なブラウザベンダーと認証局で構成される団体が策定した「EVガイドライン」に基づき、企業認証型SSLサーバー証明書以上に厳格な実在性確認を行います。
    このレベルの審査を通過したwebサイトは、アクセスしたときにブラウザのバーが安全を示す緑色に変化します。

クラウドサービスを利用するときには、クラウドサービス会社のインフラのセキュリティを確認するとともに、途中経路の安全性を示すSSL/TLS通信の証明書がどのレベルで提供されているかもチェックしましょう。

SNSを利用する際の対策

SNSは企業と消費者を結ぶコミュニケーション手段として広く使われていますが、ユーザーの自由なコミュニケーションに任せている分、不適切な発言が流されたり、ユーザー同士が喧嘩をしたりするいわゆる「炎上」を引き起こしやすいメディアとしても認知されています。

実際に世界的な一流ブランドのFacebookページでも過去に何度も炎上事件が起きており、SNSは企業と消費者の信頼関係を醸成するのに欠かせないツールであるとともに、不用意に使ってしまうと企業のブランドイメージを毀損してしまう事態にも発展しかねません。

炎上対策については、自社の主催するSNSで24時間どんなコミュニケーションが生じているのか監視することは現実的ではありません。
しっかりとした運営方針を示したあと、監視が必要であると判断した場合には、炎上監視サービスを利用することをおすすめします。

「機械監視」といって不適切なキーワードなどが検知されたときに契約者に通知するサービスと、人間の目で不適切な発言がないかを監視する「有人監視」があり、料金的なプランにも各社で差があります。

【物理セキュリティ】

サーバーの設置場所と管理体制

サーバーを物理的に設置する場所については、最初に十分に考えておく必要があります。
自社内に置く場合には専用のサーバールームや、情報システム部書に近接したスペースなどが考えられますが、その際に外部の人間が入れないような物理的なセキュリティを考慮する必要があります。

インターネットのセキュリティ問題というとネットワークからの侵入や情報漏えいを連想しますが、それ以外にも物理的にサーバーを持ち出したり、サーバールームに侵入して情報を記録メディアにコピーして持ち出したりするなどの方法も、インターネットのセキュリティ問題の範疇です。

また、管理体制としてはサーバーには適切な安全性の高いパスワードを設定し、サーバーのメンテナンスを行ったあとなどは必ずシステムからログアウトした状態にしておくことが大切です。
「サーバールームには関係者以外誰も入ってこられないから大丈夫だ」という根拠のない安心感が、重大なセキュリティ問題を引き起こすきっかけとなってしまいます。

その他、防犯カメラを設置したり室内へ入るときにICカードや生体認証を導入したりするなども有効です。
そして、業者などが出入りする場合はノートへの記載を徹底したり、ICカードや生体認証の場合はログをきちんと管理したりして不正な入退室がないかどうかを常に確認しましょう。

また、中小企業の場合、自社内にそうした厳重な物理的なセキュリティ対策を施すことになかなか予算が避けないという場合もあるでしょう、そのような場合には、物理的なセキュリティがしっかりしたデータセンターなどにシステムをハウジング(自社所有のサーバーを預かってもらう)したり、自社のシステムをホスティング(データセンターが提供するサーバーにシステムを構築する)などの方法も考えられます。

データセンターは地震などにも強い堅牢なラックにサーバーを厳重に保管し、入退室の管理も万全です。
またオプションで災害時のバックアップやリカバリも任せることも可能です。

持ち運び可能な記憶媒体対策

SDメモリなどの記憶媒体は、便利な半面、紛失や盗難の危険性を伴います。
外部に持ち出す記憶媒体や機器の利用は、個人所有のものと混じってしまう場合が多いので、会社で使う記録媒体は会社のデータしか記録させないという情報セキュリティポリシーを徹底しましょう。
また、持ち出す場合には事前申請などのルールを作ることで社員のセキュリティ意識を高めることが可能です。
持ち出したあと帰社したときに許可された記録媒体を紛失していないかどうかをチェックすることで情報の「機密性」「完全性」が保たれます。

スマホなどのモバイル機器の対策

昨今のビジネスシーンでは、スマートフォンを活用することが当たり前になってきています。
一時、従業員が私物の端末を企業内に持ち込んで業務に活用するBYOD(Bring Your Own Device)という仕事スタイルが一部で見られましたが、個人のスマホと会社で所有する情報の境界線が曖昧になってしまうなどのセキュリティ的な問題が指摘されるようになってきています。

社内のデータを外部に持ち運びしやすいスマートフォンの管理に関してはMDM(Mobile Device Management:モバイルデバイス管理)というシステムを使うと、スマホや携帯電話などの情報端末を一元的に管理できます。

端末で利用できる機能を制限するなどの機能のほか、GPS機能を使ってスマートフォンの位置を検索したり、端末のロックや内部データの消去をしたりなど、遠隔操作で情報管理責任者が行うことができる便利な機能もあります。

廃棄するパソコンやメディアからの情報漏えい

セキュリティの物理的対策の盲点となっているのが、廃棄するパソコンやメディアから社内の機密情報が漏れてしまうことです。
ハードディスクの内容を消去せずに廃棄することは、社内の重要な機密をそのまま外部に持ち出しているのと同じです。

また、一般のユーザーがハードディスクをオペレーションシステムから消去しても、悪意を持った第三者が消したはずのハードディスクの内容を復活させることは可能です。

こうしたことがないようにするためには、市販のデータ消去用の専用ソフトを使ってハードディスクの内容を二度と復活できない形で消去するか、専門業者のデータ消去サービスを利用するという方法もあります。
専門業者はたいていハードディスクの内容を消去するだけでなく、不要なパソコンの処分も代行してくれますので便利です。
ただし、業者の選定には注意しましょう。

CD、DVDなどの記憶媒体については、表面に傷をつけて読み込み不能にすることで最小限の対策とはなりますが、より安全性を高めるために記録メディア用のシュレッダーで粉々にしてしまうのがよいでしょう。

中小企業は大企業ほど狙われない、というのは思い込みです!

以上、中小企業が組織として取り組むべきセキュリティの課題を確認し、セキュリティを意識したシステム運営のPDCAサイクルを回すことで、着実に定着させていく方法などについて解説しました。

「あまり知名度もない中小企業の情報などを標的にしたサイバー攻撃が現実に起きるだろうか?」と考えてしまう中小企業経営者の方もいますが、対象はどの企業でもよいという愉快犯はネット上にたくさんいます。

また、いったんセキュリティ的な問題が起きた場合、自社のシステムが稼働しなくなるだけでなく、取引先に迷惑をかけたり、自社サイトに訪れてくれるお客様やユーザーの信用を失ってしまったりというケースもあります。

資本力やブランド力に課題のある中小企業だからこそ、いったんそうした事態に陥った場合、信用を回復するまでにはかなりの時間がかかってしまうのが現実です。
もしこれまでまったくセキュリティ対策を行っていないという場合、文字通り「まったなし」の状態で対策を進める必要があります。

そうした取り組みについて、現場の社員一人ひとりに任せるだけでは成果を上げることが難しいと言えるでしょう。
この記事で解説した「情報管理責任者」のリーダーシップが必要な場面は多岐にわたります。

とはいえ、中小企業が社内に専任の情報管理責任者を配置し、セキュリティ対策をすぐに推し進めていくことも人材的に困難だという現状があります。
そうした場合には、中小企業のセキュリティ対策の実情に詳しい、同じ目線でセキュリティ対策を一緒に進めてくれるアウトソーシング先が必要になってくるでしょう。

セキュリティ診断や、セキュリティ対策のコンサルティング、さらに実際にセキュリティ対策のPDCAを回していくために必要なリーダーシップを一緒に発揮してくれる頼りになるパートナー企業を見つけたい。
そう思ったらぜひ業界の評判に精通した「アイミツ」にお声をおかけください。
信頼できる業者をピックアップしてご紹介いたします。

見積もり、取ってますか?

発注をする際に最も大切なことは適正価格を知ることです。
3~4社から見積もりを取ることで、
発注への納得度を高めることができます。

コンシェルジュ

発注は時間も手間もかかりますよね?

コンシェルジュが解決します!

コンシェルジュに相談、あなたにあった業者を提案、発注の手間を削減!

完全無料

まずはお気軽にご相談ください