企業のIT化が進むにつれ、情報セキュリティにおけるリスクも増加しており、対策を行う事が重要になっています。中小企業にとっても例外ではありません。情報セキュリティ対策を経営課題として認識して、継続的な対策に取り組んでいく事が企業経営に求められています。
■情報セキュリティ対策の必要性
大企業に比べると中小企業は情報セキュリティに対する意識が低い傾向にあります。まずは経営者が重要性を認識する事が大切です。
・情報セキュリティ上のリスク
情報セキュリティ対策を行っても利益にならないと考えて対策を怠ると、万一情報漏洩などセキュリティ上の事件が起こった場合は、企業に及ぼす不利益は膨大になる可能性があります。しかも、自社のみの影響では済まされず、取引先や顧客にも影響が及ぶ可能性があります。
・情報セキュリティ対策費用はコストでは無く投資
情報セキュリティ対策の費用を、仕方なく支出するコストと考えるとネガティブ思考となり削減する方向に向かってしまいます。しかし、将来、利益を得るための投資と考えるとポジティブ思考となり必要資金を検討する方向に進めることが出来ます。また、情報セキュティ対策を行っている企業は取引先や顧客からの信頼性が向上し、競合他社に対して有利に働き、売上増加につなげていくことも可能です。
・経営課題の1つとして認識する
情報セキュリティの事件が起こった際は経営に与える影響がとても大きいことからも、情報セキュリティ対策は経営課題の1つとして認識する事が重要です。
■様々な脅威やリスク
情報セキュリティ対策の為には、どのような脅威やリスクがあるか知っておくと、より意識が高まります。ここではトピックスをいくつかご紹介いたします。
・狙われる中小企業
大企業に比べて中小企業は情報セキュリティ対策が不十分な企業が多い傾向にあります。サイバー犯罪者はわざわざ難敵な大企業よりも、守りの甘い中小企業をターゲットに攻撃します。
・金銭目的の犯罪
近年は金銭目的のサイバー犯罪が主流です。例えばパソコンがウイルスに感染すると全データが暗号化され、金銭を払わないと重要な情報が二度と見られなくなる身代金要求型ウイルスがあります。たとえ金銭を払っても暗号化が解かれる保証はありませんし、一度金銭を払ってしまうと、今後もターゲットにされ続けてしまいます。
・情報漏洩は内部要因が多い
情報漏洩で多い原因は内部要因です。意図的に機密情報を流すよりも、過失による場合が多くあります。例えば、誤操作で別会社の人に社外秘のメールを送信したり、社内情報が入ったノートパソコンやスマートフォンを紛失したりしてしまうことが挙げられます。
・被害者から加害者へ成り得る
企業の顧客情報が流出してしまうと、その企業は被害者ですが、顧客からするとその企業は加害者に見えてしまいます。また、サイバー犯罪者に社内ネットワークへ侵入されてしまうと、社内のパソコンが踏み台にされて、そこから外部へ攻撃が行われる事もあります。この場合、外部から攻撃された側からすると侵入された企業を加害者と見なしてしまいます。さらには侵入された企業が犯罪者の濡れ衣を着せられてしまう可能性もあります。
・今後増加が予想されるサイバー犯罪
今後、IOTを狙ったサイバー犯罪の増加が予想されています。ここで、IOT(モノのインターネット)とは様々なモノ(物)がインターネットに接続されて、情報交換する仕組みの事です。例えばネットワークカメラが乗っ取られてしまうサイバー犯罪が挙げられます。技術が進化するにつれて、その技術を悪用した犯罪も増加する為、情報セキュリティ対策も適時見直していく必要があります。
■情報セキュリティマネジメントと情報セキュリティポリシー
情報セキュリティ対策を行うためには情報セキュリティマネジメントを実施する事が有効です。これは企業が情報セキュリティの確保に組織的・体系的に取り組み、PDCAサイクルによって継続的に改善していく事です。
・計画(Plan)
企業の情報資産を洗い出し、情報セキュリティについて総合的・体系的かつ具体的に取りまとめた情報セキュリティポリシーを策定します。
・実施(Do)
計画を元に行動や対策を実施します。
・評価(Check)
実施結果や問題点などを踏まえて評価します。
・改善(Action)
評価の内容を参考に改善していきます。
情報セキュリティマネジメントで重要な点は、経営者がリーダーシップをとって対策を進めていく事です。
■最後に
情報セキュリティ対策が重要とは分かっても、人的資源が限られる中小企業ではなかなか手が回らないという経営者の方もおられるかと思います。
そのような時にはぜひKSFへご相談ください。
中小企業診断士 厚綿 大輔