マーコム・サポーターの椎名です。中小企業や個人事業主のマーケティング活動をサポートする傍ら、ライティング活動も行っています。今回は「中小企業のセキュリティ対策」をテーマに取り上げたいと思います。
セキュリティ対策は企業の大小問わず重要度の高い問題ですが、中小企業では、費用やリソースの問題もあり、対策に手が回らない企業も少なくないようです。しかしながら、サイバー攻撃は大企業だけにあるものではなく、最近は逆に狙われるケースも出ています。
さらに、個人情報保護法が改正となり、中小企業も対象となりました。個人情報の流出は会社の信用を落とすリスクも高いです。内容を把握していない状態で、こうした問題に直面してしまうと対応が遅れにつながり、ビジネスに大きな損失をもたらすリスクがあります。
そこで本記事では、そうした背景を受け、中小企業のセキュリティ対策の現状と必要性、やっておくべき対策について解説します。
この記事の目次
中小企業のセキュリティ対策の現状
サイバー攻撃のトラブルが増えています。警察庁が2022年4月に発表した調査によると、2021年の1年間でランサムウェアの被害が急増しました。2021年の企業・団体における被害件数は146件。このうち下期は85件で、前年同期の実に4倍以上となっています。
同調査によると、最近のサイバー攻撃は企業規模によらず発生しており、実際にランサムウェアの被害にあった企業の過半数が中小企業です。テレワークが普及し、外部からのネットワーク接続が増えた結果、VPN機器の脆弱性から感染するパターンが見受けられるようになりました。
こうした状況は、ランサムウェアに限った話ではありません。情報処理推進機構(IPA)が行ったアンケート調査によると、中小企業の1割はなんらかのセキュリティトラブルを経験しているとのことです。
セキュリティトラブルは、中小企業にとってもはや身近な脅威となっているのです。
中小企業の対策は進んでいるのか?
では、中小企業では対策はどのくらい進んでいるのでしょうか?IPAの調査が2021年度に行ったセキュリティ対策の実態調査によると、中小企業のIT投資はここ3年で増えているものの1/3の企業は投資をしていない状況で、それは以前とあまり変わっていません。運用状況はここ5年で改善するも、セキュリティ製品/サービスの導入は進んでいないという結果となっています。
投資に消極的な理由として、最も多かった回答が「必要性を感じていない」であり、「費用がかかる」を大きく上回りました。また「効果が見えない」という回答も目立っています。
セキュリティ問題は注意しなければならない問題としての認識はあるものの、大企業のようにIT部門があるわけではなく、情報セキュリティの専門知識をもった人材がいないのが現状と思われます。
もし対策しなかったら?主なセキュリティ問題とその影響
ここでは、中小企業でもよくある主なセキュリティトラブルとその被害の影響についてお話します。
3つのセキュリティトラブル
セキュリティトラブルとしては、次にあげる3種類の問題があります。
- 金銭問題
- 信用問題
- 業務問題
「金銭問題」は取引先や顧客からの損害賠償の請求や、不正送金・クレジットカードの不正利用に関する問題です。特に近年被害が急増しているのが「フィッシング詐欺」で、2021年に報告された件数は22万8,227件と、2年前の4倍に膨れ上がっています。フィッシング詐欺は、実在する企業や組織を騙ってメールなどを送信し、偽のホームページに誘導して、クレジットカードや口座番号、IDやパスワードといった情報を入力させるものです。
「信用問題」は、企業取引における顧客やビジネスに関わる機密情報が漏えいすることで企業の信用が失われる問題のことです。サイバー攻撃により、IDやパスワードの情報を抜き取られることで情報漏えいにつながる事例や、個人情報管理の観点からトラブルに発展する事例があります。いずれの場合も問題を起こした企業から顧客が離れていき、取引停止されるリスクが高いため、会社の屋台骨を揺るがしかねない重要な問題です。
「業務問題」は、職場における通常業務に影響する問題です。例えば会社で利用しているコンピューターがセキュリティ被害を受けると、その対策としてサーバーの停止やネット接続の遮断を余儀なくされます。そうすることで、業務に活用しているシステムがダウンし、従業員が利用できなくなってしまいます。オフィスでの業務はこうしたシステムの利用を前提としているため、業務自体が遂行できなくなってしまうのです。
個人情報管理の問題
従来の個人情報保護法は、大企業だけが対象とされていました。しかし、2022年4月に改正されたことにより、中小企業も規制対象となり、法律上でも取り扱いの管理強化が求められるようになりました。
改正個人情報保護法では、個人情報の取り扱いルールがより厳格になり、権利保護が強化されています。具体的には以下の4項目に対するものです。
- 個人情報の取得/利用
- 個人情報の保管/管理
- 個人情報の第三者提供
- 情報開示請求などへの対応
個人情報の取得/利用に関しては、情報取得の際、本人に対して事前に同意を求める手続きが必要になっていました。しかし改正後は、本人だけでなく個人情報保護委員会にも届け出ることが義務付けられました。また、情報の利用に対しても個人が取得した企業側に対し、情報の利用停止を求めたり、データの抹消を要求したりできる範囲が拡大しています。
例えば、メール配信の配信停止要求の際に、この改正法が適用されます。企業が発行するメールに対して、配信停止のリクエストをしたにもかかわらず、その依頼の後でもメールが届いてしまう場合があります。改正法では、ユーザーは、個人データの利用そのものを停止するといった、より強い要求を企業側に請求できるようになります。
また、従来あいまいになっていた第三者提供の情報も、本人が企業側に開示請求できるようになりました。これにより、企業側は、個人情報を外部の企業に提供する際、その記録をとって管理しておく必要が出ています。
個人の購買履歴などの個人関連情報についても、個人情報と紐づけする際に第三者提供に該当する可能性があります。またCookieや位置情報に関しても同様です。個人行動履歴からターゲティングを行う販促プロモーションを行う場合、注意が必要になります。
情報漏えいが起きた際の告知義務も、改正により厳しくなりました。本人への連絡だけでなく、個人情報保護委員会への告知も義務付けられています。漏えいの内容も、サイバー攻撃だけでなく、メールの誤送信やシステム管理における操作ミスによるものも対象です。
最低限やっておきたいセキュリティ対策
ここからは、最低限押さえておきたい基本的なセキュリティ対策についてお話しします。普段からセキュリティ対策をしっかり行っている企業にとってはどれも言わずもがなの内容かもしれませんが、「何をやればよいのかわからない」という方は、手始めにここで解説する内容から着手してみるとよいでしょう。
不正アクセス・情報漏えいに関する対策
不正アクセスや情報漏えいに関しては、IPAが提唱している「情報セキュリティ5か条」から対策するのがよいと思われます。
- OS/ソフトは常に最新の状態にし、こまめに修正プログラムを適用する
- ウイルス対策ソフトを導入し、定義ファイルは自動更新されるように設定する
- パスワードは、長く複雑なものを設定し、複数で使いまわさない
- ネットワーク接続のハードディスク、クラウドサービスなどの共有範囲を限定する
- セキュリティの脅威やサイバー攻撃に関する最新情報を日ごろから収集しておく
参考)IPA 情報セキュリティ5か条
https://www.ipa.go.jp/security/security-action/download/5point_poster.pdf
これらは新しくなにかを検討するものではなく、今すでに使われているものを再確認することで簡単に対応できるものばかりです。
セキュリティ対策に予算を割く余裕がない企業も多いかもしれませんが、今使っているシステムのOSやアプリケーションに標準装備されたセキュリティ機能、無償のソフトを活用するだけでも十分効果的です。大切なのは、お金をかけることではなく、こうした対策をルール化して従業員ひとりひとりが順守できる環境を構築することです。そのための従業員教育も併せて行っておくとよいでしょう。
個人情報/機密保持管理対策について
個人情報や機密情報に関しても、同様に情報保管のルール策定と遵守のための環境づくりを行うことが重要になります。
顧客情報の場合、複数の組織・担当者がバラバラにデータを持っていることが往々にしてあります。その場合、顧客から開示要求があった際に情報収集に時間がかかってしまいかねません。また、同じ顧客の情報が重複して別部門に存在すると、どちらが適切な情報なのかわからなくなります。速やかに対応できるよう、情報の一元管理が必要です。
こうした機密情報の管理は、取引先についても管理する必要があります。ビジネス上の取引先だけではなく、業務委託先についても対応の徹底が求められます。中小企業にありがちなのが、自社のWebサイトやSNSの運用などを外部業者に丸投げして、管理を任せきりにしているケースです。WebサイトやSNSには、Web上での問い合わせなどの顧客情報や、イントラネット上で限定している特定の機密情報などが含まれている可能性があります。こうした外部業者に対しても、秘密保持を要請しておくことが必要があります。
テレワーク対策について
コロナ禍を契機にして、テレワークで業務を行う機会が大幅に増えました。テレワークの環境では、オフィスと異なり、様々な機密情報漏えいリスクがあります。例えば、インターネット上のやり取りでは、第三者によるデータ盗聴のリスクがあります。また個人が所有するPCを利用する場合、個々の従業員が自分自身でセキュリティ対策をしておかなければなりません。
テレワーク環境でオフィスと同じように安全なデータのやり取りを実現するには、ゼロトラストのような概念を導入・検討する必要があります。一方、ゼロトラストはコスト高で導入に長い期間が必要のため、中小企業がまともに取り組むには費用やリソースの面から難しいかもしれません。
基本的には、テレワークにおいても、まず先に示した「情報セキュリティ5か条」に沿った対策でよいと考えられますが、それだけでは安全性に欠ける部分もあります。例えば、パスワードについては、単に長く覚えにくいパスワードを用意しておくだけの対策では不十分です。スマホを使ったショートメッセージサービス(SMS)の受信確認コードによる二段階認証や、指紋や顔などの生体認証を併用した多要素認証を検討することをおすすめします。
まとめ
テレワークが進んでから、サイバー攻撃の問題が増加しています。最近では、企業の大小問わず攻撃の対象になっており、中には対策が弱い中小企業が狙い撃ちされるケースも出ています。また、今回個人情報保護法が改正され、中小企業も規制の対象となり、もはや対岸の出来事ではなく、すぐにでも取り組むべき緊急性の高い事案になっています。
一方、いまだ「必要性を感じない」「費用が捻出できない」など意識レベルが低い企業が目立っているのが現状です。実ビジネスに手いっぱいで「いつ起きるかわからない」セキュリティトラブルに思いをはせる余裕がないのかもしれません。
ただ、情報セキュリティの基本的な対策は、それほどハードルが高いものではありません。大掛かりなツールを導入して専門部隊をあてがわないと対処できないというイメージがありますが、現在使っているシステムに備わっている機能や低コストのツールでも、十分に対策できます。
被害を最小化するために考えるべきことは、従業員ひとりひとりができることから適切に対応していくことです。そのための対策のルール化や、情報共有の場を設けることが、対策の第一歩となるのではないでしょうか?
