中小企業のセキュリティ対策とは?
著者:森島 秋輝(もりしま あきてる)入社以来、フルオーダーシステムの提案営業に従事しております。
お客様の困りごとに寄り添った、業務ヒアリング、要件定義、システム提案を一気通貫でご支援させていただきます。
システムを導入いただいたお客様は、製造業以外にも建設業、不動産業、染色整理業、運送業等、多岐にわたります。
こんにちは。SI事業部 営業課の森島と申します。
パッケージシステムだけでなく、オーダーメイド受託システムの提案営業を全国で行っております。
今回は「中小企業のセキュリティ対策」についてお話しいたします。
1.中小企業の現状
現在、中小企業においても、各個人がメールアドレスを保有して取引先とやり取りを行ったり、クラウドシステム利用の増加等で、常時インターネットに接続している環境が多くなってきました。
機密情報のデータやり取りや、保管についても一般的になりつつあります。
また、コロナ禍における在宅でのリモート勤務やWeb打合せ等、従来の働き方から大きく変わってきている部分が多くあります。
こういった急激な変化から、セキュリティリスクは大幅に増加しているにも関わらず、認識や対策が進んでいない企業がほとんどというのが現状です。
正しくセキュリティの脅威やリスクを認識し、的確な対策を打つことが自社を守るための責務です。
2.セキュリティの脅威とリスク
セキュリティの脅威とリスクについてご紹介いたします。
脅威には「外部要因による脅威」と「内部要因による脅威」があります。
外部要因による脅威としては、大量のデータを送り付けサーバダウンさせるDDos攻撃、Emotetのように正規のメールを装って取引先にランサムウェア(データ暗号化プログラム)を送信・感染させ、解除を条件に身代金を要求する攻撃や、サイト等に潜ませたウイルスに感染させ、悪意を持ってサーバ内の情報や個人情報、Web閲覧履歴を取得して外部に送信するスパイウェア等があります。
こういった攻撃を受けると、システムが利用できなくなったり、全データの消失や個人情報の流出といったリスクが発生します。
内部要因による脅威としては、内部不正による機密情報や個人情報の持ち出し、不注意からの情報漏洩、持込パソコンのネットワーク接続によるウイルス感染等があります。
こちらも外部要因と同じようにシステムが利用できなくなったり、情報流出、社会的信用の低下等のリスクが伴います。
3.ITツールの紹介
そういったセキュリティへの脅威やリスク対策用のITツールをご紹介いたします。
ウイルス対策ソフト
各パソコンにインストールを行い、ウイルスやスパイウェア等の対策や迷惑メール、サイト閲覧制限の対策、ネットワーク保護等が可能で比較的浸透しているソフトウェアです。適切に契約することで定義ファイルが自動更新され、最新のウィルスにも対応できます。
UTM
社内とインターネットの間に配置し、複数のセキュリティ機能(ファイアウォール、侵入検知防止、ウイルス対策、Webフィルタ等)を有したハードウェアとなります。社内パソコンが常時インターネットに接続されている状態であれば、導入をご検討いただくことが望ましいと思います。
EDR
従来のセキュリティソリューションは侵入や攻撃を事前に防ぐことを目的としているため、昨今の巧妙化したサイバー攻撃を100%阻止することが難しくなってきているのが現状です。これに対応する製品としてEDRが広まりつつあります。EDRは侵入される可能性があることを前提に侵入後の通信のログを分析し、被害の拡大を防ぐことを目的としています。
IT資産管理ソフト
社内ポリシーにしたがって、各パソコンのIT資産情報の収集、ソフトウェアの配布、操作ログの収集、アプリ利用、USB制限等を行うソフトウェアです。一元管理によるセキュリティや内部統制の強化、社内不正の抑止力となりますので、機密情報や個人情報を多く扱う企業では必要です。
上記のように情報セキュリティ対応のソフトウェアやハードウェアはパッケージ化されていますので、用途に合わせて導入を検討することができます。
4.セキュリティアセスメント
とはいえ、セキュリティの脅威やリスクについて把握できたとしても、中小企業において自社に内在する具体的な脅威やリスクについて分析し、対策案を立てることは困難です。
「独立行政法人情報処理推進機構セキュリティセンター IPA」が公開している中小企業の情報セキュリティガイドラインを参考に、自社の情報セキュリティへの取り組みの骨子を定めた上で、外部団体のコンサルティングを依頼することをお勧めします。
自社にプロジェクトチームを立ち上げ、外部コンサルタントと協議しながら、自社の現状に合わせた基本方針や社員への教育方法、セキュリティ規定を作成していくのが望ましいと思います。
サイバー攻撃等のニュースを他人事として捉えるのではなく、自社の目指すべき方向性を定め、不測の事態に備えておき、セキュリティ被害に遭われないことを祈願しております。