中小企業・小規模事業者の情報セキュリティの第一歩

社会全体でITの普及や利活用により経営効率が向上し、IT抜きには語れない世の中となっています。一方で機密情報や個人情報の漏洩、金融機関を語るフィッシングメールによる不正送金の被害などといった情報セキュリティに関する事件・事故が増えています。

したがって、これまで情報セキュリティには無縁だと考えていた中小企業や小規模事業者にとっても情報セキュリティ対策が迫られています。そこで、今回の記事では中小企業・小規模事業者にも情報セキュリティ対策の必要性を理解してもらい、すぐに始めることができる情報セキュリティ対策をご紹介します。

近年の情報セキュリティ事故の増加と高額な経済的影響

2020年度版情報セキュリティ白書によると、2019年度に報道された情報セキュリティインシデントの件数は前年より増加しています。情報セキュリティインシデントの中で最も件数が多いのは「不正アクセス」、続いて「情報漏洩」です。また、「改ざん」は件数こそ最も少ないとされているものの、前年度比で2倍以上に増加しています。

総務省の令和元年版情報通信白書では、情報セキュリティ事故に関する経済的損失が算出されていますが、全世界で6,000億ドルから多いもので22兆5,000ドル、日本国内でも1社当たり数億円の損失が生じるものと算出されています。

中小企業にも無関係ではない情報セキュリティ対策

情報セキュリティ対策は「大企業の話であり、当社は企業規模が小さく、狙われたりすることはない。漏れて困る情報はない」などと他人事に思われてはないでしょうか。そのように思われる原因として、情報セキュリティに関するリスクについて具体的なイメージがわかないということが考えられます。
そこで、次のようなリスクが会社にないか考えてみるといかがでしょうか。例えば取引先から預かった機密情報や個人情報、取引先一覧、設計図、開発情報といったものが漏洩するといったリスクです。

そもそも、日本の企業の99％は中小企業であり、セキュリティ対策の弱い中小企業こそ狙われるリスクがあります。
見慣れない宛先からのビジネスメールを開き、ランサムウェアに感染することも懸念されます。（ランサムウェア：「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせて作られた名称であり、身代金を要求するコンピュータウィルスの一種）。また、外部からの攻撃だけではなく、従業員が機密情報の入ったノートPCやUSBメモリを持ち歩いていたり、デスクの上に重要書類を置いたまま外出したりしていませんか。その場合、それら機密情報の入ったノートPCやUSBメモリを紛失してしまうことも考えられます。

万が一情報セキュリティ事故が発生した場合、取引先から高額な損害賠償請求を求められることが考えられます。さらに取引先や社会から管理責任が問われ、社会的評価が低下し、取引の停止や顧客の喪失につながります。影響はこれだけで終わらず、情報セキュリティ事故の原因調査、拡大防止のために社内システムやインターネットの遮断による業務の停滞、従業員のモラルの低下、個人情報保護法、マイナンバー法、不正競争防止法、金融商品取引法、民法などの法的責任も企業に求められる可能性もあります。

このように、中小企業や小規模事業者にとっても情報セキュリティ事故は身近に起こる可能性があるため、情報セキュリティ対策は必要なのです。

経営者が認識すべき3原則

このように情報セキュリティ事故が身近で起こり、その影響は大きなものであるとわかっていただけたでしょうか。では、どうやって情報セキュリティ対策をしていけばいいのでしょうか。この点に関し、情報セキュリティ対策のプロセスについて、経済産業省やIPA（独立行政法人情報処理推進機構）」が定める「サイバーセキュリティ経営ガイドライン」において、経営者は以下の3原則を認識すべきであるとされているのが参考になります。

1. 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めること。
2. 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策も行うこと。
3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションをとること。

これから行う情報セキュリティ対策は、投資は必要不可欠ではあるものの、中小企業や小規模事業者にとって経営資源は限られている以上、経営者はリーダーシップを発揮して自社に合った情報セキュリティ対策のための経営資源の配分を行うことが必要です。

できることから始める情報セキュリティ対策

中小企業や小規模事業者では、ITやセキュリティに詳しい人材がいないといったことが多いでしょう。そういった場合にはIPAの「中小企業の情報セキュリティ対策ガイドライン」が参考になります。このガイドラインはITにあまり詳しくない人にも理解してもらえるようになるべく専門用語を使わずに説明しています。

まずは「中小企業の情報セキュリティ対策ガイドライン」のどんな規模の会社でも必ず必要な「情報セキュリティ5か条」を実行してください。5か条とは、以下の5つの基本的な情報セキュリティ対策をいいます。

①　OSやソフトウェアは常に最新の状態にする。
②　ウイルス対策ソフトを導入する。
③　パスワードを強化する。
④　共有設定を見直す。
⑤　脅威や攻撃の手口を知る。

会社のセキュリティ状況がよくわからない場合は、従業員と一緒に中小企業の情報セキュリティ対策ガイドライン」の付録の「5分でできる情報セキュリティ自社診断」を行ってみると良いでしょう。25問の簡単な質問に答えていくだけで、自社にとってどういう対策が必要になるかの参考になります。また「5分でできる情報セキュリティ自社診断」には、自社にとって必要な対策についての解説もあるため今後のセキュリティ対策に大いに役立ちます。この「5分でできる情報セキュリティ自社診断」を参考にしつつ、情報セキュリティ管理の体制を構築し、予算の確保、社内の情報セキュリティ規定を作成するなど本格的な取組みを行なっていくとよいでしょう。

「SECURITY ACTION」を宣言する

「SECURITY ACTION」とは、IPA（独立行政法人情報処理推進機構）と、中小企業関係団体が創設した自発的な情報セキュリティ対策を促すための核となる取組みについて、中小企業や小規模事業者が自ら情報セキュリティ対策に取り組むことを自己宣言するという制度です。

「SECURITY ACTION」には、「中小企業の情報セキュリティ対策ガイドライン」の実践をベースに2段階の取り組み目標を用意されています。「SECURITY ACTION」に基づく自己点検と必要な対策を行うことで、ロゴマーク（取り組み状況に応じて★一つ星または★★二つ星）を、ポスター、パンフレット、名刺、封筒、会社案内、ウェブサイト等に表示して自社の取組みをアピールすることで対外的な信頼向上をはかることができます。（ただし、認定制度ではなく、あくまでも自己宣言するものであることにご注意ください。）
なお、IT導入補助金を申請するためには、「SECURITY ACTION」を宣言することが必須要件となっています。

会社として情報セキュリティを意識する

今回は、中小企業がすぐに行うことができる情報セキュリティ対策についてご説明しました。大企業であるか中小企業であるかを問わず、重要な情報を取り扱っているということを意識することが重要であることはいうまでもありません。

ここでいう情報とはITだけではなく、紙媒体での書類のやり取りも含まれます。紙の書類であっても重要な情報が記載されているものは放置せず、不要になればシュレッダーにかけるなど最後まで管理するように努めましょう。

情報セキュリティに関する事件や事故は身近に起こるものであることを従業員全員で意識し、普段から情報セキュリティに関するルールを守ることで重大な事故を起こさないように努めましょう。

情報セキュリティ対策の参考サイト

中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
SECURITY ACTION
https://www.ipa.go.jp/security/security-action/index.html