目次

  1. 中小企業でも情報セキュリティ対策が必要な理由
    1. 金銭の損失
    2. 顧客の喪失
    3. 事業の停止
    4. 従業員への影響
  2. 経営者が実践すべき対策の7つのステップ
  3. 情報セキュリティ対策の実践編、段階に分けて解説
    1. 情報セキュリティ5か条
    2. 組織的な取り組みを開始する
    3. 本格的に取り組む 委託時の対策も解説
  4. より強固にするための方策 クラウドサービス利用時は?
  5. ECサイトへの攻撃にはとくに注意

 IPAの中小企業の情報セキュリティ対策ガイドラインによると、経営者が情報セキュリティ対策を怠ると、企業は以下のような不利益を被る可能性があります。

  1. 金銭の損失
  2. 顧客の喪失
  3. 事業の停止
  4. 従業員への影響

 ガイドラインによると、取引先などから預かった機密情報や個人情報を漏洩させてしまった場合は、取引先や顧客などから損害賠償請求を受ける場合があります。

 金銭的な損失は、中小企業であっても数千万円に上る可能性があり、一気に経営が傾きかねません。

 重要な情報に関する事故を発生させると、その原因が何であれ、事故を起こした企業に対する管理責任が問われ、社会的評価は低下します。同じ製品やサービスを提供している企業が他にあれば、事故を起こしていない企業の製品やサービスに移る場合があります。

 とくに、大手メーカーのサプライチェーンに位置する企業の場合は、これまで継続してきた受注が停止に追い込まれることにもなりかねないとして注意を呼び掛けています。

 デジタル技術の活用が進む現代社会において、情報システムの事故は、生産活動の遅延や営業機会の損失につながり、事業の停止に追い込まれる可能性があります。特に中核事業を支える情報システムの事故は、企業の存続を脅かす可能性もあります。

 情報セキュリティ対策の不備は、内部不正を容易にし、従業員のモラル低下を招く可能性があります。また、事故発生時に従業員だけが責任を負わされるような状況は、従業員の働く意欲を低下させ、退職につながる可能性もあります。

 IPAガイドラインによると、経営者は、まず「情報セキュリティ対策は経営者のリーダーシップで進める」「委託先の情報セキュリティ対策まで考慮する」「関係者とは常に情報セキュリティに関するコミュニケーションをとる」という3原則を理解する必要があります。

 その上で、以下の7つのステップについて、自ら実践するか、責任者・担当者に対して指示を出していく必要があります。

  1. 情報セキュリティに関する組織全体の対応方針を定める
  2. 情報セキュリティ対策のための予算や人材などを確保する
  3. 必要と考えられる対策を検討させて実行を指示する
  4. 情報セキュリティ対策に関する適宜の見直しを指示する
  5. 緊急時の対応や復旧のための体制を整備する
  6. 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
  7. 情報セキュリティに関する最新動向を収集する

 IPAガイドラインは、具体的な対策を、情報セキュリティ5か条でまとめたうえで、「組織的な取り組みを開始する」「本格的に取り組む」「より強固にするための方策」に分けて解説しています。

情報セキュリティ5か条
情報セキュリティ5か条

 情報セキュリティ対策の第一歩として、IPAは「情報セキュリティ5か条」を提唱しています。

  1. OSやソフトウェアは常に最新の状態にしよう
  2. ウイルス対策ソフトを導入しよう
  3. パスワードを強化しよう
  4. 共有設定を見直そう
  5. 脅威や攻撃の手口を知ろう

 具体的には、パスワードは「長く」「複雑に」「使い回さない」ようにする、データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違って社外からでも見られるようになっていないかなどを確認しましょう。

 最近では、ウイルス対策ソフトを潜り抜けてくるサイバー攻撃も増えているので最新の手口についても常にアンテナを張っておきましょう。

 「情報セキュリティ5か条」に取り組んだら、次は組織全体で情報セキュリティ対策に取り組む体制を作りましょう。

5分でできる!情報セキュリティ自社診断
5分でできる!情報セキュリティ自社診断

 IPAの「5分でできる!情報セキュリティ自社診断」を活用したり、SECURITY ACTIONに参加したりすることも有効です。

 とくに、SECURITY ACTIONは補助金・助成金の案件の申請要件にもなっているので、取得しておくと便利です。

 さらに本格的な対策を実施していく段階では、情報セキュリティ管理体制の構築、緊急時対応体制の整備、情報セキュリティ規程の作成など、より組織的な取り組みが必要となります。また、業務委託を行う際には、委託先における情報セキュリティ対策についても十分に配慮しましょう。

 社内業務の一部または全部を外部に委託したり、レンタルサーバーやクラウドサービス
などの外部サービスを利用したりすることが一般的になっています。重要な情報を渡したり、処理を依頼したりする場合には、委託先にも情報セキュリティ対策を実施してもらう必要があります。

 委託先の対策不足で事故が起きた場合には、委託元は管理責任を問われてしまいます。直接指示することが難しい外部の組織に、対策を実施してもらうには、取引条件のひとつ
として契約書や覚書などに具体的な対策を明記しておきましょう。

 サイバー攻撃はどんどん進化していきます。それに伴って、情報セキュリティ対策もアップデートが必要です。

 最新の脅威情報や技術動向を把握し、必要に応じて対策を見直していくことが重要です。ガイドラインは、ウェブサイト、クラウドサービス、テレワークなど、様々な分野における情報セキュリティ対策についての情報を提供しています。

 たとえば、ガイドラインは中小企業のためのクラウドサービス安全利用のための15項目を紹介しています。

  1. どの業務で利用するか明確にする
  2. クラウドサービスの種類を選ぶ
  3. 取り扱う情報の重要度を確認する
  4. セキュリティのルールと矛盾しないようにする
  5. クラウド事業者の信頼性を確認する
  6. クラウドサービスの安全・信頼性を確認する
  7. 管理担当者を決める
  8. 利用者の範囲を決める
  9. 利用者の認証を厳格に行う
  10. バックアップに責任を持つ
  11. 付帯するセキュリティ対策を確認する
  12. 利用者サポートの体制を確認する
  13. 利用終了時のデータを確保する
  14. 適用法令や契約条件を確認する
  15. データ保存先の地理的所在地を確認する

 とくに情報セキュリティに気を配る必要があるのが、ECサイトです。IPAによると、ECサイトは、世界中から絶えずサイバー攻撃にさらされています。

 そのため、中小企業がECサイトで取り扱うクレジットカード情報や個人情報・仕入先情報などの漏えい事件が多数発生しています。カード情報を「非保持化」だけでは解決とはならず、偽の入力画面を表示し、入力させた情報を盗むという巧妙な手口により、被害が増えています。

 ECサイトが被害を受けた場合は、サイトの一時閉鎖や原因調査に加え、顧客への謝罪や事故対応費用の負担など経済的損失が発生します。企業としての信頼も大きく損なわれ、売上が回復するまで多くの時間がかかるので、とくに慎重に対応しましょう。