中小企業もセキュリティ対策が重要! 5つの基本対策と取り組み方を解説
近年、サイバー攻撃が高度化・巧妙化しており、企業におけるセキュリティ対策の重要性が高まっています。
大企業のみならず、中小企業においても業種・事業規模を問わずサイバー攻撃や不審なアクセスの脅威にさらされています。
一方で、中小企業では人材や予算などのリソースが課題となり、十分なセキュリティ対策が行えていないケースも少なくありません。
この記事では、中小企業におけるセキュリティ対策の重要性とガイドラインで示されている5つの対策、具体的な取り組み方について解説します。
目次[非表示]
- 1.中小企業におけるセキュリティ対策の重要性
- 2.中小企業に必要とされるセキュリティ対策の5箇条
- 2.1.①OSやソフトウェアは最新の状態を保つ
- 2.2.②ウイルス対策ソフトを導入する
- 2.3.③パスワードを強化する
- 2.4.④共有設定を見直す
- 2.5.⑤脅威や攻撃の手口を理解する
- 3.中小企業のセキュリティ対策への取り組み方
- 3.1.①現状の把握
- 3.2.②基本方針の策定と周知
- 3.3.③全社的な管理体制の構築
- 3.4.④セキュリティ規定の作成と配布
- 3.5.⑤実施状況の点検と見直し
- 4.まとめ
中小企業におけるセキュリティ対策の重要性
中小企業のIT利活用が進むなか、企業・団体をターゲットとしたサイバー攻撃は巧妙化しており、中小企業にも被害が見られています。
情報漏えいや事業停止などのトラブルを防ぐには、中小企業においてもセキュリティ対策を強化することが重要です。
警察庁の報告によると、企業・団体に対するランサムウェア(※)による被害件数は2022年以降高い水準で推移しています。
▼企業・団体などにおけるランサムウェアによる被害件数の推移
画像引用元:警察庁『令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について』
2023年上半期の被害件数を企業・団体の規模別でみると、大企業が30件なのに対して中小企業は60件となっており、規模に関係なく被害が発生していることが分かります。
▼【規模別】ランサムウェアによる被害件数
画像引用元:警察庁『令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について』
サプライチェーンを構成する中小企業では、関係者企業への攻撃の踏み台とされるリスクも懸念されており、攻撃によって自社のみならず取引先まで事業停止につながる可能性があります。また、情報漏えいや事業活動の停止が起きると、企業の信用低下や損害賠償の請求などにつながるおそれもあります。
このようなリスクを防ぐには、自社を取り巻く環境とリソースを踏まえて、できるところからセキュリティ対策に取り組むことが求められます。
※パソコンに保存しているファイルを暗号化して使用できない状態にして、復元と引き換えに身代金を要求するマルウェア
出典:警察庁『令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について』
中小企業に必要とされるセキュリティ対策の5箇条
経済産業省では、中小企業のセキュリティ対策として、IPA(独立行政法人情報処理推進機構)が公開する『中小企業の情報セキュリティ対策ガイドライン』を活用することを推進しています。当ガイドラインでは、セキュリティ対策の基本となる5箇条が示されています。
出典:経済産業省『中小企業のサイバーセキュリティ対策』
①OSやソフトウェアは最新の状態を保つ
OSやソフトウェアは、常に最新の状態に保つことが重要です。
古いバージョンのOSやソフトウェアを使用すると、セキュリティの脆弱性を狙った攻撃のリスクがあるため、定期的にアップデートが行われているか確認する必要があります。
▼対策例
- OSやソフトウェアの修正プログラムを適用する
- ソフトウェアやファームウェアは最新版を利用する
- 定期的に脆弱性診断を行う
②ウイルス対策ソフトを導入する
ウイルス対策ソフトには、ウイルスがある不正なプログラムを検知して隔離または排除する機能が備わっています。メールやファイルのダウンロードなどを介して、端末がウイルスに感染してしまうことを防げます。
▼対策例
- テレワーク端末にウイルス対策ソフトを導入する
- 総合型のセキュリティ対策ソフトを導入する
- ウイルス定義ファイルを自動更新されるように設定する
③パスワードを強化する
ユーザー認証に用いるパスワードを強化することで、業務システムやアプリケーション、ファイルへ不正アクセスが行われるリスクを軽減できます。パスワードの文字列を強化する方法のほか、多要素認証または多段階認証を用いることも有効です。
▼対策例
- 数字やアルファベットの大文字・小文字を組み合わせて、複雑かつ長い文字列にする
- 複数のシステムでのパスワードの使い回しは避ける
④共有設定を見直す
関係者以外または権限のないユーザーがファイルやクラウドサービスにアクセスできないように、共有設定を見直してユーザーを制限する必要があります。
▼対策例
- クラウドサービスやネットワーク接続の共有範囲を設定する
- 従業員の異動・退職時には速やかにアクセス設定を変更する
- テレワーク端末をほかの従業員と共有しない、またはユーザーアカウントを別にする
⑤脅威や攻撃の手口を理解する
サイバー攻撃の手法は次々と新しくなるため、脅威・攻撃の手口について最新情報を理解しておくことも重要です。
▼対策例
- セキュリティ専門機関のWebサイトで最新の手口を調査する
- 利用中のソフトウェアやクラウドサービスの注意喚起を定期的に確認する
- セキュリティに関する社内のインシデントを調査する
中小企業のセキュリティ対策への取り組み方
中小企業がセキュリティ対策を行う際は、自社を取り巻く環境を考慮したうえで、優先順位をつけて重要度に応じた対策を行うことが重要です。
①現状の把握
自社でのセキュリティ対策の現状や取り扱っているデータの重要度を把握する必要があります。セキュリティ対策が不十分な部分を明らかにして、強化する方針を決める判断材料とします。
▼現状を把握する際のポイント
- セキュリティチェックシートを作成して自社診断を行う
- 起こりうるトラブルと被害を想定する
- データの重要度によって保存方法を変えているか確認する
- データの保存方法が本当に安全かチェックする
②基本方針の策定と周知
現状を把握できたら、企業のセキュリティに対する基本方針を策定して文書にまとめます。経営層や情報システム部門・管理部門と連携したうえで、基本方針を策定して周知することで、セキュリティに対する意識を企業全体で高められます。
文書化した基本方針については、ステークホルダーに対してセキュリティ対策の意思や対応方針を示す役割もあります。
▼基本方針で定める内容
- 法令やガイドライン遵守の宣言
- 管理体制の整備に関する方針
- 最終責任が経営者にあること
- 従業員が取り組む内容
- 違反時または事故発生時の対応方針
③全社的な管理体制の構築
基本方針に沿ってセキュリティ対策を実行するには、全社的な管理体制を構築する必要があります。
各部門の責任者と責任範囲を定めるとともに、セキュリティに関するインシデントが発生した際の対応フロー・体制についても明確にしておくことがポイントです。
▼責任者の区分と責任範囲の例
責任者 |
責任範囲 |
情報セキュリティ責任者 |
企業における情報セキュリティの全責任を負い、事故が発生した際の判断・意思決定を行う |
各部門の責任者 |
各部門での情報セキュリティ対策の運用管理を行う |
システム管理者 |
情報セキュリティ対策の検討・導入やインシデントへの復旧対応を行う |
教育責任者 |
情報セキュリティ対策を推進するために、従業員へ教育を行う |
点検責任者 |
情報セキュリティ対策が正しく実施されているか点検を行う |
④セキュリティ規定の作成と配布
自社の業務環境やITの利活用状況、外部環境などを踏まえて、セキュリティ対策に関する規定を作成・配布します。
すべてのリスクに対応すると予算やリソースに問題が生じる可能性があるため、優先順位を決めて合理的な対策を検討することがポイントです。
▼セキュリティに関する規定の内容例
- セキュリティに関する教育・育成のルール
- データの管理・持ち出しや情報共有、バックアップのルール
- IT機器やソフトウェアの取り扱い
- サーバやネットワークなどのITインフラの利用
- インシデントや事業継続のための対応ルール
- テレワークを実施する際のセキュリティ対策
⑤実施状況の点検と見直し
計画した基本方針とセキュリティ規定に沿って運用ができているか、定期的な点検と見直しを行います。
▼点検方法の例
- 従業員へアンケートを実施して、セキュリティ対策の理解度や運用状況を調査する
- 専用のソフトウェアを用いて、ネットワークやシステムへのセキュリティ対策の状況を確認する
社内のセキュリティ対策については、こちらの記事で詳しく解説しています。
まとめ
この記事では、中小企業のセキュリティ対策について以下の内容を解説しました。
- 中小企業におけるセキュリティ対策の重要性
- 中小企業に必要とされるセキュリティ対策の5箇条
- 中小企業のセキュリティ対策への取り組み方
中小企業がセキュリティ対策に取り組む際は、自社を取り巻く環境や現状を把握したうえで、策定した基本方針に沿って社内の管理体制とセキュリティ規定を整備することがポイントとなります。
自社でのセキュリティ対策や運用管理にリソースの問題が生じている場合には、ITアウトソーシング(業務代行)を活用することも一つの方法です。
『FGLテクノソリューションズ』の社内システム運用管理サービスでは、サーバ管理やクライアント管理、ネットワーク管理、死活監視などをサポートしております。貴社の環境や課題に応じて、必要なセキュリティ対策をご提案いたします。
サービスの詳細については、こちらから資料をダウンロードしていただけます。