セキュリティ対策に不安を感じる中小企業は多い…

さて、DX導入支援活動では、中小企業や小規模企業者へ訪問して経営層の方と業務のIT化についてお話ししています。その際、こちらから情報セキュリティについても合わせてお話ししていますが、最近は先方からセキュリティの言葉をお伺いすることが多くなってきたように感じています。ところが、その声は「どうすれば良いか分からない」「今の状態ではダメないのか」「クラウド利用で大丈夫なのか」といった困惑や不安が殆どです。

一つの事例をご紹介します。ご相談は、「サイバー攻撃のニュース記事を目にすることが多く、システム入替に合わせてセキュリティ対策を強化したいが、どうして良いか分からない」という内容でした。お話をお伺いすると、ファイアウォール*1は導入しているが、要員がいないからセキュリティ運用は殆どサービス提供事業者に任せている、社内にはセキュリティ規定が存在しないという状態。そこで、最も効果的な対策は全従業員のセキュリティリテラシーを高めることと考え、セキュリティ規程の策定及び周知活動を行いました。

この事例も含め、多くのケースでは、ニュース記事から危機に気づくものの、行動に移せていないように感じています。その場合は、是非、中小機構の専門アドバイザーなど、お近くの支援者をご活用下さい。

「中小企業のためのセキュリティインシデント対応手引き」はご存知でしょうか

ところで、皆さまは「独立行政法人 情報処理推進機構」(IPA)という組織をご存知でしょうか。そこは経済産業省のIT政策実施機関で、情報セキュリティに関する様々な施策の提供や情報の発信をしています。そのIPAから、今年(2023年)4月26日に「中小企業の情報セキュリティ対策ガイドライン第3.1版」（以下、「ガイドライン」と称します）が公開されています。今回のガイドラインでは、「中小企業のためのセキュリティインシデント*2対応手引き」（以下、「手引き」と称します）が付録文書の一つとして追加されました。この手引きには、インシデント対応の基本ステップが記載されています。さまざまなインシデントの中から、①ウイルス感染、②情報漏えい、③システム停止の三つのケースをピックアップして、インシデントを認知した後の対応の流れが分かりやすく書かれていますので、是非ご参照ください。

守るべき「情報資産は何か」、これを考えることが重要

通常、セキュリティの取り組み方には多くの方法があり、組織の事情によってもさまざまです。基本的には、組織の守るべきもの（これを「情報資産」といいます）を明確にして、世の中の脅威と情報資産が孕んでいる脆弱性*3を用いてリスク分析を行い、具体的な対策を実施するという流れで進めることが多いです。しかし、先の手引きを基に、セキュリティインシデントが発生したことを想定して、自組織が受ける影響を最小限に抑えるためにどのように行動すれば良いのかという観点で進めることもとても有効だと思います。加えて、それが起きないようにするための対策にも繋がります。

最後に

ここまでセキュリティ取り組みの概要についてお話してきました。今回は、中小機構で展開している事業継続力強化計画の周知活動の一環で本コラムを書いています。事業継続力強化計画を策定される場合、策定ガイドを活用されることは勿論、今回ご紹介しました手引きも参照されると、きっと申請書の質がぐっと上がると思いますよ。今回はここまで。それではまたお会いしましょう。

*1 ファイアウォール：インターネットと組織のネットワークの間に設置する機器のこと。事前に決められたルールを登録することで、サイバー攻撃を防ぐ仕組みを持つ。

*2 インシデント：重大な事件・事故に発展する可能性をもつ出来事や事件のこと。

*3 脆弱性：脅威の発生を誘引するようなセキュリティ対策上の欠陥点のこと。