サイバーセキュリティ対策に取り組むメリットは？

セキュリティ対策を講じたとしても、直接的に売上が向上するわけではありません。また、従業員から「使いにくくなった」といった苦情が出る可能性もあります。そのため、セキュリティ対策のメリットをすぐに実感することは難しいかもしれません。しかし、セキュリティ対策は車検に例えることができます。

車検を通さずに車を運転していても、短期的には特に問題なく走行し続けられるかもしれません。しかし、ある日突然バッテリーが切れたり、タイヤがパンクしたりして運転できなくなる可能性があります。その際、事前に車検を受けて部品を交換していれば、防げたトラブルだと後悔するでしょう。さらに後から法令違反にも問われることになります。

セキュリティ対策も同様に、メリットを得るためというより、将来起こり得るデメリットを回避するために取り組むべきです。事業を継続的に運営するためには、このような予防的な視点が不可欠です。

実際にセキュリティ対策で組むべきこと

企業規模や業態によって取り組むべきセキュリティ対策の水準は変わってきます。そのため、中小企業はどの程度セキュリティ対策の取り組むべきか悩ましいものです。

ただそんな時には、IPAが中心になって取りまとめた「SECURITY ACTION(セキュリティアクション)」に取り組むとよいでしょう。中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。
詳しい内容は、セキュリティアクションのページでご確認ください。
https://www.ipa.go.jp/security/security-action/index.html

実際に取り組む内容は「★一つ星」と、「★★二つ星」に、段階的に定義されています。事業者が単独でセキュリティアクションを実施できない場合は、支援者が一緒になって取り組むとよいでしょう。

★一つ星で情報セキュリティの5か条に取り組もう

★一つ星では、以下の「情報セキュリティ5か条」に取組むことを宣言します。もちろん宣言するからには実際に取り組む必要があります。

5か条を見て、「なんだ、そんなことか！」と思いませんでしたか？　しかし果たして、5か条が確実に実行できているでしょうか？多くの中小企業ではこの5つすら取り組めていないケースがあるため、それぞれの取組の内容を見ていきましょう。

（1）OSやソフトウェアは常に最新の状態にしよう！

社内のパソコンやテレワークの場合、仕事で使用する際には、社員の自宅のパソコンやスマホもソフトウェアを最新の状態に保つことが求められます。しかし、漫然とアップデートを行うことは避けるべきです。例えば、飲食店ではタブレットをPOSレジとして使用していることが多くあります。この場合、OSをいきなりアップデートすると、POSレジアプリが動作しなくなる可能性があります。そのためレジメーカーが発表する情報を確認した上でアップデートを行うことが必要です。もし常に情報を確認するのが難しい場合は、年に一度でもよいので、確認するタイミングを設けてアップデートを実施しましょう。

パソコンのOSに関しても同様です。動作するアプリの状況に応じて、社内で一斉に更新するタイミングを設けましょう。

（2）ウイルス対策ソフトを導入しよう！

ウイルス対策ソフトは、あらかじめインストールされている場合が多いと思います。しかし、ウイルス定義ファイルが自動更新されていなかったり、ウイルス対策機能がオフにされているケースも見受けられます。このような場合も、タイミングを決めて、例えば月に1回、ウイルス対策ソフトが正常に動作しているかどうかを確認する時間を設けるようにしましょう。

（3）パスワードを強化しよう！

短いパスワードを使用したり、使い回していると、いずれパスワードが漏洩するリスクがあります。社名や電話番号など、推測されやすいものは避け、長いパスワードを設定しましょう。もし長いパスワードを覚えきれない場合は、パスワード管理ソフトの導入を検討することをお勧めします。

また、最も注意してほしいのは、Webサービスなどで同じパスワードを使い回さないことです。同じパスワードを使い回していると、どこか1箇所で漏洩が発生した際に、他のすべてのサービスでパスワード変更の対応が必要になる可能性があります。

なお、定期的にパスワードを更新する必要はありません。Webサービスの場合、ブラウザのパスワード漏洩チェック機能を利用して確認し、漏洩がなければそのまま使用し続けても問題ありません。

（4）共有設定を見直そう！

ファイルサーバなどの共有設定が適切であるかどうか、定期的に見直すようにしましょう。特に、退職した社員のアカウントが残っている場合は、セキュリティ上のリスクとなります。このような見直しを常に行うことが難しい場合でも、年に1度はチェックすることをお勧めします。

(1)～(4)に関しては、取り組みそのものは難しくありません。しかし、日常業務の忙しさに追われ、実施を忘れてしまうケースが多いようです。そのため、どのタイミングでチェックを行うのか、事前に計画を立てておくことが重要だと言えるでしょう。

（5）脅威や攻撃の手口を知ろう！

前回の記事で主なサイバーセキュリティの脅威を取り上げています。セキュリティの脅威や攻撃は常に新しいものが生まれてきますので、どういった手口が多いのか把握しておきましょう。

★★二つ星で情報セキュリティ自社診断に取り組もう

★一つ星をクリアした事業者は、さらに踏み込んで、「5分でできる！ 情報セキュリティ自社診断」を実施してみると良いでしょう。

この診断では、25問の質問に答えるだけで、セキュリティの点数や診断結果を得ることができます。用意されているエクセルをダウンロードして、実際に取り組んでみましょう。
https://security-shien.ipa.go.jp/diagnosis/selfcheck/

セキュリティ診断の結果は、点数として確認することができ、同業種と比較して自社のセキュリティ対策がどの程度取り組めているのかを把握することが可能です。

点数や診断結果が出たら、それで終わりではありません。実際に不足している部分について、どのような対策を講じるべきかを検討しましょう。ただし、具体的な対策の自社での実施が困難な場合は、デジタルの専門家やITベンダーなどと相談しながら進めることを検討してみましょう。

そのため、次回の第3回記事では、「IT経営サポートセンターの制度」とその活用方法について詳しく紹介します。