目次
自社の事業の情報セキュリティリスクは何かを知ろう
中小企業や小規模事業者においても、電子メールや表計算ソフトなどの日常的な事務処理から、電子商取引や決済、生産管理など、様々な分野でIT導入が進んでいます。 一方で、インターネットなどのコンピューターネットワークには悪意ある利用者も存在し、「マルウェア」と呼ばれる感染プログラムなどを用いてサイバー攻撃の機会を狙っており、中小企業や小規模事業者もこれに巻き込まれる可能性もあります。このような攻撃の被害を避けるためにも、中小企業や小規模事業者においても適切なセキュリティ対策が求められています。
情報セキュリティ対策の基本
中小企業や小規模事業者の情報セキュリティ対策に取り組む際には、以下の5つの対策を基本として押さえることが対策の第一歩ということが出来ます。
- OSやソフトウェアをアップデートする
- パスワードを複雑なものに設定する
- サービスや機器の設定を見直す
- 重要なデータのバックアップを取る
- ウイルス対策ソフトを導入する
情報セキュリティリスクマネジメント
残念ですが、前記の対策を行っても完全に情報セキュリティを担保するこが難しいのが現状です。そのため、自分の事業の情報セキュリティリスクを分析して、優先順位付けを行い、万が一被害を受けた場合に備えるというリスクマネジメントが必要になってきます。
脅威のすべてに対処するのは不可能
情報セキュリティ対策は、脅威のすべてに対処することはコスト的にも不可能です。そのため、リスクマネジメントを行い、リスクを適切に管理することが重要です。それには、少し専門的で組織的な対策が必要です。
情報セキュリティ対策のガイドライン
対策には国際規格の認証を受ける大掛かりなものもありますが、中小企業や小規模事業者がすぐにでも取り組むことが出来る方法として、独立行政法人情報処理推進機構(以下「IPA」)による、個人事業主、小規模事業者を含む中小企業の利用を想定した「中小企業の情報セキュリティ対策ガイドライン」があります。このガイドラインは、情報セキュリティ対策に取り組む際の、経営者が認識し実施すべき指針、社内において対策を実践する際の手順や手法をまとめたもので、経営者編と実践編から構成されています。将来の事業拡大に伴い、国際規格の認証取得が必要になった場合でも基礎となるものであり、情報セキュリティマネジメントシステムの簡易版的なものとして位置付けられます。
リスクマネジメントの手順
実際に、リスクマネジメントを行う際には、以下の手順で進めてまいります。
- リスクの特定
- リスクの対応
- リスクの分析
- リスクの評価
リスクの特定では、自社におけるリスクを洗い出します。リスクの分析では、リスクが発生した場合の影響や発生確率を評価します。リスクの評価では、リスクの重要度を評価します。リスクの対応では、リスクを回避するための対策を決定します。
情報セキュリティ対策においては、リスクマネジメントを行うことで、リスクを適切に管理することができます。リスクマネジメントを行うことで、情報セキュリティ対策の効果的な実施が可能となります。
例えば、B2CのECサイトの運営ビジネスなどでは、顧客台帳のリスクマネジメントがビジネス継続のための生命線と言えるほど重要なため、最優先事項として重点的なセキュリティ対策を実施します。
情報セキュリティ事故対応の実態
中小企業や小規模事業者においても、情報セキュリティ事故が発生した場合、迅速かつ適切な対応が求められます。
対策があっても適切な事故対応は難易度が高い
事故発生の際には経験値として、マニュアル化、教育訓練を実施していても、気が動転して100点満点の適切な対応を取ることが困難になります。初動操作としての被害拡大防止や現状保全、顧客を始めステークホルダーへの対応、情報セキュリティ事故対応の実態把握、肝心な事故原因の究明等を、他の仕事に優先して実施しなければなりません。場合によっては、損害賠償問題への対策のために法的に有効な証拠調査を専門家に依頼することが必要になります。従って、情報セキュリティ対策がないままに事故に遭遇した場合は、脅すわけではありませんが、本業どころではない事態も想像に難くありません。
事故は繰り返す前提で準備
以下は、マネジメントシステムとして、事故発生時の対応をスムーズにするために、情報セキュリティ事故対応の実態を把握するための手順を記します。主に、①事故の種類、③発生状況、④影響、⑤原因の4点について把握、記録、共有を行い、事故対応をはじめ2次被害防止、再発防止、強化対策への指針等に活用します。
情報セキュリティ事故対応の実態を把握するための手順
- 情報セキュリティ事故の種類を把握する
- 情報セキュリティ事故の発生状況を把握する
- 情報セキュリティ事故の影響を把握する
- 情報セキュリティ事故の原因を特定する
情報セキュリティ事故の種類
- ウイルス感染
- 不正アクセス
- フィッシング詐欺
- ランサムウェア
- データ漏洩
情報セキュリティ事故の発生状況管理項目
- 発生時期
- 発生場所
- 発生原因
- 被害範囲
情報セキュリティ事故の影響の種類
- 情報漏洩
- システムの停止
- 金銭的損失
- 信頼関係の損失
情報セキュリティ事故の原因の分類
- セキュリティ対策の不備
- 社員の不注意
- 外部からの攻撃
対策ポイント(まとめ)
小規模事業者にとっても、情報セキュリティ対策は重要な課題です。本記事では、小規模事業者が情報セキュリティ対策を実施する上での3つのポイントを紹介しました。また、こうしたセキュリティ対策を目的としたマネジメントシステムを構築するために、IPAが提唱しているガイドライン「中小企業の情報セキュリティ対策ガイドライン」について触れました。 ① 自社の情報セキュリティリスクを把握する ② リスクマネジメントを行う ③ 情報セキュリティ事故対応の実態を把握する
自社の情報セキュリティリスクを把握するためには、以下の手順を踏むことが有効です。
自社の情報セキュリティリスクを把握
自社の情報セキュリティリスクを把握するためには、以下の手順を踏むことが有効です。
- 自社の情報資産を洗い出す
- 情報資産の重要度を判断する
- リスクの大きい情報資産を特定する
- リスクの大きい情報資産に対する対策を決定する
リスクマネジメント
リスクマネジメントには、以下の手順があります。
- リスクの特定
- リスクの分析
- リスクの評価
- リスクの対応
情報セキュリティ事故対応の実態を把握
情報セキュリティ事故が発生した場合、迅速かつ適切な対応が求められます。情報セキュリティ事故対応の実態を把握することで、事故発生時の対応がスムーズになります。情報セキュリティ事故対応の実態を把握するためには、以下の手順が有効です。
- 情報セキュリティ事故の種類を把握する
- 情報セキュリティ事故の発生状況を把握する
- 情報セキュリティ事故の影響を把握する
- 情報セキュリティ事故の原因を特定する
以上が、小規模事業者が情報セキュリティ対策を実施する上での3つのポイントです。