こんなやり方があった! 中小企業が始めるセキュリティ対策
中小企業にとって、情報セキュリティ対策はなかなかハードルが高い。人手の問題も予算の問題もあるし、まずどこから手をつけていいのかわからない。最初から100%を目指すのではなく、可能なところから始めるのがいい。そのために利用できる便利な取り組みを紹介する。
文/中尾真二
中小企業のセキュリティ対策は課題が山積み
情報セキュリティの重要性はだれもが認識していると思う。いまさら強調するまでもないが、サイバー攻撃の多くが金銭的被害につながり、ビジネスに与える影響は小さくない。情報漏えいなどは、顧客への説明や補償が発生する場合もあり、ブランド毀損など無形資産にも悪影響を与える。
理屈ではわかっていても、実際のセキュリティ対策となると話は変わってくる。有効な対策づくり、組織づくりにはさまざまなハードルがある。まず、中小企業の場合、セキュリティ専門の人材確保が難しい。教育するにも時間がかかるだろう。セキュリティは、技術的な問題だけではなく、関係する法規制など、コンプライアンスやガバナンスにもかかわってくる。これらは、企業経営に関係する問題でもある。カバーする範囲が広く、また攻撃技術や手法の変化も速く、対応が後手になりがちだ。
ひとことでいえば、セキュリティ対策は時間と予算がかかるものであり、本音を言えばそこまで手が回らないといった声も聞く。
セキュリティのスモールスタートという考え方
たしかに、セキュリティ対策に銀の弾丸はなく、時間と予算をかけて常に対策を怠らない必要がある。文章にすれば簡単だが、現実はそう甘くはない。だからといってあきらめるのはよくない。人材や予算、そもそもセキュリティは専門ではないという企業がとれる対策アプローチはないだろうか、あらためて考えてみたい。
前述のような問題から、十分な対策をとっていない中小企業は存在する。しかし、十分な対策とはどういうものだろうか。人材や予算はすぐに融通できるものではないので、本格的なセキュリティ対策は無理だと思っているために具体的な行動につながらないのではないだろうか。日々の業務の中で、セキュリティについてあらためて考えている時間もないケースも少なくないかもしれない。
このような状況に有効なアプローチは、最初から100%のセキュリティを考えないことだ。セキュリティ管理マネジメントを導入したりISO27001などの認証を受けなければならない、などと大企業と同じ目線で考える必要はない。もっと気軽に考え、できるところから始めるという方法がある。ビジネスの世界ではスモールスタートなどという言葉があるが、セキュリティ対策にも適用できる考え方だ。
とはいえ、セキュリティポリシーをどう考えていけばいいのかもよくわからないし、リスク分析や対策技術などに詳しい人間もいない。どこから手を付けていいか困っている企業・経営者も少なくない。
まず担当者を決める
セキュリティのスモールスタートは、まず「担当者」を決めることだ。従業員数など会社の規模にもよるが、数十人の会社なら担当者は一人でもいい。ただし、この場合、担当者は経営者や経営陣が望ましい。ITに詳しくないからと現場の従業員に任せる場合は、一定の権限を与えるか、経営に関与できる形がよい。
従業員が50人、100人となり、複数の部署を持つような企業なら、担当責任者(前述と同様)に加え、部署ごとの担当者をアサインする。専任でなくてもいいので、まずは担当を決めること。ただし、単に決めて終わりではない。セキュリティは経営戦略にかかわる問題という認識で、担当者の業務(Job Description)や権限を調整する必要もある。
次になにをするか。セキュリティマネジメントでは、このあと経営者と担当責任者がリスク分析やセキュリティポリシーの作成など行うという流れになる。が、これも小規模の組織、中小企業では簡単ではないし、あまり形式にこだわるのは効率が悪い。
この問題について、IPA(独立行政法人 情報処理推進機構)が面白い取り組みを展開している。主に中小企業向けだが、セキュリティ対策に関するガイドラインやチェックシート、セキュリティポリシーのテンプレートなどを公開している。これらを使えば、簡単にセキュリティ対策を始められるようになっている。「SECURITY ACTION セキュリティ対策自己宣言」という取り組みだが、これを利用する。
IPAのSECURITY ACTIONを利用する方法
SECURITY ACTIONでは、IPAが公開している資料と文書に従い、各企業が自ら「セキュリティ対策を取ります」という宣言を行う。目標設定と取り組みレベルによって「1つ星」「2つ星」の2段階がある。
具体的には、IPAがSECURITY ACTIONのサイトで公開している「5か条」を読んで、それを実践すれば「1つ星」としてロゴマークを会社のホームページなどに表示できる。5か条は「OSやソフトウェアのアップデートを行う」「ウイルス対策ソフトを導入する」など比較的多くの企業が実践できているような項目だ。実践していると判断すればSECURITY ACTION 1つ星の宣言企業ですと言うことができる。
2つ星では、自社のセキュリティ対策状況を診断するチェックシートを記入し、現状を把握する。そして、「情報セキュリティポリシー(基本方針)」という文書をダウンロードする。文書はテンプレートになっており、自社のミッションやセキュリティ担当者、どんな対策を進めているのかなど、空欄に必要事項を記入または、テンプレートの必要箇所を自社用に修正する。修正した情報セキュリティポリシー文書をホームページなどに公開すれば、2つ星企業の宣言が可能だ。
なお、この取り組みは、あくまで自社の取り組み状況を自社の責任において表明するものであって、IPAやその他第三者が、1つ星や2つ星を「認定」したり、なんらかの試験や監査を受け「取得」するものでもない。この取り組みは、中小企業が、セキュリティ対策を導入しやすくするためのアプローチとツールを提供することを目的としている。したがって、5か条をちゃんと守っているか、自己診断シートの結果はどうだったのか、セキュリティポリシーの文書がしっかりしているかのチェックは自社が行うだけで、だれもチェックしないし評価もしない。
できるところから始めることが重要
情報セキュリティポリシーの文書は、50ページほどあり、細かい取り組み項目などは自社のミッションやビジネスによって修正するようになっている。セキュリティに詳しい人間がいないと、この作業はハードルが高いと思うかもしれない。そのような場合は、とりあえず、社名や担当者、業務内容、自社の情報資産(帳簿データなのか、特許なのか、ソースコードなのか、顧客情報なのか)など記入しやすいところ以外はテンプレートのままでもいい。
セキュリティ対策は、状況の変化に応じて変えていくべきものだ。テンプレート文書には更新日付の記入欄もある。使っていて、修正したい項目、追加したい項目が出たら、適宜直していけばいい。スモールスタートなので、最初から100%を目指すのではなく、100%にしていくための活動を始めるという考え方だ。
1つ星か2つ星かは目安であり、取り組みのモチベーションになればそれでいい。どこから手を付けていいかわからない企業に、まず最低限必要なセキュリティ対策や体制についてのチェックシートとマニュアル文書を提供することが、SECURITY ACTIONの主旨だ。
スタートラインに立てればそれを実行するのみ
セキュリティ対策のとっかかりはわかったとしよう。時間と手間の問題は、SECURITY ACTIONを利用すれば解決できそうな気がする。が、予算の問題は依然として残っている。対策にかかるお金はどうすればいいのだろうか。
この疑問ももっともだ。じつは、この課題についての対策アプローチもある。IPAのSECURITY ACTION宣言は、経済産業省の「サービス等生産性向上IT導入支援事業」の施策のひとつとして実施されている「IT導入補助金」の対象になっている。事業予算は単年度なので2019年1月には終了するが、すでに12月の実施までは確定している。年内であれば、補助金の申請も間に合う状態だ。
SECURITY ACTIONのために、ソフトウェアやハードウェアを導入する場合、最大で50万円まで導入予算の一部が支給される。ウイルス対策ソフトの導入、ファイアウォールボックスやUTMの導入、各種マネージドサービスの契約、クラウドセキュリティの利用料など、セキュリティ関連ソリューションでの申請が可能だ。
SECURITY ACTION宣言をして補助金が適用できたら、これでおしまいではない。セキュリティ対策は事業といっしょに継続していく必要がある。そのためには、まず始めてみることだ。その活動の中で、おそらく過不足がでてくるはずだ。少しずつ対策や活動を広げていけばよい。ここで紹介した制度をうまく活用していってほしい。
SECURITY ACTION宣言に役立つソリューションは
「ソリューションファインダー」で見つけられます!
貴社に必要なソリューションを簡単に検索できる「ソリューションファインダー」なら、セキュリティ強化に適したソリューションもたくさん見つけることができます。
筆者プロフィール:中尾 真二(なかおしんじ)
フリーランスのライター、エディター。アスキーの書籍編集から始まり、翻訳や執筆、取材などを紙、ウェブを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは当時は言わなかったが)はUUCP(Unix to Unix Copy Protocol)の頃から使っている。