目次
1.企業規模によるセキュリティ対策の違い
2.中小企業特有のセキュリティ対策の難しさ
3.中小企業のセキュリティ対策
4.中小企業におけるセキュリティ担当者の役割
5.最後に
企業規模によるセキュリティ対策の違い
企業の業種・業態にもよりますが、一般的に求められる基本的なセキュリティ対策と言われているもののうち、主なものとしては次の5つが挙げられます。
- 外部デバイスの接続監視、場合によっては接続制限又は接続遮断
- アクセス先のサイト制限
- ソフトウェアのインストール、ダウンロード制限
- ウイルス対策ソフトの導入とアップデート
- ファイヤーウォール導入とアップデート
さて、これらのうち、いわゆる大企業(こちらも業種・業態によるが、概ね従業員数で200名以上)には必要で、中小企業には必要でない対策はあるのでしょうか?重要なことなので、1つひとつ見ていきましょう。
外部デバイスの接続監視、場合によっては接続制限又は接続遮断
これは特に外部記憶装置と持ち込みPCとが主な対策対象となりますが、個人情報を扱う企業であれば規模の大小を問わず、セキュリティ対策としてはどちらの企業にも求められるものです。
アクセス先のサイト制限
危険なサイトにアクセスする確率は、社員数が多くなればなるほど高くなると言えます。しかし、社員数が少ないからといってそのリスクが無くなるわけではないので、こちらもセキュリティ対策としては大企業と中小企業の両方に求められるものです。
ソフトウェアのインストール、ダウンロード制限
一度、ウイルスなどが仕込まれた不正なソフトウェアやマクロなどが使われてしまったら、その影響は大企業でも中小企業でも同様です。そのため、この対策も
両方に求められるものです。
ウイルス対策ソフトの導入とアップデート
こちらについては言わずもがな、既に個人レベルでPCを利用する際にも求められるものである事を考えると、大企業と中小企業の両方に必須のものと言えます。
ファイヤーウォール導入とアップデート
社内ネットワークを構築していない極小規模な事業所は除くとして、どのような規模の企業でも、ネットワーク上の脅威から自社のネットワークとネットワークに接続されている機器類の一切を守るために、ファイヤーウォールの導入と導入したファイヤーウォールを最新化しておくことは、非常に重要なことです。
他にも環境によって必要となるセキュリティ対策はありますが、主なものとしては以上の5つが挙げられます。
この5つについては、大企業には必要で、中小企業には必要ない、というものは無さそうです。つまり、大企業と中小企業とで、必要なセキュリティ対策は変わらないのです。
大企業だからやらなければならない事があるわけではなく、一方で中小企業だからと言ってやらなくても済むことも無いということです。
中小企業特有のセキュリティ対策の難しさ
セキュリティ対策自体は、大企業も中小企業も変わらない、ということを前述でお伝えしました。ただし、セキュリティ対策については、中小企業であるがゆえの難しさ、悩ましさがあります。
セキュリティ対策に関する投資への負担感
中小企業のセキュリティ担当者が抱える代表的な難しさの1つが、セキュリティ対策に関する投資の負担感です。投資の観点から見ると、セキュリティ対策は、大きく2つの種類に分けることができます。
1つは、企業規模の大小に関わらず同じ内容の投資が必要なもの。これは、例えばファイヤーウォールやネットワークセキュリティなどが挙げられます。
もう1つは、企業規模の違いにより投資規模が変わるもの。例えば、パソコンのウイルス対策などはパソコンの台数により投資金額が変わります。
このうち、中小企業で特に投資の負担感が重くなるのが、前者に対する対策です。売上高や利益額が企業規模相応なのに、投資金額自体が変わらない、となると、当然相対的な負担感が重いものとなります。かといって、一部のセキュリティ対策の投資を怠ってしまうと、そこがセキュリティ・ホールとなり、自らリスクを作ってしまうことにもなりかねません。
専任担当者の不在
セキュリティに関する専任担当者の人数が少ない、あるいは専任担当者がいない、という点も悩ましさのひとつです。そもそも中小企業では、システム担当者が1人か2人、場合によっては専任担当者がおらず、ITに詳しい社員が兼任でどうにか回しているという場合もあります。
この点での難しさは2つあり、1つが、担当者が少ない、または専任担当者がいないがゆえに、システム関連業務全般が多忙となり、十分な時間や工数を割けない、という点。もう一つは、少人数であるがゆえに、セキュリティ対策に関するノウハウや外部からの必要な情報が蓄積されづらく、どうしてもセキュリティ対策に関する情報の質が低下してしまうことや、必要となる情報量が収集・蓄積できないという点です。
社員へのセキュリティ教育
社内のセキュリティ教育という面でも、中小企業であるがゆえの困難さがあります。社員数が少ないのでセキュリティ教育は実施しやすいのでは?と感じるかもしれないですが、セキュリティ・マニュアルの作成やセキュリティ研修の運営などは、対象者数に関わらず、かける手間はほとんど変わらないのが現実です。集合研修の受講者数が少なければ受講者間で啓発し合う効果が期待できず、リテラシーとして社内に定着させるプロセスが個別対応になってしまうと、大企業以上に手間がかかるものと考えられます。
他にも中小企業のセキュリティ担当者が悩んでいる事は多いと思われますが、代表的な難しさとしては、上記の3点が挙げられるでしょう。セキュリティ担当者は、多くの制約事項と日々格闘しながら、どうにかセキュリティ対策を進めている、というのが実態と考えられます。
中小企業のセキュリティ対策
ここまでで述べてきたように、中小企業も大企業と同じセキュリティ対策を実施しなければならない一方で、中小企業がセキュリティ対策を実施するには多くの制約事項や難しさがあるということがわかりました。では、現実の問題として、中小企業が大企業と同じようなセキュリティ対策を、どう実施したら良いのでしょうか?あるいは、必要なセキュリティ対策を実施することは、中小企業においてそもそも可能なのでしょうか?
セキュリティ対策を考えるうえで、まず重要になるのがセキュリティ・ポリシーです。セキュリティ・ポリシーとは、自社の事業の特徴や保有している情報資産の種類や量を特定したうえで、自社が守るべきセキュリティ基準と、そのセキュリティ基準を守るための社内の体制や手順を定めたものを指します。
セキュリティ・ポリシーを策定するにあたって、自社にとってすぐにセキュリティ対策が必要なもの、少し余裕があるもの、運用上で当面のセキュリティ対策として対応が可能なもの、の3つの段階でカテゴリ分けをするといいでしょう。
そして、優先順位の高い順番に、セキュリティ対策を実施していきます。こうした方法でセキュリティ対策を実施すると、 完了させるまでに概ね3年~5年程度の時間が掛かる場合もあります。
「そんなに時間が掛かるのでは、対策の間にリスクに晒されることにもなり、セキュリティ対策の意味がない」との反論があるかもしれません。確かにその通りで、理想的には、必要なセキュリティ対策を一気に施せるのが最も良い方法です。しかし、今まで述べてきた中小企業が抱える様々な制約から、理想の実現が難しいからこそ、優先度の高い項目から順番にセキュリティ対策を実施していくべきと考えます。対策を講ずる間、手がつかない部分のセキュリティ・ホールが残ることになりますが、何もしないよりははるかに健全です。また、時間が掛かったとしても、3年後・5年後には、何もしていない企業との差は圧倒的になります。
技術的な面で述べると、最近ではセキュリティ製品のクラウド化が進んできており、これを活用するという方法があります。クラウド製品の良さは、高価なセキュリティ・ツールを導入せずとも、高度なセキュリティ対策ができることです。初期投資を抑えられ、また導入も早いので、様子を見ながら対策範囲をひろげたり、より高度な機能を段階的に導入したりすることも可能です。また、導入後の運用負荷も低くなります。こうした特徴から、特に中小企業では、クラウド型のセキュリティ・ツールの導入を検討する価値があります。
中小企業におけるセキュリティ担当者の役割
中小企業のセキュリティ担当者は、人や予算の制約が多い中で、大企業と同じ対策を実施していくことが求められます。この困難な環境の中で、とりわけ担当者に求められるのは、経営者や役員との連携だといえます。幸い、中小企業のセキュリティ担当者やIT部門は、経営者や役員との距離が一般的に近いといえます。この特質を活かし、セキュリティ・ポリシーや中長期のセキュリティ整備計画の策定について、経営者や役員と連携して進めていくことで、セキュリティ・ポリシーや投資計画がまとめやすくなると共に、実際の策定やセキュリティ対策を施す際の理解も得やすくなるでしょう。
ただし、セキュリティ担当者は、セキュリティやITに詳しくない経営者や役員に、セキュリティ対策の必要性や脅威の種類、会社や事業を守るために必要な対策の中身を分かりやすく説明する必要があります。また、セキュリティ対策は、投資対効果が見えづらい、という特徴もあるため、セキュリティ対策実施後にその効果として防いだ脅威の種類や回数などを、定期的に経営者や役員に報告するといった定常的な努力を怠らないことも重要になります。
つまり、中小企業のセキュリティ担当者には、セキュリティに関する専門知識だけではなく、会社経営の視点も併せ持つことが求められています。
最後に
最近の脅威の特徴として、DDOS攻撃に見られるように、ターゲットを定めて何度も・継続的にアタックしてくる脅威が増えていることが挙げられます。こうした脅威に自社が一度目を付けられてしまうと、非常にやっかいで、また、自社の脅威に対するリスクが何倍にも一気に増加することになります。さらには、攻撃者の種類も、愉快犯や金銭目的のものだけでなく、企業の経済活動そのものを混乱させることを目的とした政治的な性格を帯びた攻撃も増加しています。
こうした脅威は、もはや名の知れた大企業特有のものではなく、中小企業にも、いつでも起こり得るリスクとなっています。そういった脅威から会社を守るために、セキュリティ担当者は技術的なセキュリティ対策を考えるだけでなく、経営者や役員に対して、セキュリティ対策が経営課題であることを理解してもらうと共に、連携して日々のセキュリティ対策とその運用を進めていくことが、ますます求められているのです。