目次

1.中小企業に求められるセキュリティ対策
2.中小企業のセキュリティ体制の実態
3.セキュリティ体制を整えるための対策
4.最後に

中小企業に求められるセキュリティ対策

業種・業態にもよりますが、大企業(概ね従業員数で200名以上)と中小企業、この2つの企業で求められるセキュリティ対策に、何か違いがあるのでしょうか?

筆者の回答は、「違いはない」、です。
企業が事業を営むにあたって求められるセキュリティ対策は、規模の違いに依らず、基本的に同じ内容と同じレベルのものが必要になると考えます。

もちろん、業態によりB2BかB2Cか、の違いや、サービスや製品の違い、扱っている個人情報の内容や量によって、個別に求められるセキュリティ対策は変わってきます。ただ、どのような情報だとしても、情報漏洩があれば企業としての社会的信頼を一気に失うことになりますし、社内のPCがウィルスに感染すれば業務が全面的にストップすることにもなりかねません。
このことから、規模や業種・業態に関わらず同じと言えるのではないでしょうか。むしろ、中小企業ほど単一事業を行っている場合が多いことを考えると、事業そのものに対するインパクトは、中小企業の方が大きいと言えるかもしれません。

つまり、情報セキュリティ責任者の観点から考えると、自社がどのような規模・業種・業態であれ、求められるセキュリティ対策は大企業と変わるところはない、と言えるでしょう。

中小企業のセキュリティ体制の実態

一方で、セキュリティ対策を実施し、それを運用していくためのセキュリティ体制について考えてみます。
規模の大きい企業はセキュリティ体制が整っている、とは一概には言えないものの、専任の情報システム責任者ですら不足しがちな中小企業では、情報セキュリティの専任担当者を置くことは難しく、実際は情報システム責任者が情報セキュリティ責任者も兼務している、というのが大部分なのだと思われます。
もちろん、情報セキュリティは、情報システムや情報インフラ、情報機器管理などと密接に関わっていますから、情報システム責任者が情報セキュリティ責任者を兼務することは合理的なことではあります。
ただし、情報セキュリティ対策は、情報システムの運用などとは別の観点からの緊急性が求められる場合もありますし、また、カバー範囲は全社に及び、セキュリティに関する技術面・制度面に関する知識も広範囲でかつある程度の深い部分までの理解が必要になります。
さらに、ウィルスやサイバー攻撃などの技術は文字通り日進月歩ですから、これらをキャッチアップし、先を見通すためのトレンドの把握や技術の習得、対策法の検討も必要です。
こうしたことが求められる情報セキュリティ責任者としてのミッションをこなすためには、どうしてもある程度の工数と時間を割くことが必要です。情報システムと情報セキュリティの両方の領域を兼務している場合であっても、せめて半分の工数は情報セキュリティの対策と運用に充てられるような体制が必要でしょう。
そうしたことが分かっていたとしても、中小企業では、それだけのリソースを情報セキュリティ対策に充てることが実際には難しく、また、それが情報セキュリティ責任者の悩みとストレスになっている場合も多いかと思います。
では、私たちはどうしたらよいのでしょうか?

セキュリティ体制を整えるための対策

中堅・中小企業が情報セキュリティ対策を行うためのリソース確保の対策として、以下の選択肢が考えられます。

  1. 情報システムの運用や情報機器の管理などの業務を、情報システム責任者から、例えば総務などの非IT系の部門や担当者に業務を移管する
  2. 自社特有の環境やシステムの知識が必要のない情報システム関連業務に関して、アウトソース化する
  3. 現場の各部門に現場セキュリティ担当者を設置して、セキュリティ対策の実施業務の一部を担当してもらう

運用・管理を非IT系の部門や担当者に移管

必ずしも情報システムやITに関する技術的な知識が求められないにも関わらず、情報システム責任者やその部門の担当者が実施している業務を、例えば総務など、別の部門や担当者に肩代わりしてもらう、ということになります。
業務の一例としては、PCのリースアップに伴う更新手続きやスマホやプリンターなどの情報関連機器の事務的な管理などが該当します。こうした業務は、情報機器の個体管理に基づく業務になるため、作業内容が細かく、業者とのやりとりなども含めてITの専門的な業務というよりも事務的な作業量が多くなりがちです。
こうした業務を肩代わりしてもらうだけでも、情報システム責任者、あるいは情報システム部門全体の業務負荷がかなり軽減され、情報セキュリティ対策に充てられるリソースをかなり捻出することができるようになります。

アウトソース化

PCサポートやネットワーク管理、サーバーの運用監視など、ITに関する知識や技術力は必要になるものの自社の環境やシステム構成などに関する知識が必ずしも必要ではない業務が対象となります。
特にPCサポートや、支社・支店・工場などの拠点ネットワークの不具合対応などは、対応しなければならない問合せの数もそれなりに多くなりがちですし、「業務が進まない」など、現場のユーザー(社員)が困っているのを放っておく訳にもいかず、他の通常業務を中断して優先的に対応せざるを得ない場合もあります。
そうした対応を繰り返していると、肝心のセキュリティ対策に回すためのまとまったリソースを確保しづらくなります。こうした業務は、少なくとも一次受けをアウトソース化し、本当に自社の情報システム部門での対応が必要なものだけを入り口で振り分けしてもらうだけでも、かなりの業務の整理とリソースの捻出が可能になります。また、急な対応も減りますから、落ち着いてセキュリティ対策の検討や実施をすることもできるようにもなります。
ただし、アウトソース化を実施しようとすると、費用のかかる話になるので、すぐに対策を実施する、ということは難しいかもしれません。まずは(1)の対策を実施してみて、それでもセキュリティ対策のためのリソースが充分に割り当てられない場合は(2)の実施を検討するのが得策かもしれません。

各部門に現場セキュリティ担当者を設置

社内のセキュリティ意識を高める観点からも重要な取り組みになります。
これは、例えばウィルス対策や個人情報の管理状況のチェックなど、より実際の業務の現場に近いセキュリティ対策の一部を現場の社員に実施してもらう、という内容です。
例えば、個人PCやUSBメモリなどの外部記憶媒体、場合によってはカメラやスマホの持ち込みなど、現場でチェックすることができるような業務を、情報セキュリティ責任者が一つひとつ確認して回るには、手間も時間もかかります。
また、情報セキュリティ責任者が長期間にわたって本社を不在にすることそのものが、場合によってはセキュリティリスクを高めてしまうことにもなりかねません。そうした業務は、あらかじめ現場ごと、あるいは部署ごとに任命された現場のセキュリティ担当者を定めておくことが有効です。
現場のセキュリティ担当者にチェック業務などを依頼し、情報セキュリティ責任者はチェック結果の確認、および結果に基づく対策の検討と実行を行うような体制にすることで、効率よくセキュリティ対策を全社的に実施することができるようになります。
もちろん、情報セキュリティ責任者は、自社のセキュリティ対策の実施や運用を現場セキュリティ担当者任せにしてよいわけではありません。
日頃から現場のセキュリティ責任者とのコミュニケーションを密に取りあい、現場のセキュリティ担当者が困っていることをフォローするのはもちろんのこと、半年に一度など、定期的に情報セキュリティ責任者自らが現場を回り、現場のセキュリティ担当者と一緒にセキュリティ実施状況を確認し改善事項を各現場にフィードバックする、といった全社的なセキュリティ対策と運用について、自ら責任をもって行動することが必要になります。

最後に

こちらのコラムにもある通り、情報セキュリティ対策は、情報システムに関する個別の課題ではなく、事業体としての、会社全体の経営課題です。


情報セキュリティ責任者も、そうしたことを経営者から社員まで広く認識してもらうために、自らのセキュリティに関する業務を一人で抱え込んでしまうのではなく、関連部門や現場へ広く理解と協力を求め、全社でセキュリティ対策の意識を高めていくためのコミュニケーションを積極的に行うことが重要です。
そうした日々の活動が、セキュリティ対策=面倒くさい、という現場の意識を変えることになります。
そして、その意識の変化こそが、社員から何か気になったことがあるとすぐに社内通報を得られ、結果的にセキュリティ事故を未然に防げた、ということに繋がっていくことにもなると考えます。