「情報セキュリティ対策をやりましょう」と言われると、
多くの中小企業では、まずこう思います。
- 何から手を付ければいいのか分からない
- ITに詳しくないと無理そう
- お金がかかりそう
その結果、
ウイルス対策ソフトだけ入れて、あとは何となく放置、
という状態になりがちです。
ただ、実際に起きている事故を見ると、
高度な攻撃でやられている中小企業はそれほど多くありません。
多いのは、
「決めていなかった」「把握していなかった」「考えていなかった」
という理由で起きる事故です。
いきなり高度な対策をする必要はありません
最初に押さえておきたいのは、
中小企業の情報セキュリティ対策は、
いきなり難しいことをやる必要はないという点です。
大切なのは、
• 誰が
• 何を
• どう管理しているのか
を説明できる状態を作ることです。
そのために、最低限やっておきたいことを7つに分けて整理します。
1. セキュリティの責任者を決める
最初にやるべきことは、とても地味です。
「誰が責任を持つのか」を決めること。
専任である必要はありません。
社長でも、総務でも、情シスでも構いません。
重要なのは、
何かあったときに「誰が判断するのか」が分かっていることです。
責任者が決まっていない会社では、
事故が起きた瞬間に判断が止まります。
2. 守るべき情報を整理する
次にやるべきなのは、
「全部守る」ではなく「何を特に守るのか」を決めることです。
最低限、次のような区分は整理しておきたいところです。
• 個人情報
• 取引先から預かっている情報
• 社内の機密情報
どれが漏れたら一番困るのか。
ここを決めずに対策を進めると、すべてが中途半端になります。
3. ID・パスワードの扱いを統一する
中小企業の事故で、非常に多いのがこの分野です。
- パスワードの使い回し
- 共用アカウントの放置
- 退職者のアカウントが残っている
最低限、次のことは押さえておきたいです。
- 個人ごとにIDを発行する
- 使わなくなったアカウントは無効化する
- 重要なサービスには多要素認証を使う
これだけでも、リスクはかなり下がります。
4. 端末と持ち出しのルールを決める
ノートPCやスマートフォン、USBメモリなど、
「どこまでOKか」が曖昧なまま使われているケースは少なくありません。
最低限、次の点は決めておきたいところです。
- 会社支給端末と私物端末の扱い
- 在宅勤務時のルール
- 紛失・盗難時の連絡方法
ルールがない状態は自由ではなく、
事故が起きたときに誰も守れない状態です。
5. 外部委託やクラウド利用を把握する
今の中小企業では、
- クラウドのメール
- ファイル共有サービス
- 会計・勤怠などのSaaS
- 外注・業務委託
を使っていない会社の方が少数です。
まずやるべきことは、対策ではありません。
- 何を使っているのか
- 誰が管理しているのか
- どんな情報を扱っているのか
を一覧にして把握することです。
6. 事故が起きたときの対応を決めておく
情報セキュリティの事故は、
「起きない前提」で考えると失敗します。
最低限、次の点は決めておきたいです。
- 何かあったら誰に連絡するのか
- 取引先や顧客への連絡判断は誰が行うのか
- 何を記録として残すのか
これが決まっているだけで、
事故時の混乱は大きく減ります。
7. 定期的に見直す仕組みを作る
最後が、一番重要で、一番後回しにされがちなポイントです。
人は入れ替わりますし、
使うツールも増えますし、
働き方も変わります。
そのため、
一度決めたルールを放置すると、すぐに現実とズレます。
年に1回でも構いません。
確認する仕組みを用意することが重要です。ここで初めて、
セキュリティチェックシートが意味を持ちます。
よくある勘違い
中小企業の現場で、よく聞く言葉があります。
- 「うちは狙われない」
- 「ITに詳しくないから無理」
- 「ツールを入れれば大丈夫」
どれも、残念ながら正しくありません。多くの事故は、
狙われた結果ではなく、
管理できていなかった結果として起きています。
まとめ
中小企業の情報セキュリティ対策は、
- 高価なツールを入れること
- 専門家に丸投げすること
から始める必要はありません。
誰が、何を、どう管理しているかを説明できる状態を作ること。
まずは、この7項目を押さえるだけで十分です。そこまで整って初めて、
ツールや外部サービスが意味を持ち始めます。