2020年 12月 10日

運送業を営んでいます。ドライバーにスマートフォンを持たせたり、クラウド型ドライブレコーダーを導入したりと、気がついたら仕事にインターネットが欠かせなくなっていました。当社には情報システムの専門家がおらず、情報セキュリティに不安を感じています。当社のような中小企業の情報セキュリティへの取り組み方について、アドバイスをお願いします。

回答

現在は、コンピューターやスマートフォンだけでなく、家電製品や産業機械といったIoT機器など、ありとあらゆるものがネットワークにつながっています。従来のように、サーバーやパソコンにウイルス対策ソフトを導入するだけでは、情報セキュリティを守りきれない時代となっています。

【サイバー攻撃の温床ダークウェブ】

海中の氷山に例えられるインターネットの世界

インターネットの世界には、私たちが普段利用しているウェブサイト以外に、ダークウェブと呼ばれる領域があります。そこでは、拳銃や麻薬、クレジットカードや決済サービスの暗証番号など、違法な物品・情報が取り引きされています。最新のマルウエア(ウイルスなど悪意のあるソフトウエアの総称)も入手でき、金銭目的のサイバー攻撃の温床となっています。

【多様化するサイバー攻撃】

独立行政法人情報処理推進機構(IPA)は毎年、「情報セキュリティ10大脅威」を発表しています。2019年3月に発表された10大脅威は下表の通りです。

情報セキュリティ10大脅威2019

順位

組織

昨年順位

1位

標的型攻撃による被害

1位

2位

ビジネスメール詐欺による被害

3位

3位

ランサムウェアによる被害

2位

4位

サプライチェーンの弱点を悪用した攻撃の高まり

NEW

5位

内部不正による情報漏えい

8位

6位

サービス妨害攻撃によるサービスの停止

9位

7位

インターネットサービスからの個人情報の窃取

6位

8位

IoT機器の脆弱性の顕在化

7位

9位

脆弱性対策情報の公開に伴う悪用増加

4位

10位

不注意による情報漏えい

12位

(1) 対策レベル1

端末やサーバーのセキュリティ対策です。

  1. サーバー、パソコン、スマートフォンなど、端末への対応
    1. ウイルス対策ソフトの導入
    2. ウイルス対策ソフトを最新版へ更新
    3. OS(オペレーティングシステム)の更新
    4. ID、パスワードによるアクセス制限
  2. ファイルサーバーで共有するデータへの対応
    1. ファイルサーバー(ファイル共有のためのサーバー)のフォルダごとに、アクセスできる従業員を設定

(2) 対策レベル2

ネットワークのセキュリティ対策です。

  1. インターネットと自社ネットワーク間の対策
    1. インターネットと社内ネットワーク間で、許可した通信だけを通すFirewallの設置
    2. Firewallを通り抜ける、不正な通信を検知するIDS(Intrusion Detection System)の設置
    3. Firewallを通り抜ける、不正な通信を遮断するIPS(Intrusion Prevention System)の設置
  2. 自社Webサーバーのセキュリティ対策
    1. 自社サイトの不正ログインや乗っ取りを防ぐWAF(Web Application Firewall)の設置

対策レベル2は、IT専門家がいない中小企業にとっては専門的で、必要性がよく理解できないと思います。しかし、ダークウェブでは脆弱性を突くサイバー攻撃方法が、日々生み出されています。ウイルス対策ソフトだけでは、サイバー攻撃を防ぎきれないため、ネットワークに対するセキュリティ対策も非常に重要です。

中小企業にとって、自社でネットワークセキュリティ機器を設定するのは、ハードルが高いと思います。事業者が必要な設定をしてくれるセキュリティサービスの利用をお勧めします。

(3) 対策レベル3

組織として情報セキュリティ対策を確実に実施するための仕組み作りです。この点がしっかりしていないと、いつしか綻びが生じ、サイバー攻撃の被害を受ける危険性が高まります。次のような取り組みです。

  1. 統括責任者と部門責任者の選任
    全社の情報セキュリティを推進する組織を編成します。情報セキュリティ投資の意思決定も必要なので、統括責任者は役員クラスの方の選任が望ましいです。
  2. 情報セキュリティ・ルールの策定
    情報セキュリティ対策を運用するルールを策定します。自社の実情に合った実行可能なルール作りと、ルールだけではカバーできない残存リスクの認識がポイントです。
    社内の人材だけで情報セキュリティ・ルール策定が難しい場合は、外部専門家の利用をおすすめします。セキュリティ対策関連の補助金を設けている自治体もありますのでご確認ください。
  3. 従業員への情報セキュリティ・ルールの教育と日々の運用
    ルールの遵守には、従業員への教育が必須となります。その上で、情報セキュリティ・ルールを、日々運用します。
  4. PDCAサイクルによる情報セキュリティ・ルールの改善
    ルールを策定しても、定期的に見直しをしなければ、ルール本来の目的が薄れます。PDCAサイクルで見直しを行うことで、情報セキュリティ・ルールを継続的に改善してください。

【ぜひ試してもらいたいセルフチェック】

以上、情報セキュリティの重要性と、対策のステップアップについて説明しました。最後に、IPAが提供している「5分でできる!情報セキュリティ自社診断」をご紹介します。これは、25問のセルフチェックで自社のセキュリティレベルを把握できるものです。ITに詳しくない経営者の方でも回答できますので、自社のセキュリティレベル判定に納得できると思います。

回答者

中小企業診断士
土田 哲