2025年4月1日利用分より、フレッツ 光ネクスト(一部サービスタイプ)の月額利用料を改定します。詳細はこちら別ウィンドウで開きますをご確認ください。

2025年4月1日利用分より、フレッツ 光ネクスト(一部サービスタイプ)の月額利用料を改定します。詳細はこちら別ウィンドウで開きますをご確認ください。

今、中小企業が取り組むべき課題

【COMPASS presents】顧客と会社の情報をきちんと守れる会社に

「うちは小さい会社だから、狙われるわけはない」
「取られて困るような情報、持ってないよ...」

インターネットの普及、多様な業務ソフトの提供、パソコンなどハードウェアの低価格化により、業務においても大量の情報をデジタルで自在にやり取りできるようになりました。

社会生活において窃盗や泥棒、誘拐など様々な事件が起きてしまうのと同様、デジタル化された情報においても外部から狙われたり事故を起こしたり、活用するうえでのリスクが潜んでいます。
安全に使うためのルール作り・対策は必須なのです。

その際によく聞くのが、冒頭のように「うちは大丈夫だから対策は不要」という意見。
企業の大小は関係ありません。「大丈夫」ではないのです。
技術力やサービス力を磨き、誠実に経営をしてきた企業が、ネットからの攻撃(サイバー攻撃)で窮地に陥る事件も、現実に起きています。

情報セキュリティ対策に無頓着でいるとどうなるのか。経営の観点から、認識したいリスクは次の3点です。

  1. 情報を人質にされることや詐欺メール等による直接的な金銭被害
  2. 情報漏えいや改ざんによる信用失墜と取引減少
  3. 社内情報の外部漏えいによる競争力低下

情報セキュリティ対策を怠るリスク

無防備に放置した虎の子の貯金や友人の住所リスト・写真や手紙が盗まれたら、悔やんでも悔やみきれません。だからカギを掛けたり安全な保管場所を探したりします。

にもかかわらずなぜかデジタル化された情報には「自社は大丈夫」と思ってしまうところが、一番大きな「情報セキュリティ上の脆弱性」かもしれません。

情報を人質にするランサムウェア 改正個人情報保護法も

ICTの活用において、具体的にどのような脅威が発生しているのでしょうか。

独立行政法人情報処理推進機構(IPA)の情報セキュリティセンターでは、毎年「情報セキュリティ10大脅威」を発表しています。
2018年は次の通りです。

情報セキュリティ10大脅威 2018 組織編

順位 内容
1位 標的型攻撃による被害
2位 ランサムウェアによる被害
3位 ビジネスメール詐欺による被害
4位 脆弱性対策情報の公開に伴う悪用増加
5位 脅威に対応するためのセキュリティ人材の不足
6位 ウェブサービスからの個人情報の窃取
7位 IoT機器の脆弱性の顕在化
8位 内部不正による情報漏えい
9位 サービス妨害攻撃によるサービスの停止
10位 犯罪のビジネス化(アンダーグラウンドサービス)
  • IPA発表(IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定)

第2位にある「ランサムウェア」に着目しましょう。
ランサムウェアとは、会社の情報をロックして金銭を要求する攻撃です。
なぜ、勝手に社内に入って情報をロックできるのかというと、「請求書」など思わず開いてしまうタイトルのメールを送り、添付ファイルを開くと攻撃につながる通信が始まるなどの方法をとるからです。手口は巧妙です。こうした特定の組織を狙う「標的型攻撃」(第一位)は依然続いています。

第6位には「ウェブサービスからの個人情報の窃取」が挙がっています。
ウェブサービス内に登録されている個人情報やクレジットカード情報等の重要な情報を窃取される被害、つまり顧客の情報が盗まれるのです。

2017年の「改正個人情報保護法」では、5000人以下の個人情報を扱う事業者への除外項目が撤廃されすべての企業が対象になりました。
個人データを漏えい、減失、き損させないよう、安全管理措置を行う義務があります。
社内で構築している顧客データベースはもちろん、とくにネットショッピングの会員サイトなどネット経由の情報は、厳格な管理が求められているのです。

トレンドマイクロの調査では、「重大被害を経験した組織」のうち約30%が年間被害額1億円以上を示しています。

重大被害を経験した組織での年間被害額(n=2017年 570、 2016年 530)

悪意がなくても情報漏れ!? 社内の教育や意識改革も必要

情報セキュリティの脅威から会社を守るには、セキュリティ対策サービスの導入、OSやソフトウェアの更新などICT面での対策と同時に、社員のセキュリティ意識を高め、ガイドラインを作り実行する社内の取り組みを行います。

最近の脅威に関する知識があれば、おかしなメールに気づいたり、データの安全管理措置について自ら考えたり、会社の情報を守る行動がとれます。

以前放映された製造業の中小企業を舞台にしたテレビドラマにおいて、退職する社員が大事な図面データをUSBメモリーにコピーし転職先の競合他社へ渡す(つまり大事な情報を盗む)シーンがありました。当人が悪いのはもちろんですが、簡単にコピーできるようなシステムを放置し、情報の取り扱いについて啓発していなかった会社側も管理体制が問われると言えます。

一方、SNSやクラウドサービスの普及を背景に、意図しない情報漏えいも見られています。
例えば、日々の生活で手軽な情報公開に慣れすぎて、会社員の立場にも関わらず不用意に発信してしまうケース。SNSに今日訪問した会社での出来事を書き込み、場所が特定できるような写真を載せてしまえば、社名はなくてもどこに行ったかわかってしまいます。商談の性質によっては訪問先企業から信頼を失うでしょう。

また、「仕事の残りを家で片付けよう」と、個人が使っているクラウドサービスに業務のファイルをアップ。しかしパスワード管理が甘く、なりすましログインをされファイルが漏れてしまい、善意の行為が情報漏えいを招くこともあります。

スマートフォンとクラウドサービスの普及でいつでもどこでも情報を扱えるようになりました。便利だからこそ、会社の情報をどう扱えばよいか、情報の重要度をどうとらえるか。情報セキュリティについて学習する機会と仕組みづくり、情報セキュリティ対策を担う人材育成を進めていきましょう。

取り組みのきっかけづくりに使えるものとしてIPAが実施している「SECURITY ACTION(セキュリティアクション)」を紹介します。中小企業が自社でセキュリティ対策に取り組むための自己宣言制度です。

一つと二つの2段階あり、自己宣言しIPAに申し込むとロゴマークを使用することができます。

一つ・・・
「OSやソフトウェアは常に最新の状態にしよう!」「共有設定を見直そう」など5項目の実行を宣言
二つ・・・
5分でできる自社診断」の実施と、情報セキュリティ基本方針を定め、外部に公開したことを宣言

セキュリティアクションは「認定」ではなく「自己宣言」ですが、セキュリティ対策に取り組む姿勢を持つ企業として信頼獲得に役立ち、社外に宣言した以上、実行に移す後押しになります。

情報セキュリティ対策は経営者が自社の課題と認識し、会社をあげて取り組みましょう。

  1. 現状とリスクを正しく知る
  2. 自社が取り組むべきことを社員と共有し、実行する
  3. 必要なICT上のセキュリティ対策を実施する

そして、定期的にチェックし見直しを行います。

脅威から会社を守る体制づくりは、社員が情報漏えいなどを引き起こす当事者になる不安を解消し、セキュリティ意識が高い企業として取引先からの信頼獲得にもつながります。

「うちは大丈夫」ではありません。「うちも狙われる可能性がある」前提で、推進していきましょう。

メルマガ登録


NTT EAST DX SOLUTION


ミライeまち.com


「ビジネスの最適解」をお届けします 無料ダウンロード資料


イベント・セミナー情報

ページトップへ

ページ上部へ戻る