ナビゲータのEVEです。
本日は、日曜日と言うことで、セキュリティの日です。本日は、中小企業診断士試験で気になった、中小企業の情報セキュリティ対策ガイドラインについてお話しをしましょう。セキュリティの話で、その中心が、中小企業と言うことで、今の私にふさわしい内容といえるでしょう?
[中小企業の情報セキュリティ対策ガイドライン]
中小企業の情報セキュリティ対策ガイドラインの資料は、下記URLから最新のver3.1(2019年)のものがダウンロードすることが可能です。その内容は、全て合計すると200ページ以上あり、なかなか理解するには難しい部分がありますので、簡単にChatGPTに解説をしてもらいましょう!
このガイドラインの目的は、中小企業がサイバー攻撃や情報漏えいのリスクを最小限に抑えるために、最低限実施すべきセキュリティ対策をわかりやすく示すことにあります。
■ガイドラインの概要
❶情報セキュリティの重要性
・中小企業は大企業よりもセキュリティ対策が手薄になりがちで、サイバー攻撃の標的になりやすい。
・サプライチェーン攻撃のリスクもあり、取引先や顧客にも影響を与える可能性がある。
・情報漏えいやシステム停止が発生すると、信用の失墜や損害賠償などの深刻な被害が発生する。
❷「5分でできる」セキュリティチェック
まずは簡単にできるチェックリストを使い、現状のセキュリティ対策を把握することが重要。
★基本チェック項目
・OSやソフトウェアを最新の状態に保っているか?
・強固なパスワードを設定しているか?
・不審なメールを開かないように注意しているか?
・ウイルス対策ソフトを導入・更新しているか?
・バックアップを定期的に取っているか?
■中小企業が実施すべき基本対策
❶経営者が実施すべき対策
・情報セキュリティの重要性を理解し、方針を決める
・組織全体でルールを決め、従業員に周知する
・予算を確保し、セキュリティ対策に投資する
・外部の専門家や支援機関(IPA, 中小企業庁, 商工会議所など)を活用する
❷技術的な対策
★システム管理
・OSやソフトウェアを常に最新の状態に更新
・ウイルス対策ソフトを導入し、定期スキャンを実施
・重要データのバックアップを定期的に取得
★ネットワーク管理
・ファイアウォールを設定し、不正アクセスを防ぐ
・Wi-Fiのパスワードを強化し、未許可の接続を防止
・VPNを利用し、安全にリモートワークを実施
★アカウント管理
・強力なパスワード(英大文字・小文字・数字・記号を含む)を設定
・使い回しを避ける & 定期的に変更
・二要素認証(2FA)を導入し、不正ログインを防ぐ
❸人的な対策
★従業員の教育
・フィッシングメールや詐欺メールの見分け方を学ぶ
・USBメモリや外部記憶媒体の使用ルールを決める
・個人情報や顧客データの取り扱いルールを明確にする
★内部不正の防止
・退職者や異動者のアカウントをすぐに削除
・社員が必要以上のデータにアクセスできないよう制限
・ログを監視し、不正アクセスの兆候を確認
■実践しやすい情報セキュリティ対策の例
1)無料で使えるセキュリティソフトを導入する(Windows DefenderやAvastなど)
2)パスワードマネージャーを活用する(1Password, LastPass, Bitwarden など)
3)GoogleやMicrosoftの「二段階認証(2FA)」を設定する
4)無料のVPNを避け、信頼できるVPNサービスを利用する
5)重要データはクラウドだけでなく、ローカルにもバックアップを取る
■まとめ
「中小企業の情報セキュリティ対策ガイドライン」は、経営者・従業員が最低限実施すべきセキュリティ対策を分かりやすく解説しています。
特にサイバー攻撃のリスクが高まる中、基本的な対策を徹底するだけでも被害を大幅に減らすことが可能です。
◆まずは「5分でできるセキュリティチェック」を実施!
◆OSやソフトウェアを最新の状態に更新!
◆強固なパスワード & 二要素認証(2FA)の導入!
◆定期的なバックアップ & フィッシングメール対策!
「情報セキュリティ対策は難しい」と感じるかもしれませんが、ガイドラインに沿って一歩ずつ実施すれば確実に強化できます。
実際のガイドラインはIPAの公式サイトからダウンロードできますので、詳細を知りたい場合は確認してみてください!
[中小企業の情報セキュリティ対策ガイドライン3.1]
それでは具体的な中身を読んでいくと、以上の内容は主に実践編に書かれています。そもそもの話として、経営者にセキュリティの重要性について説いています。セキュリティを実践しないと、個人情報を扱っている場合では、刑事罰が科せられるなど、ちょっと、脅した内容となっていますが、これを読んで経営者は、さぁ~セキュリティを実施しようという人が増えるのでしょうか?
現在、好景気でもないのに、大企業は個人の給与をどんどんあげ、そのあおりを受けて、中小企業も人材確保という観点から人件費を上げざるを得ない状況となっています。その状況の中で、去年セキュリティに関する費用が減少しているという報告があります。そのような状況の中、アメリカではリセッションに入りそうと言う話もあります。アメリカがそうなった場合、日本もその影響を強く受けます。その影響を受けた日本には、レイオフするという仕組みが社会にありません。その時の日本の状況については読んでいる方の想像にお任せしますが、あまり、嬉しくない状況が想像されます。
そのような状況の中で、現在のセキュリティの話は酷なような印象を受けます。そのためだと思いますが、実践編では、できるところからやりましょうという内容で、かなり、初歩的な話が書かれています。
[セキュリティを実施する意味]
YouTubeで中小企業のセキュリティの状況を聞きますが、まず、経営者の方からセキュリティの専門の方が聞かれることは、「セキュリティを実施して儲かりますか?」という質問だそうです。これから、起業しようと考えているモノとしては、セキュリティは会社を経営する上でのインフラです。だから、これをやったから必ず儲かるかと聞かれると言葉に詰まります。ただ、私もシステムを作る上でセキュリティを前面に出しています。それは、安心だから仕事を任せようという話になるかもしれないと考えているからです。当然、仕事を頼むなら、セキュリティが十分なところの方が良いですからね?
それと、気になるキーワードとしては、「自社には重要な情報がないからセキュリティは不要」だといっている企業経営者が多いらしいと言うことです。現在の社会情勢の中、セキュリティに資金を投入できないから、そのような言い方になっているだけならいいのですが、もし本気で言っているなら、自分たちを過小評価しすぎです。日本の中小企業は、ロケットのフォールトアボイダンスを実現する技術があります。社会的にセキュリティを実現できるような仕組み作りが必要なのかもしれません。
[あとがき]
私もセキュリティを商売にしたいと考えているのですが、なかなか難しい現状があります。これから、少しずつ情報を集め、セキュリティでも何かビジネスができる体制を作っていきたいと思います。
この悠長な感じでビジネスをしようとしている状況を、アメリカの起業家が見たら、信じられないと思います?ただ、私の場合、まだ時期ではないようだと感じています。それは、今までブログで書いてきた内容にも起因しているのですが、それも、ブログを書くことにより、よりよい状況に向かいつつあるようです。問題が解決したら、スピード感をもって、ビジネスを前に進めていきたいと思います。
今週は、木、金曜日にもセキュリティの話をしましたが、実践編的な内容となっています。今後の話なのですが、日曜日は、経営者目線または、社会のセキュリティの動向をメインに話せればと考えています。
では、また!
https://www.ipa.go.jp/security/guide/sme/about.html
コメント
コメントを投稿