サイバー攻撃の高度・多様化や、ビジネスでのモバイルの浸透。これらを背景にして、高まりを見せているのが、企業のセキュリティ対策です。
一方、そのリーダーであるべき情シスは近年人数が減少。ひとり情シスやゼロ情シスももはやめずらしくありません。このような場合、セキュリティ対策をどうすればよいのでしょうか？

【IT部門の多事多難】希薄化する情シスの存在

他にメンバーはおらず、一人で黙々と仕事をこなす「ひとり情シス」が増えているようです。また、会社に情報システム部が存在しない「ゼロ情シス」も同様だとか。Webメディア『TechReqblic Japan（https://japan.techrepublic.com/）』が今年1月に掲載した記事には、中堅企業でひとり情シス、ゼロ情シス化が進んでいるとして、「直近3年間で３割以上の企業がセキュリティにまつわる被害に遭遇したことが明らかになっている」といった衝撃的な内容も掲載されています。

さて、このような状況が続き、ひとり情シスとゼロ情シスが増加したら、会社のセキュリティ対策は十分に講じられるのか？　今回はそんなお話です。

【根深い問題】ひとり/ゼロ情シスの多くは、セキュリティまで手が回らない

“ITのなんでも屋さん”というイメージがいつから定着したのか、日々の業務があまりに多岐にわたる情シス。

「基幹システム、サーバー、ネットワークの管理から、ユーザーPCの設定、さらにはヘルプデスクまで、いかんせん業務が多すぎる。それに加えて、『セキュリティ対策は万全にしろ』なんて・・・、サイバー攻撃は日に日に高度・複雑化してるのに。」

このような声が実際にあったかはわかりませんが、セキュリティ対策まで手がまわらない情シスは少なくないといいます。これが、ひとり/ゼロ情シスであればなおさらでしょう。しかし現在、サイバー攻撃のメイン対象は、大企業から中小企業に遷移していて、情報システム部門のない小規模企業も被害に遭遇するリスクが高まっています。近年には、従業員10名ほどの会社が深刻な被害を受けた事例もあるそうです。

一方、IPA の「2016年度 中小企業における情報セキュリティ対策に関する実態調査（https://www.ipa.go.jp/files/000058502.pdf）」を見ると、「小規模企業の情報セキュリティ対策専任担当者はわずか7.4%」「情報セキュリティ教育に関しては70.5%が未実施」さらに、「90%がゼロ情シス傾向」だとしています。サイバー攻撃は高度化する反面、情シスは不足し会社の情報セキュリティのリテラシーが育たない。まさに負のスパイラルです。

 

【疑問】ひとり/ゼロ情シスの会社が最低限取り組むべきセキュリティ項目とは？

サイバー攻撃と情報セキュリティの反比例。これが現代の中小企業における課題だということがわかりました。

この課題をよい方向に改善するためには、まずひとり/ゼロ情シスでも講じられるセキュリティ対策が必要になります。では、そもそもどんな項目に対策が欠かせないのか？

やはり外せないのは「サイバー攻撃」でしょう。攻撃対象が中小企業に移っていることを考えれば喫緊の問題だといえます。次に「情報漏えい」。機密データが外部に漏れてしまうことは、会社の競争力を低下させるだけでなく、企業存続にも大きく関わります。そして、「モバイルデバイス」。会社の規模に関わらず、スマホやタブレットは今や業務で必須の存在。しかし、これらは管理を怠ると、「セキュリティの抜け道」になってしまう大きなリスクをはらんでいます。

それでは、上記3つの項目について、ひとり/ゼロ情シスでも実施しやすい対策を考えていきましょう。

【セキュリティ対策案】ソリューションの力を存分に活用

①：「サイバー攻撃」は、アンチウイルスソフトよりも『UTM』でガードを固める！

サイバー攻撃というと、まず浮かぶのがウイルス対策のアンチウイルスソフトの導入。しかし現在、脅威となるサイバー攻撃はウイルス単体だけではなく、「標的型攻撃」、「水飲み場型攻撃」などと複雑。これらの脅威に対して、アンチウイルスだけで対処するのはとても困難です。

一方、「総合脅威管理」といわれるセキュリティ機器の『UTM』は多様な攻撃を防ぐ複数の機能を搭載。ネットワーク攻撃への「ファイアウォール」、不正アクスへの「IPS・ IDS」、ウイルスへの「アンチウイルス」、迷惑メールの「アンチスパム」などの脅威を一台で防ぎます。導入の労力も小さく、コストも比較的低いので、ひとり/ゼロ情シスが検討しやすい機器です。

②：「情報漏えい」は、『暗号化ソリューション』で簡単&確実な対策を！

『暗号化ソリューション』は、高度な暗号アルゴリズムを使い機密データを暗号化できる機能をもつソフトウェアです。デスクトップやノート、メール、クラウドなど、データの置き場所を問わず自動で暗号化してくれるサービスも多く、生産性を低下させず情報漏えいのリスクを軽減できます。権限設定も行えるので、内部不正による漏えいも防ぐことが可能です。

③：社外の危険にさらされる「モバイルデバイス」は、『MDM』で一括管理！

管理の目がいき届かない社外。そこで使われるモバイルデバイスは、絶えず紛失や盗難などの懸念がつきまとい、情報漏えいのリスクがあります。また、ユーザー管理となるため、不正アプリ利用によるウイルス感染の懸念もあります。

このようなリスクに有効なのが『MDM』です。モバイルのセキュリティポリシーや機能制御を一括で設定することができます。また、管理者による位置情報の取得やデータ消去、デバイスロックも実行でき、紛失・盗難時のリスク軽減にも役立ちます。MDMがあれば、複数の社用スマホやタブレットをスムーズに管理することが可能です。

【もっと重要なこと】セキュリティに意欲を持つべきは経営陣

情シスが、どんなによいセキュリティ対策を計画しても、経営陣の理解がなければ環境は整いません。セキュリティ対策は直接的に利益につながらないこと、どんなに強固な環境でもリスクは必ず残るなどの理由から、これまではコストと見なされる傾向にありました。しかし、IoT時代に突入した今、業界を問わずITが事業戦略上欠かせなくなり、セキュリティ対策の重要性は一層高まりをみせています。

もし、業務システムがサイバー攻撃を受け、メールの送受信ができなくなってしまったら？　その間の損失は計り知れないばかりか、取引先の信用も失われてしまいかねません。

中小企業庁「中小企業の成長と投資行動に関するアンケート調査」によれば、現在でも約4割の中小企業がIT投資は重要ではないと考えるといいます。しかし、上記のリスクをみれば、今こそすべての会社がセキュリティ対策への投資を検討すべきだといえます。

情シスの声に耳を傾け、経営陣がセキュリティポリシーを策定し率先してリーダーシップを取る。それが、これからの会社に求められる体制なのです。

 

【執筆：編集Gp　坂本 嶺】