情報セキュリティ強化支援
あなたの会社でこんなことはありませんか?
ここ数年、標的型攻撃メールやSCM(サプライ・チェーン・マネジメント)の脆弱性を突いた情報流出、ビジネスメール詐欺、ランサムウェア(ファイルの強制暗号化と身代金要求)等による情報セキュリティ事故が世間を騒がせています。そういった外部からの悪意を持った攻撃に加え、社員や派遣社員による営業データの無断持ち出しなどの内部犯行、メールやFAXの誤送信など不注意による情報漏洩もいまだに後を絶ちません。
「今のところセキュリティ事故は発生していないから多分大丈夫だろう」と考える方もいらっしゃるようですが、手口がより巧妙化し、情報化がますます加速していく中で、果たして本当に今後もそのように言いきれるでしょうか?
情報セキュリティ事故を起こすと最悪の場合、会社が無くなる!
情報セキュリティの対応はいわゆる「緊急度が低いが、重要度は高い」作業の典型例です。すぐに対応しなくても実害が表れないことが多いのですが、放置しておくと将来会社や組織にとって重大な損害をもたらすリスクが非常に高いといえます。例えば「情報セキュリティ事故 事例」などで検索していただくと、たくさん事例が出てきますが、なかには賠償金で数十億円もの損害が発生したり、「取引停止」などによって間接的に全社の売上に影響が出る場合もあります。またそういった金銭的な損害だけでなく、会社の信用失墜という回復しがたいダメージや社会的制裁も考慮しなければなりません。
そういったリスクをできるだけ回避・軽減していくためには、情報セキュリティの強化は中小企業でももはや必須と言えるでしょう。
まずは現状の確認と最低限の対策をしましょう
そこで社内にセキュリティの専門家がいない場合などは、まずIPA(情報処理推進機構)で実施している「5分でできる!情報セキュリティ自社診断」を実施してみましょう。ここで点数が低かった項目について、対策を検討しすぐに実施していくのがよいでしょう。ただしここで100点満点かそれに近い場合もリスクがゼロというわけではありませんので、同じくIPAの「中小企業の情報セキュリティ対策ガイドライン」を参考に、より情報セキュリティに関するリスクを極小化していく対策を進めることが重要です。
ただし全てのリスクに対して対策を打つことは事実上不可能ですので、「リスクが顕在化する確率」と「リスクが発現した際の影響度」を分析し、それぞれのリスクにどのように対応していくか会社・組織としての方針を決めておくことも有効でしょう。
迷ったら専門家に相談
対策を進めるにあたっては、ITやセキュリティの知識・経験が必要となることがあります。またそういった知見がある社員が社内にいても忙しい、どうやって進めていいか分からない等の理由で対応できないケースもあります。その場合は、外部の業者に依頼するというのも一つの手でしょう。
なお、システックスではIPA(情報処理推進機構)の「SECURITY ACTION」の趣旨に賛同し、当制度の普及促進のための積極的な取組みを実施していますので、中小企業等がSECURITY ACTION制度を活用し、情報セキュリティ対策に取組むことを自己宣言するための支援策等も提供できます。また同機構の「IPAセキュリティプレゼンター」や「情報処理安全確保支援士」も在籍しており、セキュリティセミナーの開催等も可能ですので、もし疑問やお悩みのことがありましたら、以下のフォームからお問い合わせいただければと思います。