5分で診断!中小企業のセキュリティ強化法

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

5分で診断!中小企業のセキュリティ強化法

2012/09/18


 中小企業ではセキュリティ対策に割ける社内リソースが大企業とは大きく異なり、「1人情シス」が過重な負担を背負って余力がないケースや、そもそも専任の担当者がおらず、ITリテラシが十分とは言えない場合も少なくない。とはいえ、保有する情報の重要性は大企業と変わりがあるわけではなく、むしろ大企業からの業務委託を受けて、機密情報を扱う業務を行っていることさえある。また、企業規模が小さいからといって規模に比例して情報保護責任が軽くなるわけでは決してない。セキュリティ対策に投資できる金額が限られる中、「選択と集中」でセキュリティ投資対象を厳選しながら、徐々にではあってもセキュリティ管理のPDCAを回していく体制を作りたいと願う中小企業は多いはずだ。今回は、特に中小企業のセキュリティ対策に焦点を当て、最低限何をなすべきかを考えていく。

中小企業

情報の重要度に応じた階層的な管理がなかなかできない中小企業

 中小企業の深刻な悩みの1つは、人的リソースが少ないうえにITに投資できる余裕がほとんどない中で、情報保護に関する責任が年々重くなってきていることだ。2005年の個人情報保護法の施行以来、数々の情報漏洩事件やWeb改ざん事件などを経て、企業の業務委託契約には情報保護に関する厳しい条項が盛り込まれるようになり、以前には要求されなかったきめ細かい情報管理やセキュリティ対策が強く求められるようになっている。また中小企業自身が保有する個人情報や設計情報などの機密情報が漏洩した場合には、たちまち経営が危機に瀕する危険性も高く、早急にセキュリティ強化を図らなければ企業存続さえ危ぶまれる。
 しかし中小企業ではセキュリティの専門知識を持つ人材の確保が難しく、セキュリティに関する危機感が乏しいケースが多いのが現状のようだ。例えば次のようなケースがある。

中小企業の情報漏洩事例
中小企業の情報漏洩事例

 この事例に関して、IPAでは3つの問題点を指摘している。

社内の情報が分類・整理されていない。
従業員が機密情報か否かを判別できない状態で保管されている。
重要な情報に誰でもアクセスできるようになっている(アクセス制御ができていない)。 

 A社の悲劇を対岸の火事と見過ごすことができるだろうか。同じような「脇の甘さ」は多くの企業に共通しているように思える。日々の業務に多忙な中小企業では、情報管理を落ち着いて実行する時間がない。しかしこの事例のように機密情報が外部に流出すると、取り返しのつかない事態に陥る。しっかりと足元を固める時間とリソースを捻出して、機密情報の分類・整理といった基本的なリスク管理対策から、早急に実行していく必要があるだろう。


1

中小企業がまず取り組むべきなのは社内の情報分類と整理

 情報セキュリティ強化のためのポイントは数多い。どこから手をつけるべきかが分かりにくいが、上掲のように中小企業にとって情報が外部に流出することは経営を揺るがす要因となりかねないことは事実である。ここではまず、守るべき情報資産とそれ以外の情報とを区別し、機密度に応じて管理の仕方を適正に行う考え方を知っておきたい。それが情報セキュリティの第1歩となる。

1-1

情報資産管理台帳の作成

 企業が守り管理すべき情報は「情報資産」と呼ばれる。企業には情報資産以外の情報が膨大にあるはずだが、それら全部を管理することは到底できず、その必要もない。何を守ればよいかは企業それぞれ異なるだろう。IPAでは、次のような情報を情報資産の例として挙げている。

その情報が漏洩したとき、会社の経営に大きな影響があるもの(例:個人情報)

その情報が改ざんされたとき、会社の経営に大きな影響があるもの(例:財務会計情報)

その情報が紛失したり利用できなくなったりしたとき、会社の経営に大きな影響があるもの(例:設計図面)

 自社にとって何が情報資産なのかを「情報資産管理台帳」を作成して明確にするとよい。台帳の項目も企業によって様々になるが、次のような項目がサンプルになる。

情報資産管理台帳の記載項目例

管理番号 情報資産名 対象(媒体) 保管/格納場所 利用範囲 管理責任部門/責任者/連絡先
台帳登録日 廃棄日 保存期間 影響度(機密性/完全性/可用性) その他

セキュリティ情報局にご登録頂いた方限定で「5分で診断!中小企業のセキュリティ強化法」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


中小企業/5分で診断!中小企業のセキュリティ強化法」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「中小企業」関連情報をランダムに表示しています。

中小企業」関連の製品

中堅医薬品・化粧品製造業向けERPパッケージ「JIPROS」 【日本電子計算】 中堅・中小企業向け基幹業務ERP MJSLINK NX-I 【ミロク情報サービス】 たった1台で、中小企業のIT化が完了するユニークなサーバを紹介 【レノボ・ジャパン株式会社】
ERP ERP PCサーバ
中堅医薬品・化粧品製造業特化型ERP(販売・生産・原価)パッケージ。 強力な管理会計機能を備えたERPパッケージ。
業務効率の更なる向上と知的生産の向上に寄与する仕組みを搭載。
シリーズとしての機能を継承しつつ約200の機能アップを実現。
1台導入でIT化が完了、中小企業に必要な全機能を備えたオールインワンサーバ

中小企業」関連の特集


前回の連載ではブログやSNSの上手な更新方法と、バランスの取れた記事の話題について一緒に学んでいきま…



 こんにちは。カウンセラーの咲江です。 多くの企業では3月は年度末ですね。この時期は、営業職や技術職…



会議に資料はつきもの。重要会議になるほど説明資料やそれらの準備時間は膨大に、情報漏洩リスクも高まる一…


中小企業」関連のセミナー

企業の情報活用を推進!クラウド活用フェア 【協立情報通信】  

開催日 2月9日(木)〜2月10日(金)   開催地 東京都   参加費 無料

情報化社会におけるIoT、AIなどの進化はめざましく、まさにビジネス創造の好機といわれております。また、政府主導の「働き方改革」に伴い、働き方の多様化に対応する…

事例でわかる! ERP導入を成功させるポイント 〜海外展開 編〜 【パシフィックビジネスコンサルティング】  

開催日 10月19日(水),12月14日(水),2月15日(水)   開催地 東京都   参加費 無料

 近年、グローバル展開を進める企業様では「2層ERPモデル」が採用されるケースが増えています。これは、本社や主要拠点にはSAP ERPやDynamics AXな…

IoTトレーニング機器でスポーツに革命を 【主催:足立区/共催:東京商工会議所足立支部/足立区しんきん協議会】  

開催日 1月27日(金)   開催地 東京都   参加費 無料

講師ロンドン五輪 自転車日本代表総監督クラブコング株式会社 代表取締役 NPO法人 日本運動能力研究所 理事長 日本体育協会公認 アスレティックトレーナー 健康…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004939


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ