5分で診断!中小企業のセキュリティ強化法

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

5分で診断!中小企業のセキュリティ強化法

2012/09/18


 中小企業ではセキュリティ対策に割ける社内リソースが大企業とは大きく異なり、「1人情シス」が過重な負担を背負って余力がないケースや、そもそも専任の担当者がおらず、ITリテラシが十分とは言えない場合も少なくない。とはいえ、保有する情報の重要性は大企業と変わりがあるわけではなく、むしろ大企業からの業務委託を受けて、機密情報を扱う業務を行っていることさえある。また、企業規模が小さいからといって規模に比例して情報保護責任が軽くなるわけでは決してない。セキュリティ対策に投資できる金額が限られる中、「選択と集中」でセキュリティ投資対象を厳選しながら、徐々にではあってもセキュリティ管理のPDCAを回していく体制を作りたいと願う中小企業は多いはずだ。今回は、特に中小企業のセキュリティ対策に焦点を当て、最低限何をなすべきかを考えていく。

中小企業

情報の重要度に応じた階層的な管理がなかなかできない中小企業

 中小企業の深刻な悩みの1つは、人的リソースが少ないうえにITに投資できる余裕がほとんどない中で、情報保護に関する責任が年々重くなってきていることだ。2005年の個人情報保護法の施行以来、数々の情報漏洩事件やWeb改ざん事件などを経て、企業の業務委託契約には情報保護に関する厳しい条項が盛り込まれるようになり、以前には要求されなかったきめ細かい情報管理やセキュリティ対策が強く求められるようになっている。また中小企業自身が保有する個人情報や設計情報などの機密情報が漏洩した場合には、たちまち経営が危機に瀕する危険性も高く、早急にセキュリティ強化を図らなければ企業存続さえ危ぶまれる。
 しかし中小企業ではセキュリティの専門知識を持つ人材の確保が難しく、セキュリティに関する危機感が乏しいケースが多いのが現状のようだ。例えば次のようなケースがある。

中小企業の情報漏洩事例
中小企業の情報漏洩事例

 この事例に関して、IPAでは3つの問題点を指摘している。

社内の情報が分類・整理されていない。
従業員が機密情報か否かを判別できない状態で保管されている。
重要な情報に誰でもアクセスできるようになっている(アクセス制御ができていない)。 

 A社の悲劇を対岸の火事と見過ごすことができるだろうか。同じような「脇の甘さ」は多くの企業に共通しているように思える。日々の業務に多忙な中小企業では、情報管理を落ち着いて実行する時間がない。しかしこの事例のように機密情報が外部に流出すると、取り返しのつかない事態に陥る。しっかりと足元を固める時間とリソースを捻出して、機密情報の分類・整理といった基本的なリスク管理対策から、早急に実行していく必要があるだろう。


1

中小企業がまず取り組むべきなのは社内の情報分類と整理

 情報セキュリティ強化のためのポイントは数多い。どこから手をつけるべきかが分かりにくいが、上掲のように中小企業にとって情報が外部に流出することは経営を揺るがす要因となりかねないことは事実である。ここではまず、守るべき情報資産とそれ以外の情報とを区別し、機密度に応じて管理の仕方を適正に行う考え方を知っておきたい。それが情報セキュリティの第1歩となる。

1-1

情報資産管理台帳の作成

 企業が守り管理すべき情報は「情報資産」と呼ばれる。企業には情報資産以外の情報が膨大にあるはずだが、それら全部を管理することは到底できず、その必要もない。何を守ればよいかは企業それぞれ異なるだろう。IPAでは、次のような情報を情報資産の例として挙げている。

その情報が漏洩したとき、会社の経営に大きな影響があるもの(例:個人情報)

その情報が改ざんされたとき、会社の経営に大きな影響があるもの(例:財務会計情報)

その情報が紛失したり利用できなくなったりしたとき、会社の経営に大きな影響があるもの(例:設計図面)

 自社にとって何が情報資産なのかを「情報資産管理台帳」を作成して明確にするとよい。台帳の項目も企業によって様々になるが、次のような項目がサンプルになる。

情報資産管理台帳の記載項目例

管理番号 情報資産名 対象(媒体) 保管/格納場所 利用範囲 管理責任部門/責任者/連絡先
台帳登録日 廃棄日 保存期間 影響度(機密性/完全性/可用性) その他

セキュリティ情報局にご登録頂いた方限定で「5分で診断!中小企業のセキュリティ強化法」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


中小企業/5分で診断!中小企業のセキュリティ強化法」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「中小企業」関連情報をランダムに表示しています。

中小企業」関連の製品

丸分かり「VMware NSX」入門 なぜ必要か? 何ができるのか? 【ヴイエムウェア株式会社】 【ノンプログラミングWebデータベースソフト】UnitBase 【ジャストシステム】 統合バックアップソリューション 「Backup Exec」 【ベリタステクノロジーズ】
SDN データベースソフト バックアップツール
丸分かり「VMware NSX」入門 なぜ必要か? 何ができるのか? 専門知識不要、簡単なマウス操作や表計算ファイル取込でWebデータベース作成、活用できるソフトウェア。検索・集計・グラフ化も容易。データへのアクセス権限設定も柔軟。 幅広いプラットフォームとアプリケーションに対応する統合バックアップソリューション。台数ベースライセンスのほか、容量課金、仮想環境向けソケット課金にも対応。

中小企業」関連の特集


デスクトップ仮想化の導入は進んでいる? 導入済み企業ではどんな課題が出ている? 導入検討企業が重視す…



427人を対象に「HAクラスタリングソフトの導入状況」を調査!重視ポイントや満足度、導入後の課題など…



 会社が小さいうちは、目の届く範囲に同僚や部下がいて、周りの人達が何をしているのか、何となく把握でき…


中小企業」関連のセミナー

長期的関係を築くエンゲージメントマーケティングとMAの実践知 【マルケト/ランドスケイプ】 締切間近 

開催日 6月28日(水)   開催地 東京都   参加費 無料

受注率/案件化率の改善。そろそろやめませんか?貴社では日々受注率/案件化率の改善に取り組んでいらっしゃることでしょう。 しかし、改善には「限界がある」ことを忘れ…

パートナー募集セミナー:FutureOneベストセレクション 【FutureOne/日本マイクロソフト】 締切間近 

開催日 6月29日(木)   開催地 東京都   参加費 無料

【セミナー概要】  この度FutureOneは、弊社と共に中堅・中小企業を支える  パートナー様を募集いたします。   本セミナーでは、弊社がご提供する基幹業務…

業務渡航における危機管理の最新動向セミナー 【日立システムズ】  

開催日 7月5日(水)   開催地 東京都   参加費 無料

昨今、中堅中小企業においても海外進出が増加傾向にあります。一方で、テロ事件や民族闘争が思いもよらない場所で発生するリスクが高まっているのも実情です。特に最近では…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004939


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ