5分で診断!中小企業のセキュリティ強化法

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

5分で診断!中小企業のセキュリティ強化法

2012/09/18


 中小企業ではセキュリティ対策に割ける社内リソースが大企業とは大きく異なり、「1人情シス」が過重な負担を背負って余力がないケースや、そもそも専任の担当者がおらず、ITリテラシが十分とは言えない場合も少なくない。とはいえ、保有する情報の重要性は大企業と変わりがあるわけではなく、むしろ大企業からの業務委託を受けて、機密情報を扱う業務を行っていることさえある。また、企業規模が小さいからといって規模に比例して情報保護責任が軽くなるわけでは決してない。セキュリティ対策に投資できる金額が限られる中、「選択と集中」でセキュリティ投資対象を厳選しながら、徐々にではあってもセキュリティ管理のPDCAを回していく体制を作りたいと願う中小企業は多いはずだ。今回は、特に中小企業のセキュリティ対策に焦点を当て、最低限何をなすべきかを考えていく。

中小企業

情報の重要度に応じた階層的な管理がなかなかできない中小企業

 中小企業の深刻な悩みの1つは、人的リソースが少ないうえにITに投資できる余裕がほとんどない中で、情報保護に関する責任が年々重くなってきていることだ。2005年の個人情報保護法の施行以来、数々の情報漏洩事件やWeb改ざん事件などを経て、企業の業務委託契約には情報保護に関する厳しい条項が盛り込まれるようになり、以前には要求されなかったきめ細かい情報管理やセキュリティ対策が強く求められるようになっている。また中小企業自身が保有する個人情報や設計情報などの機密情報が漏洩した場合には、たちまち経営が危機に瀕する危険性も高く、早急にセキュリティ強化を図らなければ企業存続さえ危ぶまれる。
 しかし中小企業ではセキュリティの専門知識を持つ人材の確保が難しく、セキュリティに関する危機感が乏しいケースが多いのが現状のようだ。例えば次のようなケースがある。

中小企業の情報漏洩事例
中小企業の情報漏洩事例

 この事例に関して、IPAでは3つの問題点を指摘している。

社内の情報が分類・整理されていない。
従業員が機密情報か否かを判別できない状態で保管されている。
重要な情報に誰でもアクセスできるようになっている(アクセス制御ができていない)。 

 A社の悲劇を対岸の火事と見過ごすことができるだろうか。同じような「脇の甘さ」は多くの企業に共通しているように思える。日々の業務に多忙な中小企業では、情報管理を落ち着いて実行する時間がない。しかしこの事例のように機密情報が外部に流出すると、取り返しのつかない事態に陥る。しっかりと足元を固める時間とリソースを捻出して、機密情報の分類・整理といった基本的なリスク管理対策から、早急に実行していく必要があるだろう。


1

中小企業がまず取り組むべきなのは社内の情報分類と整理

 情報セキュリティ強化のためのポイントは数多い。どこから手をつけるべきかが分かりにくいが、上掲のように中小企業にとって情報が外部に流出することは経営を揺るがす要因となりかねないことは事実である。ここではまず、守るべき情報資産とそれ以外の情報とを区別し、機密度に応じて管理の仕方を適正に行う考え方を知っておきたい。それが情報セキュリティの第1歩となる。

1-1

情報資産管理台帳の作成

 企業が守り管理すべき情報は「情報資産」と呼ばれる。企業には情報資産以外の情報が膨大にあるはずだが、それら全部を管理することは到底できず、その必要もない。何を守ればよいかは企業それぞれ異なるだろう。IPAでは、次のような情報を情報資産の例として挙げている。

その情報が漏洩したとき、会社の経営に大きな影響があるもの(例:個人情報)

その情報が改ざんされたとき、会社の経営に大きな影響があるもの(例:財務会計情報)

その情報が紛失したり利用できなくなったりしたとき、会社の経営に大きな影響があるもの(例:設計図面)

 自社にとって何が情報資産なのかを「情報資産管理台帳」を作成して明確にするとよい。台帳の項目も企業によって様々になるが、次のような項目がサンプルになる。

情報資産管理台帳の記載項目例

管理番号 情報資産名 対象(媒体) 保管/格納場所 利用範囲 管理責任部門/責任者/連絡先
台帳登録日 廃棄日 保存期間 影響度(機密性/完全性/可用性) その他

セキュリティ情報局にご登録頂いた方限定で「5分で診断!中小企業のセキュリティ強化法」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


中小企業/5分で診断!中小企業のセキュリティ強化法」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「中小企業」関連情報をランダムに表示しています。

中小企業」関連の製品

日配食品業向け販売管理システム SkynetDish 【東計電算】 Plaza-i:機器販売保守業向けERPパッケージ 【ビジネス・アソシエイツ】 統合バックアップソリューション 「Backup Exec」 【ベリタステクノロジーズ】
販売管理システム ERP バックアップツール
日配食品業の業務や商慣習に対応した「販売管理」「購買管理」「製造管理」「在庫管理」を1システムで提供。情報の見える化、合理的かつ効率的な情報管理を実現する。 機器販売(輸出入、ロット・シリアル在庫、部品展開)と機器保守(保守契約管理:前受請求、売上月次均等計上、前受戻し)の複合業態に強いERPパッケージ。 【直販のみ】 幅広いプラットフォームとアプリケーションに対応する統合バックアップソリューション。台数ベースライセンスのほか、容量課金、仮想環境向けソケット課金にも対応。

中小企業」関連の特集


市場規模は2012年度に72万ライセンス/280億円に達すると予測されるシンクライアント(ミドルウェ…



IT担当者564人を対象に「BIツールの導入状況」を調査。満足度や重視ポイント、導入時の課題などから…



 今回は「後継者の承継」について、中小企業では、親族内の後継が一番多いこともあり、親族内承継での例を…


中小企業」関連のセミナー

特長も操作もハッキリ分かる!中堅中小企業向けBI紹介セミナー 【エヌジェーケー】  

開催日 2月8日(水),2月23日(木),3月8日(水),3月23日(木)   開催地 東京都   参加費 無料

DataNature Smartは…現場担当者や経営者それぞれのニーズに応じたアドホックなデータ活用から定型的な分析・集計までを、ボタンをクリックするだけの簡単…

たった1行のAPIコールで、Zabbixとクラウド電話とを連携! 【主催:ユニファイド・サービス 協力:オープンソース活用研究所】 締切間近 

開催日 3月1日(水)   開催地 東京都   参加費 無料

【対象者】・24時間365日システム運用をしている企業。【本セミナーで解決する課題】・障害時に、運用担当者やお客様への電話を自動化し、確実に連絡したい。【中堅・…

− 実践 − SAP Business Oneセミナー 【ソフテス/ソフテスBSS/ソフテスGT】  

開催日 3月22日(水)   開催地 大阪府   参加費 無料

SAP Business Oneは、SAP社が提供する中堅・中小企業または大企業の子会社向けERP製品です。リアルタイムに業務を一元管理できるSAPのERP製品…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004939


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ