5分で診断!中小企業のセキュリティ強化法

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

5分で診断!中小企業のセキュリティ強化法

2012/09/18


 中小企業ではセキュリティ対策に割ける社内リソースが大企業とは大きく異なり、「1人情シス」が過重な負担を背負って余力がないケースや、そもそも専任の担当者がおらず、ITリテラシが十分とは言えない場合も少なくない。とはいえ、保有する情報の重要性は大企業と変わりがあるわけではなく、むしろ大企業からの業務委託を受けて、機密情報を扱う業務を行っていることさえある。また、企業規模が小さいからといって規模に比例して情報保護責任が軽くなるわけでは決してない。セキュリティ対策に投資できる金額が限られる中、「選択と集中」でセキュリティ投資対象を厳選しながら、徐々にではあってもセキュリティ管理のPDCAを回していく体制を作りたいと願う中小企業は多いはずだ。今回は、特に中小企業のセキュリティ対策に焦点を当て、最低限何をなすべきかを考えていく。

中小企業

情報の重要度に応じた階層的な管理がなかなかできない中小企業

 中小企業の深刻な悩みの1つは、人的リソースが少ないうえにITに投資できる余裕がほとんどない中で、情報保護に関する責任が年々重くなってきていることだ。2005年の個人情報保護法の施行以来、数々の情報漏洩事件やWeb改ざん事件などを経て、企業の業務委託契約には情報保護に関する厳しい条項が盛り込まれるようになり、以前には要求されなかったきめ細かい情報管理やセキュリティ対策が強く求められるようになっている。また中小企業自身が保有する個人情報や設計情報などの機密情報が漏洩した場合には、たちまち経営が危機に瀕する危険性も高く、早急にセキュリティ強化を図らなければ企業存続さえ危ぶまれる。
 しかし中小企業ではセキュリティの専門知識を持つ人材の確保が難しく、セキュリティに関する危機感が乏しいケースが多いのが現状のようだ。例えば次のようなケースがある。

中小企業の情報漏洩事例
中小企業の情報漏洩事例

 この事例に関して、IPAでは3つの問題点を指摘している。

社内の情報が分類・整理されていない。
従業員が機密情報か否かを判別できない状態で保管されている。
重要な情報に誰でもアクセスできるようになっている(アクセス制御ができていない)。 

 A社の悲劇を対岸の火事と見過ごすことができるだろうか。同じような「脇の甘さ」は多くの企業に共通しているように思える。日々の業務に多忙な中小企業では、情報管理を落ち着いて実行する時間がない。しかしこの事例のように機密情報が外部に流出すると、取り返しのつかない事態に陥る。しっかりと足元を固める時間とリソースを捻出して、機密情報の分類・整理といった基本的なリスク管理対策から、早急に実行していく必要があるだろう。


1

中小企業がまず取り組むべきなのは社内の情報分類と整理

 情報セキュリティ強化のためのポイントは数多い。どこから手をつけるべきかが分かりにくいが、上掲のように中小企業にとって情報が外部に流出することは経営を揺るがす要因となりかねないことは事実である。ここではまず、守るべき情報資産とそれ以外の情報とを区別し、機密度に応じて管理の仕方を適正に行う考え方を知っておきたい。それが情報セキュリティの第1歩となる。

1-1

情報資産管理台帳の作成

 企業が守り管理すべき情報は「情報資産」と呼ばれる。企業には情報資産以外の情報が膨大にあるはずだが、それら全部を管理することは到底できず、その必要もない。何を守ればよいかは企業それぞれ異なるだろう。IPAでは、次のような情報を情報資産の例として挙げている。

その情報が漏洩したとき、会社の経営に大きな影響があるもの(例:個人情報)

その情報が改ざんされたとき、会社の経営に大きな影響があるもの(例:財務会計情報)

その情報が紛失したり利用できなくなったりしたとき、会社の経営に大きな影響があるもの(例:設計図面)

 自社にとって何が情報資産なのかを「情報資産管理台帳」を作成して明確にするとよい。台帳の項目も企業によって様々になるが、次のような項目がサンプルになる。

情報資産管理台帳の記載項目例

管理番号 情報資産名 対象(媒体) 保管/格納場所 利用範囲 管理責任部門/責任者/連絡先
台帳登録日 廃棄日 保存期間 影響度(機密性/完全性/可用性) その他

セキュリティ情報局にご登録頂いた方限定で「5分で診断!中小企業のセキュリティ強化法」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


中小企業/5分で診断!中小企業のセキュリティ強化法」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「中小企業」関連情報をランダムに表示しています。

中小企業」関連の製品

intra-mart ワークフロー 【NTTデータ イントラマート】 ログ管理ツール『ALog SMASH』 【網屋】 Microsoft Dynamics NAV (ERP/基幹システム) 【パシフィックビジネスコンサルティング】
ワークフロー 統合ログ管理 ERP
intra-martのシステム共通基盤型ワークフロー。豊富な機能を持ち、その柔軟なカスタマイズが可能。intra-martの業務アプリケーションや外部システム連携が可能。 サーバにある重要データに「いつ、誰が、何をしたか」を記録する製品。対象サーバに直接インストールするため、ログサーバが不要。PCへのエージェントインストールも不要。 世界150ヵ国で11万社以上の導入実績。126言語、43ヵ国以上の商習慣に対応したマイクロソフトの中堅・中小企業向けグローバルERP。直感的な操作性と高い柔軟性が特長。

中小企業」関連の特集


 「Facebookページの投稿では共感を意識して下さい」というお話を前回させていただきました。Fa…



「DLPの導入状況」について調査を実施。「導入状況」「導入きっかけ」「導入しない理由」など他社の気に…



一般のオフィスビルや工場の中で、社員や関係者であっても“特定の人しか入れないエリア”をつくるにはどう…


中小企業」関連のセミナー

事例でわかる! ERP導入を成功させるポイント 〜国内導入 編〜 【パシフィックビジネスコンサルティング】 締切間近 

開催日 11月16日(水),1月18日(水)   開催地 東京都   参加費 無料

 これまで、ERPといえば大企業が数億〜数百億円の予算をかけて導入するもので、中堅・中小企業には縁がないものと考えられていました。しかし近年では、中堅・中小企業…

たった1行のAPIコールで、Zabbixとクラウド電話とを連携! 【主催:ユニファイド・サービス/協力:オープンソース活用研究所】  

開催日 12月14日(水)   開催地 東京都   参加費 無料

【対象者】・24時間365日システム運用をしている企業。【本セミナーで解決する課題】・障害時に、運用担当者やお客様への電話を自動化し、確実に連絡したい。【中堅・…

『エイコー ソリューションセミナー in 大阪』 【エイコー】 締切間近 

開催日 12月8日(木)   開催地 大阪府   参加費 無料

▼第1講演13:30〜14:35 クラウド時代のISMS/Pマーク取得と運用のポイントについて【講師】LRM株式会社情報セキュリティコンサルタント  吉村健氏【…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004939


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ