2017年11月6日

【第2話】 無駄なセキュリティ投資を防ぐには?(渋屋隆一)

「お金がかかる」という理由でセキュリティ対策が後回しにされることがありますが、ポイントを押さえれば費用をかけずに最大限の効果を得ることも可能です。具体的な方法を紹介します。

1. お金をかけない対策こそ、基本の対策である

第1話では「情報セキュリティと言っても、そもそも何を守るのか?」「情報を守らないと、経営者としてどのように大変なのか?」を紹介しました。今回から具体的な対策を紹介します。無駄なお金をかけない対策を中心に見ていきましょう。

情報セキュリティ対策の全体の流れは下図のようになります。

第1話で守るべき情報を特定したのは、セキュリティ対策にできる限りお金をかけないためです。何を守るのかわからないまま、やみくもに対策を講じても、莫大なお金がかかってしまいます。逆に守るべきものが明確であれば、対策の費用を必要最小限に抑えることができます。また、セキュリティ事故の傾向として、発生原因の多くは「メールの誤送信」や「パソコン紛失」のように、人によるものです。高度なシステム投資をする前に、社員への情報セキュリティ教育を徹底することの方が大切です。

まずはお金をかけない対策をしっかりと行い、その上で本当に必要なところに投資をする、という流れが良いのです。

2. 無駄なセキュリティ投資を防ぐためのポイント

余計なお金をかけずにセキュリティ対策を進めていくためには、いくつかの方法があります。ポイントは以下の通りです。
 

・守備範囲を限定する

上述の通り、守るべきものを特定することです。“何を守るのか”があいまいなままでは、あらゆるリスクを想定して、対策を進めなければなりません。守るべき情報を明確にしたうえで、該当する情報には「丸秘」や「取扱注意」のようなマークを入れると、より意識が徹底されます。

・標準機能を活用する

パソコンであればWindows、iPhoneであればiOSの標準のセキュリティ機能をできる限り活用することです。有償のソフトやアプリの方が機能豊富なことが多いですが、標準機能に物足りなさを感じるくらい使い込んでからでも遅くはありません。

・既にあるものを更新する

上記の標準機能を含めて、ソフトウェアを更新して最新版に保つことです。日々、新たな攻撃手法が生まれていますので、それに対応してソフトウェアも更新が必要です。機能が追加されることもあるので、新たな投資をしなくとも既に持っているもので対応できることもあります。

・多層で防御する

1点の防御を完璧にすることを目指すのではなく、様々な手段を組み合わせた方が効果的に防御できます。詳細は次回、第3話で紹介します。

・教育を徹底する

セキュリティ事故の多くは、人が原因で発生しています。つまりシステム投資を行う前に社員への教育を徹底する方が、お金の面から見ても効果的です。

3. 中小企業の情報セキュリティ対策の実態

第1話で、中小企業がサイバー攻撃の標的になることが増えているとお話しましたが、なぜ中小企業が狙われやすいのでしょうか。独立行政法人情報処理推進機構(IPA)が公表している『2016年度中小企業における情報セキュリティ対策の実態調査報告書』を参考に、中小企業の情報セキュリティ対策の実態と、課題を確認してみましょう。
 

・運用ルールが定まっていない

例えば、情報漏えいが発生したときの対応方法が「規定されている」企業は、わずか21.2%、「規定されていない」は68.7%です。この結果から、事故が起きたときの初動が遅れることが予想されます。迅速な対応ができず、被害が拡大する恐れが大いにあると言えます。

・情報セキュリティ教育がなされていない

情報セキュリティ教育は「特に実施していない」が60.8%もあり、特に小規模企業では70.5%にも達しています。業種別に見ると、情報通信業と金融業・保険業以外の業種は「特に実施していない」が最も多いです。これらの業種では、情報の大切さが認識されているものの、他業界では認識が甘いことがわかります。また、企業規模が小さくなるほど教育が不十分です。これは私が普段、企業と接していても実感していることです。

第1話で紹介したように、業種・規模に関わらず、あらゆる企業が貴重な情報を持っています。そして、企業規模に関わらず、サイバー攻撃は増えています。これを機会に情報セキュリティ教育を始めましょう。

4. IT投資額と情報セキュリティ投資額は比例している

各種データによると、積極的にITを活用している企業ほど、売上高も増加しているという傾向が見られます。業務を効率化するにも、売上を向上させるマーケティング施策にもITは活用されますから、この点は経営者として着目しておきたいところです。またIT投資額が多い企業は情報セキュリティ投資額も多く、ある程度比例しています。IT投資が増えると、扱う情報も増えますので、守るべき情報も増えます。結果的に情報セキュリティ投資額も増えるのです。

しかし、セキュリティ対策は費用をたくさんかければよいわけではありません。本当に必要な対策を見極めるためには、ここまで述べてきたように、まずはお金をあまりかけずに情報セキュリティ対策から始めることがポイントです。

最後にもうひとつ、お金をかけずに効果の高いセキュリティ対策を行う方法をお伝えしましょう。規模の小さな会社になるほど、ITやセキュリティの専門家が足りません。そのため「何から始めればよいのかがわからない」という傾向があります。このような場合、まずは自治体などが運営している企業の支援機関を訪ねてはいかがでしょうか。セキュリティ対策も含めた多方面の相談に乗ってくれますし、無償の専門家派遣を行っている自治体もあります。可能であれば、経営と情報セキュリティの双方に精通している専門家を選び、自社にあった対策を一緒に検討してもらいましょう。

著者:渋屋 隆一(しぶや・りゅういち) 株式会社 B.S.JAPAN
大手システムインテグレータにて、ITエンジニアとマーケティングとして活動。2012年に中小企業診断士登録後、2015年に独立。以降、中小企業を中心に、IT導入支援やマーケティング支援を行っている。
著書:『【図解】コレ1枚でわかる最新ITトレンド』(技術評論社)、『「埋もれた数字」が利益を伸ばす 社長はデータをこう活かせ!』(日本実業出版社)など

関連するコラム
  • 記事を読む
“あおり運転”から営業車両を守るドラレコ

自動車社会の深刻なリスク「あおり運転」。このリスクに対しては、一般のドライバーのみならず、営業車両を保有し、日々の業務に活用している企業も対策を講じなければなりません。そうした対策としてのドライブレコーダーの有効性についてご紹介します。

  • 記事を読む
セキュリティ管理が重要な医療現場でのモバイル利用

医療現場では、モバイル端末で患者や医療に関する重要な情報を日常的に扱うため、セキュリティ管理が重要です。今回は医療現場でのモバイル端末の利用法をご紹介します。

  • 記事を読む
データで確認!情報インシデントの傾向と対策

情報セキュリティは重要と知っていても、どんな施策がいいか悩むことがありますよね。そんな悩みを解消すべく、いま気になる情報セキュリティ対策についてご紹介します。

  • 記事を読む
新入社員を情報漏えいリスクから守る

社会人一年目の社員の方は、スマートフォンを仕事で使うことに慣れておらず、安全対策上のミスを冒してしまうリスクがあります。そのリスクを低減する方策をご紹介します。

関連する導入事例
  • 記事を読む
クラウド型ビジネスツールで市議会運営を効率化

秋田市議会の運営を行う議会事務局。2018年度にタブレットを導入したが連絡業務に費やす時間に頭を悩ませていた。しかし、Gsuiteの導入により議員との意思疎通もスムーズに。他にも多様なビジネスツールが事務局職員を助けている。

  • 記事を読む
タブレットの紛失盗難対策を強化して営業効率アップ

富国生命の営業活動を支えるタブレット端末。ドコモの運用管理サービスを導入してセキュリティ対策を強化したことにより、大切なお客様情報を守りつつ、活用頻度が向上。営業効率のアップに成功した。

  • 記事を読む
スマホで変える銀行のコミュニケーション

愛媛県松山市に本拠を構える伊予銀行は約2,850台のスマートフォンを一挙に導入し、ビジネスチャットとクラウド電話帳によるコミュニケーションの効率化を推し進めている。

  • 記事を読む
通話を効率化する「オフィスリンク+」で働き方改革
サブ画像

「最もお客さまに支持される損害保険会社」をめざす、損保ジャパン日本興亜株式会社。全国に約6,000名在籍する営業社員の業務効率化を図るため「オフィスリンク+」を活用しています。

メールマガジン登録

Biz Solution by docomoでご紹介する導入事例や最新ビジネストレンドなどの記事を無料でご案内いたします。

お問い合わせやご相談はこちら

サービスについて詳しくお知りになりたい場合は、
メールまたはお電話でご依頼ください。