中小企業の情報セキュリティ対策の実態

最低限の情報セキュリティ対策

では、人的な情報セキュリティ対策はどのように行えばよいのか。理想は、従業員へのトレーニングやセミナーへの参加などによって、基本的な知識を植え付けることである。しかし、景気不安定が続く状況では、従業員教育のための経済的な負担が大きい。そこで、IPAは各種のセミナー資料や情報セキュリティ関連のデータ、教育ツールを公開している。

主なものとして、「情報漏えい対策のしおり」「安全なウェブサイト運営入門」「中小企業の情報セキュリティ対策ガイドライン」などがあるが、中でも中小企業向けの「5分でできる自社診断シート」はおすすめだ。中小企業が実施しなければならない最低限の情報セキュリティ対策を25項目に絞り込んで紹介する診断ツールである（図2-1）。

中小企業は、この25項目について点検すれば、セキュリティ対策の基本を確認しながら、実施状況を数値化／可視化できる。また、パンフレットの解説編を活用することで、どこにどのような問題点があるのか、具体的なセキュリティ対策の道筋、および対策の強化策を知ることもできる。

この自社診断は、情報セキュリティに十分な費用を投入できない企業や、教育に時間を割けない組織でもすぐに始められるため、利用したほとんどの企業から高い評価を得ている。また、従業員の日常行動パターンを見直す良い機会となった、という意見もあり、意識改革の足がかりにもなっているようだ。IPAのサイトで常時公開しているので、ぜひ一度試していただきたい。

企業資産のひとつである「情報」を守る

IPAがまとめた「情報セキュリティ白書2009」（毎日コミュニケーションズ）によると、報告された情報セキュリティ事件の78％が情報漏えいだ（図2-2）。

企業には、外部へ漏えいした場合に大きな損害をもたらす情報が数多く存在する。例えば、製品や部品の図面である。図面が競合他社の手に渡った場合、最悪のシナリオでは企業の存続に影響する危険性がある。また、2005年の個人情報保護法施行により、従業員や顧客の個人情報も取り扱いに厳重な注意が必要となった。個人情報の漏えいは法に触れ、社会的な信頼失墜につながる。

企業における情報漏えい防止の基本は、まずは従業員の意識改善とその維持だ。また、情報資産の重みを常に考え、漏えいした場合の被害について話し合うなど、日常の行動につなげることも重要である。「仕事を中断して離席する際は、机上の資料は裏返すか引き出しにしまう」「使用していたPCはスクリーン・ロックし、作業状態の画面を他者が盗み見しないよう未然に防ぐ」、などが一例だ。

また、情報の持ち出しにも注意が必要だ。ノートPCの盗難や置き忘れなどの事故によって情報が漏えいしないよう、「不必要なデータは持ち歩かない」「重要なデータをパスワードで保護する」「ノートPCの持ち出しのルールを設定する」など、基本的な対策を行わなければならない。

ウイルス／スパイウエア対策製品やファイアウオールの導入など、費用をかけて実施する対策も最低限必要だが、もっとも効果的な対策は、使用する「人」のセキュリティへの理解と正しい行動である。社内に存在する問題を常に意識して発見すること、そして解決のために何をすべきかを考えるスキルを身につけることは、情報セキュリティ対策の継続にとって欠かすことができない。

ITは業務を効率的に行うための、単なる道具のひとつにすぎない。これを使いこなすのは、あくまでも「人」だ。人が管理し、不具合があればメンテナンスを行い、維持していくものなのだ。工場における生産用の機械やロボットなどの道具がどのように使用され、保全されているかを思い出していただければ、イメージし易（やす）いかもしれない。使う人の意識や知識が不足していると、作業に支障を来すばかりか、企業にとって危機を招くことさえある。

ITを利用する「人」がセキュリティ対策の綻（ほころ）びとならないよう、教育を推進し、顧客と従業員、そして企業を守る対策の一歩としていただきたい。