中小企業の情報セキュリティ対策の厳しい現状と今すぐできること

「今年一つ目の記事が、セキュリティというのもあまり面白味がないかもしれませんが、年末年始で改めて「中小企業のセキュリティ対策って、どうすればいいんだろうな?」って考えましたので、その内容を整理しておきたいと思います。

 

中小企業のセキュリティ対策の現状は非常に厳しい

国家や企業、個人など様々なレベルでサイバー犯罪が多くなっており、実際の被害も多数発生しています。2016年にランサムウェアが流行したのは記憶に新しいでしょう。最近の調査結果では、企業の7割はランサムウェアに対してお金を支払っているそうです。

日本IBMは12月16日、米国で実施したランサムウェア(身代金要求型マルウェア)の被害実態に関する調査結果を発表した。米国企業の70%がマルウェアの要求に応じて金銭を支払っていたことが分かり、被害額では1万~4万ドルが多くを占めていた。

引用:ランサムウェアに身代金を払う企業は7割――IBMが米国実態を調査 – ITmedia エンタープライズ

 

これまではいたずら目的であったり、大企業を対象にした攻撃が目立っていましたが、最近はサイバー攻撃も多様化し、攻撃対象も中小企業や個人を含めて幅広くなっています。

 

一方で、中小企業のセキュリティ対策状況は、とても厳しいものになっていると言わざるを得ません。

IPAが2015年に実施した「中小企業における情報セキュリティ対策に関する実態調査報告書」を読むと、その厳しさが理解できます。

まず、組織体制を見ると、小規模企業の8割は、情報セキュリティ体制は組織的に行っていないか、わからないとなっています。100人以下の中小企業でも、情報セキュリティ体制が構築されているのは約半分です。

IPA_情報セキュリティ対策に関する組織的な体制の実態

さらに、具体的なセキュリティ対策の質問に対しては、「特に実施しているものはない」が42%で最も高くなっています。ここでも、企業規模が小さいほどセキュリティ対策まで手が回っていないこともわかります。

IPA_情報セキュリティ対策の実施状況

規模が小さい企業ほど経営資源も限られており、セキュリティ対策まで手が回らないという実情もあると思いますし、知識・ノウハウも限られているとしても仕方ないのかな、とも思います。しかし、このままでいいんでしょうか・・・。

 

中小企業に「とりあえず今」できること

お金や人、ノウハウなどが限られている中小企業でも、セキュリティ対策を行わないと企業に被害や信用低下を招くリスクがあります。

そこで、まずは「何をやらなければいけないのか、現状どこまでできているのか」を確認しましょう。その方法として、IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」が便利です。

何が便利かって、このガイドラインでは25項目のチェックリストが含まれているのです。P.25に「5分でできる!情報セキュリティ自社診断」というチェックリストがあり、基本的なセキュリティ対策が記載されているので、素早く現状を確認し、対策を考えるには十分といえます。

IPA_5分でできる情報セキュリティ自社診断

ただし、いろんな企業に使えるということは、それだけやや抽象的であるともいえます。保有しているIT資産や構成は企業によっても異なるので、本当に具体的な技術対策については、専門家や取引業者に確認するのが良いと思います。

セキュリティが経営と直結している、と言われて久しいですが、それは中小企業でも変わらなくなってきています。まずはセキュリティの重要性を経営者が理解し、やれるところから対策を始めましょう!