2025.01.08

中小企業におけるセキュリティ脅威への対策強化　～情報セキュリティ対策の進め方『できるところから始めよう』～

中小企業において、情報セキュリティの脅威はますます無視できない問題となっています。

独立行政法人情報処理推進機構（IPA）が発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」の「第２部実践編」では、具体的な対策方法と中小企業の経営者やシステム担当者がこれにどう取り組むべきかを詳しく解説しています。

情報セキュリティ対策に組織全体で取り組むには、実行すべき対策を決めて、従業員に周知する必要があります。
しかし、こうした作業を行うには情報セキュリティに関する知識や経験が必要となるため、それらの知識や経験に長けた人材がいないと対策が進まなくなることも考えられます。

このような背景から、IPAのガイドラインでは規模の小さな企業や、これまで十分な情報セキュリティ対策を実施してこなかった企業などを対象に、すぐに取り組める対策を示し、段階的に発展させていく計画を紹介しています。この「すぐに取り組める対策」が、多くの企業にとって無理なく、自社の状況に応じた対策を開始する道筋となります。

今回は、『できるところから始めよう』と題し、すぐに始められる情報セキュリティ対策に焦点を当てて進めていきます。

１．情報セキュリティに対する中小企業の現状と課題

サイバー攻撃が日常的に発生する状況下において、昨今では、情報セキュリティ対策が強固な大企業だけではなく、中小企業も攻撃の標的にされています。

同一のサプライチェーンを構成する中小企業を経由して、目的企業を攻撃する事例も多数報じられています。

中小企業であっても、サイバー攻撃により取引先企業の機密情報が漏えいするリスクや、次なる攻撃の足掛かりとされる可能性があることを念頭に置き、適切な対策を実施することが重要です。

IPAの「2021年度中小企業における情報セキュリティ対策に関する実態調査」報告書によると、過去3期の「情報セキュリティ対策投資額」について「投資を行っていない」と回答した企業は33.1%でした。

(引用：「2021年度中小企業における情報セキュリティ対策に関する実態調査」報告書)

投資を行わなかった理由として、「必要性を感じていない」が40.5%と最も多く、「費用対効果が見えない（24.9%）」、「コストがかかり過ぎる（22.0%）」がこれに続いています（下図参照）。

(引用：「中小企業における情報セキュリティ対策に関する実態調査」報告書)

なお、従業員数101人以上の中小企業においては、「その他」の割合が最も高くなっています。

これは「親会社が投資しているため自社負担がない」という理由からのようです。

２．情報セキュリティ５か条から始めるセキュリティ対策

多くの中小企業にとって、情報セキュリティは「守るべき秘密情報はない」などの物理的理由や、「費用対効果が見えない」「自社は攻撃の対象にならない」という心理的理由から対策が後手に回りがちです。また一方で、必要性は十分に認識しているが、大掛かりでかつ精巧な対策は大変で、なかなか始められないという声も聞きます。

インターネットの普及に伴い、攻撃者の手口は年々巧妙かつ悪質になっており、中小企業も無関係ではいられません。

「情報セキュリティ５か条」では企業の規模に関わらず、重要な基本対策が５項目にまとめられています。必ず実行しましょう。

引用：情報セキュリティ５か条

（１）OSやソフトウェアは常に最新の状態にしよう！

OSやソフトウェアを古い状態で放置していると、セキュリティ上の脆弱性を抱えたままになり、それを悪用した攻撃によりウイルス感染するリスクが高まります。お使いのOSやソフトウェアに修正プログラムを適用するなど、常に最新の状態にしましょう。

【対策例】
・Windows Update（Windows OSの場合）、ソフトウェア・アップデート（macOSの場合）などベンダが提供するサービスを実行する。

・Adobe Acrobat Readerやブラウザなど、利用中のソフトウェアを最新版にする。

・テレワークで利用するパソコンのソフトウェアや、Wi-Fiルーターのファームウェアを最新版にする。

・利用中のソフトウェアに脆弱性が存在しないか、MyJVNバージョンチェッカ^※で確認する。

^※MyJVNバージョンチェッカは、パソコンにインストールされているソフトウェア製品が最新かどうかを簡単な操作で確認できるツールです。

（２）ウイルス対策ソフトを導入しよう！

近年、ファイルを暗号化したり、パスワードを盗み、遠隔操作を行うウイルスが増加しています。

ウイルス対策ソフトを導入し、ウイルス定義ファイル（パターンファイル）を自動更新設定にすることで、新たな脅威にも対応できるようにしましょう。

【対策例】
・ウイルス定義ファイルが自動更新されるように設定する。

・統合型のセキュリティ対策ソフトの導入を検討する。

・OSに標準搭載されているセキュリティ機能を有効活用する。

・テレワークで利用するパソコン等の端末にウイルス対策ソフトを導入し、ウイルス定義ファイルを最新の状態にする。

（３）パスワードを強化しよう！

パスワードの解析や流出による不正アクセスの被害が増えています。

強固なパスワードを設定するために、パスワードは「長く」「複雑に」「使い回さない」ようにしましょう。

【対策例】
・パスワードは10文字以上で「できるだけ長く」、大文字、小文字、数字、記号を含めて「複雑に」する。

・名前、電話番号、誕生日、簡単な英単語などは使わず、推測できないようにする。

・同じID・パスワードを複数のサービスで「使い回さない」。

・テレワークでVPNやクラウドサービスを利用する際、可能な限り多段階認証や多要素認証を利用する。

（４）共有設定を見直そう！

データ保管などのウェブサービスやネットワーク接続した複合機の設定を誤ったために、無関係な人に情報を見られてしまうといった情報漏えいのケースが増えています。データ共有時の設定を確認し、適切な権限を持った人だけがデータにアクセスできるようにしましょう。

【対策例】
・ウェブサービス、ネットワーク接続の複合機・カメラ、ハードディスク（NAS：Network Attached Storage）などの共有範囲を限定する。

・従業員の異動や退職時には速やかに設定を変更（削除）する。

・テレワークで使用するパソコン等は他者と共有しない。共有せざるを得ない場合は、別途ユーザーアカウントを作成する。

・外出先でフリーWi-Fiは極力使わない。やむを得ず利用する場合には、「セキュリティ保護あり」のアクセスポイントを利用する。また、パソコンのファイル共有をオフにする。

（５）脅威や攻撃の手口を知ろう！

攻撃者が取引先や関係者を装い、ウイルスを仕込んだメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとしたりする巧妙な手口が増えています。常に最新の脅威や攻撃の手口の動向を追って、対策をとりましょう。

【対策例】
・IPAなど、セキュリティ専門機関のウェブサイトやメールマガジンで最新の脅威や攻撃の手口を知る。

・利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認する。

・テレワークでは管理者が従業員に適宜注意喚起し、セキュリティに関する懸念があった場合は、速やかに報告するよう従業員教育を実施する。

３．情報セキュリティ５か条から始めた事例

【事例：SECURITY ACTIONをきっかけに危機意識を持ち、認証取得へ】

当社は愛知県で印刷・印刷関連業を営む、従業員５名以下の企業です。取引先は、個人から企業まで多岐に渡っています。

数年前、「SECURITY ACTION」を宣言するにあたって情報セキュリティ対策について学んだ際に、当時の対策では不足しているのではないかという危機感を覚え、より強固な対策を実施したいと考えるに至りました。

しかし、高度な専門知識を有する従業員がいないため、実際の取り組みには至っていませんでした。

その後、関連会社にてIPAが実施する「中小企業の情報セキュリティマネジメント指導業務」を活用してPマークの取得に取り組むことになり、当社も一緒にPマークを取得することとしました。