中小企業におけるセキュリティ脅威への対策強化~情報セキュリティ対策の進め方『本格的に取り組もう(1/3)』~ | 中小企業サイバーセキュリティフォローアップ事業

2025.01.29

中小企業におけるセキュリティ脅威への対策強化~情報セキュリティ対策の進め方『本格的に取り組もう(1/3)』~ 

独立行政法人情報処理推進機構(IPA)が発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」の「第2部実践編」では、具体的な対策方法と中小企業の経営者やシステム担当者がこれにどう取り組むべきかを詳しく解説しています。

情報セキュリティ対策に組織全体で取り組むには、実行すべき対策を決めて、従業員に周知する必要があります。しかし、こうした作業を行うには情報セキュリティに関する知識や経験が必要となるため、それらの知識や経験に長けた人材がいないと対策が進まなくなることも考えられます。

このような背景から、IPAのガイドラインでは規模の小さな企業や、これまで十分な情報セキュリティ対策を実施してこなかった企業などを対象に、すぐに取り組める対策を示し、段階的に発展させていく計画を紹介しています。この「すぐに取り組める対策」が、多くの企業にとって無理なく、自社の状況に応じた対策を開始する道筋となります。

今回は、『本格的に取り組みをはじめよう』というテーマで、3回に分けて具体的な取り組みの方法をご紹介します。1回目となる今回は、管理体制の構築、デジタルトランスフォーメーション(DX)、そしてセキュリティ対策費用の予算化の重要性に焦点を当てます。

1.情報セキュリティに対する中小企業の現状

前回の記事でも紹介しましたが、IPAが作成した、「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書によると、情報セキュリティに関する管理体制を構築していない企業は規模が小さいほど多い傾向にあります。

具体的には、「組織的に対応していない」企業の割合は、小規模企業者で56.2%、100人以下の中小企業では42.7%、101人以上の中小企業では19.7%となっています。

つまり、100人以下の中小企業の約半数は「組織的に行っておらず各自の対応に任せている」状況です。

情報セキュリティに係る組織体制(企業規模別)
 図1.情報セキュリティに係る組織体制(企業規模別)

 (引用:「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書) 


同じ報告書では、デジタルトランスフォーメーション(DX)の推進と情報セキュリティの予算化の実施状況も報告されています。

直近過去3期のIT投資額について最も多かった回答は「1百万円未満」で、全体の37.8%を占めました。次に「投資していない」が30.0%、「1百万円から5百万円未満」が17.5%という結果になっています。

さらに、情報セキュリティ対策のデータでも、投資額が「1百万円未満」の企業が全体の49.2%でトップとなり、次に「投資していない」が33.1%と相当数存在しています。これに対し、「1百万円から5百万円未満」と回答した企業はわずか8.2%に留まっています。

この結果から、全体の約7割の企業がIT分野における投資を100万円未満で行い、情報セキュリティへの投資割合はさらに低く、約8割の企業が100万円未満の投資額に留めていることが分かります。

被害防止のための組織面・運用面での対策
 図2.被害防止のための組織面・運用面での対策

 (引用:「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書) 


現在、多くの企業で投資額が低い傾向にあります。これは、デジタルトランスフォーメーション(DX)の推進や情報セキュリティ対策の取り組みに課題があることを示唆しています。

2.本格的に取り組みを開始する

自社に適した対策を実行して効果をあげるには、まず、自社が抱える情報セキュリティ上のリスク(事故が発生したとき経営や事業に深刻な損害をもたらす危険性を指します。以下、「リスク」と記載。)を明確に把握することが重要です。

このプロセスでは、経営者が懸念する情報セキュリティ上の重大事故や業務停止などのリスクを洗い出し、それに基づき自社にとって最大の損失を招く可能性がある事故を未然に防ぐための対策を検討します。

具体的な対策内容を整理し、詳細に書面化することで全社的に共有できる明確な基盤を構築します。この書面化した対策を「規定」と呼びます。

3.管理体制の構築

それでは具体的に「管理体制の構築」について見ていきたいと思います。

(1)責任分担と連絡体制の整備

前回取り上げた「組織的な取り組みを開始しよう」において策定・共有された情報セキュリティ基本方針を具体的に実現するために、情報セキュリティ対策を推進する管理体制を決めます(表1)。

情報セキュリティ責任者を中心に、各部門の責任者を通じて、全従業員への情報が的確に伝達される経路を確立しましょう。また、万が一セキュリティ事故や問題が発生した場合には、発生時の状況が迅速に情報セキュリティ責任者に報告されるよう、連絡フローを整えることが重要です。

すでに個人情報保護管理体制(例えば、特定個人情報の事務取扱担当者や苦情対応窓口)などが決まっている場合は、それら既存の管理体制との整合を図りましょう。

情報セキュリティ管理のための役割と責任分担例
 表1.情報セキュリティ管理のための役割と責任分担例

 (引用:中小企業の情報セキュリティ対策ガイドライン) 

なお、上記の情報セキュリティ責任者やシステム管理者がそれぞれの役割を果たすためには、情報セキュリティに関する知識や経験が必要です。

こうした知識の習得や経験は一朝一夕では難しいため、中長期の視点を持ちながら、人材育成を計画的に進めていくことを考えましょう。

また、小規模な企業においては、表1の例に忠実である必要はなく、組織の規模や事情に応じた現実的な体制(役割分担)を独自に設計することも大切です。

例えば、経営者自らが情報セキュリティ責任者を兼務することや、防犯や防火などの安全管理責任者を置かれている場合には、この責任者が情報セキュリティ責任者を兼ねることもあります。 

しかし、特定の人物一人が情報セキュリティ対策の全てを担う体制は望ましいものではありません。その人物が不在になった場合や、業務負担が大きすぎる場合に問題が生じる可能性が高まります。

そのため、特に情報セキュリティ責任者と点検責任者(監査責任者)は、兼務しないようにしましょう。

この観点から、最低でも2名以上のメンバーによる組織体制が必要と考えられ、実務を担うシステム管理者を加えた3名体制が、一般的な最小限の構成人数といえます。複数人で役割と責任を分担することで、業務を効率的に分散させるとともに、確かな管理体制を整備することが可能になります。

(2)緊急時対応体制の整備

事業や顧客に重大な影響を及ぼすインシデントが発生した際、速やかに適切な対応を取るためには、事前に明確な体制を決めておくことが不可欠です(表2)。

対応を誤ったり、遅れてしまうと、被害が予想以上に拡大し、復旧が難航するなど、深刻な事態を招く可能性があります。

そうならないためには、危機管理の観点から、誰が何を行うのか、その役割や具体的な手順を明確に決めておく必要があります。

さらに、組織内外の緊急連絡先や伝達ルートを整備し、あらかじめ周知しておくことも重要です。加えて、緊急時の対応を想定した訓練やシミュレーションを定期的に実施し、実際に決めたとおりに対応できるのか確認します。

また、関係者やIT製品のメーカー、保守ベンダー等への連絡先をまとめておくことも欠かせません。

業務システムの障害が発生した際には、メールや連絡先を確認するためのウェブ閲覧もできなくなる可能性があるため、連絡方法について代替手段も確認しておきましょう。

緊急時対応対策の役割と責任
 表2.緊急時対応対策の役割と責任

 (引用:中小企業の情報セキュリティ対策ガイドライン) 

4.DXの推進と情報セキュリティの予算化

デジタルトランスフォーメーション(DX)の推進

近年のビジネス環境において、中小企業であっても競争力維持・強化のために、デジタルトランスフォーメーション(DX)を進めていくことが求められています。

※DX(Digital Transformation)企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること。


DXを推進する過程では、クラウドサービスなどデジタル技術やインターネットの活用が多様化する一方で、それに伴うセキュリティリスクも複雑化しています。

それらのリスクに適切に対応するため、セキュリティ管理の充実が最優先事項です。より有効なセキュリティ対策のために、自社の情報システムやネットワーク構造を可視化して対策を検討するとともに、予算を確保する必要があります。

情報システムとインターネットとの接続状況の図
 図3.情報システムとインターネットとの接続状況の図

 引用:中小企業の情報セキュリティ対策ガイドライン


情報セキュリティの予算化

情報セキュリティに関わる予算の確保は、企業経営の中でしばしば難題となりがちです。

その理由は主に、情報セキュリティへの投資は企業の売上や利益に直結しないため、経営層にその投資対効果が見えづらい点にあります。そのため、セキュリティ予算を上申する際に、どのように説明すべきかを悩んでいる担当者が多いのも事実です。

その原因としては、次のようなことが挙げられます。

(1)経営者が、セキュリティ投資を「利益を生み出すもの」ではなく、単なる「コスト(費用)」と捉えている

(2)セキュリティ関連の用語や概念が難解で、具体的なリスクやインパクトが理解されづらい

(3)自社のセキュリティリスクが顕著化していない

このように、経営層の理解が不足しているとセキュリティ対策の重要性を説明することが困難です。

このような課題を克服し、情報セキュリティ予算の必要性をしっかりと伝えるためには、「5分でできる!情報セキュリティ自社診断」などのツールを活用し、セキュリティリスクマネジメントの重要性を強調することが有効です。

費用ではなく、リスクが発生することにより売り上げや利益が減少したり、社会的信用が失墜したりすることを防ぐために必要な投資であることを認識してもらうことが重要です。

5.最後に

ここまで「管理体制の構築」と「デジタルトランスフォーメーション(DX)の推進」「情報セキュリティの予算化」の重要性について紹介いたしましたが、いかがだったでしょうか。

管理体制の構築というと大げさな感じがしますが、最低限の体制として、管理者と点検者、さらに実務者(システム管理者)の3名が揃っていれば、適切な体制を構築することが可能です。もちろん定期的な見直しは必要ですが、組織体制を整え、積極的にIT投資を始めることが、企業の持続的成長と発展に不可欠です。これらの取り組みは、単なるコストではなく、企業を守り、競争力を高めるための重要な投資であることを認識してください。

また、DXが売上や利益を拡大するための投資であるのと同様に、情報セキュリティもまた企業の事業継続、さらには社会的信用を守るための投資であることもおわかりいただけたかと思います。

まずは、組織的な体制作りと積極的なIT投資を開始することが、企業の持続的な成長と発展を支える鍵となると考えます。

6.取り組む際の参考資料

ここまでの解説で取り上げたガイドラインでは、「本格的に取り組む」方法に加え、具体的にどのように取り組むべきか、さらに進めるためにはどうしたら良いのかなど発展的な取り組み方法について紹介しています。

ぜひ、理解を深めたい、次のステップに進みたいと思った際の参考にしてください。

1.中小企業の情報セキュリティ対策ガイドライン(IPA)

2.付録3:5分でできる!情報セキュリティ自社診断(IPA)

3.付録4:情報セキュリティハンドブック(ひな形)(IPA)

4.「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書(IPA)

メルマガ
登録はこちら
アーカイブ
動画はこちら
ページトップへ戻る