中小企業におけるセキュリティ脅威への対策強化　〜経営者は何をしなければならないのか 前編〜

今回から前・後編に渡って中小企業の経営者が「サイバーセキュリティ確保に向けてどのように対応すべきか、具体的には何をしなければいけないのか」についてご紹介します。

独立行政法人 情報処理推進機構（IPA）が発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」に基づいて、今回は経営者が「認識すべき３原則（前編）」を、次回は「実行すべき重要７項目の取組（後編）」を解説していきます。

認識すべき３原則

これは、サイバーセキュリティ確保に向けて経営者の行動原則をまとめたものです。経営者が一番初めに悩むことは、「どうやって向き合うのか」つまり、自分の立ち位置や行動についてだと思います。

原則１「サイバーセキュリティ対策は経営者のリーダーシップで進める」

経営者は、サイバーセキュリティ対策の重要性を認識し、自らリーダーシップを発揮して対策を進めます。現場の従業員は業務の利便性が低下したり、面倒な作業を伴う対策には抵抗を感じたりすることがありますが、経営者が自ら意思決定し、自社の事業に見合った適切な対策を主導する必要があります。

例えば、新しい事業を開始する場合を考えてみましょう。まず経営者が事業の適合性を判断し、その上で、事業環境を整えて、従業員を教育するでしょう。当然、新たな業務に抵抗する従業員も出るでしょうが、それを含めて事業を推進するのが一般的な経営者の役割と言えます。サイバーセキュリティ対策を新しい事業と置き換えてみれば、特別なものではないとお判りいただけると思います。

とは言っても、通常の事業と異なり、馴染みの薄いサイバーセキュリティを推進するのはハードルが高いものです。そこで、推進するにあたって有効な考え方の一つに、情報セキュリティガバナンスのフレームワークがあります。

◇情報セキュリティガバナンスのフレームワーク

経営者が企業戦略としてサイバーセキュリティ向上に取り組むための枠組みです。経営者がリーダーシップを発揮する枠組みでもあり、以下の４つの要素から成り立ちます。

1.方向付け：経営者が懸念する重大事故などを避けるための規則決定

2.情報セキュリティ管理（ISM）：対策の推進や点検の実施

3.モニタリング：対策の進捗や点検による不正行為防止等により状況を監視

4.評価：規則の効果を評価し、見直す

　サイバーセキュリティガバナンスのフレームワーク
引用先：IPA
「中小企業の情報セキュリティ対策ガイドライン 第3.1版」12ページ
参　考：経済産業省 『情報セキュリティガバナンスの概念』
https://www.meti.go.jp/policy/netsecurity/secgov-concept.html

これらの要素を実施することで、サイバーセキュリティガバナンスのフレームワークが整備され、企業全体でセキュリティ意識を高めることができます。

原則２「委託先のサイバーセキュリティ対策まで考慮する」

業務の委託先に重要な情報を提供する場合、委託先がどのようなサイバーセキュリティ対策(サイバーセキュリティガバナンス)を行っているか考慮する必要があります。委託先に提供した情報が漏えいしたり、改ざんが発生した場合、それが委託先の不備だったとしても、委託元の企業も管理責任を問われることになります。

例えば、国税局の委託先企業がマイナンバーを含む個人情報を無断で別企業へ再委託した事件や、神奈川県からハードディスクの情報削除・破棄を依頼されていた企業の従業員がネットオークションで転売していた事件などは、大きく取り上げられました。
これらの事例から、委託先やビジネスパートナーなどのサイバーセキュリティ対策に関しても、自社同様に十分な注意を払う必要性があることがわかります。また、自社が親会社等から受託している場合には、サプライチェーンの一環として、親会社が求めるサイバーセキュリティ対策が必要となります。

◇セキュリティ対策の格差とサプライチェーン攻撃

全ての企業で十分なセキュリティ対策を講じる必要がありますが、それには、資金面・人材面などの企業体力が不可欠です。
一般的に、中小企業は大企業のような体力を持ち合わせていないため、大企業と同様の対策を講じることが難しい場合が生じます。これを、セキュリティレベルの格差と呼びます。この格差を利用して、攻撃者はセキュリティレベルの低い企業を経由して重要な情報を狙います。
具体的には、最初にセキュリティ対策が甘い企業のPCを乗っ取り、踏み台にしてサプライチェーン内の別企業の重要な情報を搾取する攻撃を行うのです。

原則３「関係者とは常にサイバーセキュリティに関するコミュニケーションをとる」

業務上の関係者（顧客、取引先、委託先、代理店、利用者、株主など）からのセキュリティに関する信頼を高めるには、普段から自社のサイバーセキュリティ対策や、事故が起きたときの対応について、関係者に明確に説明できるように経営者自身が理解し、整理しておくことが重要です。
そうすることで、万が一インシデントが発生した際にも、適切な対応が取れ、必要以上の不安を与えることなく、信頼関係を維持することができます。

企業をとりまくステークホルダーとサイバーセキュリティ対策の情報開示
参照：総務省「サイバーセキュリティ対策情報開示の手引き」

例えば、第三者認証機関（ISMS/プライバシーマーク）を取得し、自社のHPに公開するなどのアピールも有効です。また、IPAが提供している、「SECURITY ACTION」の宣言も有効な方法と言えます。
「SECURITY ACTION」は中小企業自らが、サイバーセキュリティ対策に取組むことを自己宣言する制度です(認証制度ではありません)。自己宣言事業者はSECURITY ACTIONサイトへ自社を登録・検索することも可能です。そこに掲載されている取り組み事例を紹介いたします。

◇取り組み事例

企業名：有限会社シブヤ（代表取締役 渋谷勲）
従業員：３名
業　種：製造業（射出成形・金型設計製作等）
取組み段階：二つ星
宣言理由：わが社ではWORD、EXCELなどの機密資料以外にも技術情報を含む加工データと呼ばれるものがあり、その保護につながると考えたからです。
また、わが社の情報が盗まれる心配もありますが、それ以上にウイルス感染したデータをお客様に送ってしまうなど、関係者に迷惑をかけることは大問題だと考えていました。これまでセキュリティ対策としてはウイルス対策ソフトを導入している程度でしたが、SECURITY ACTION宣言には費用がかからないし、一つ星であれば自分たちでも十分取組める内容と思ったため、すぐに申込みました。

一つ星の宣言以降、セキュリティの話題が多く出るようになり、弊社も二つ星を宣言することで、今後ワンランク上の御客様に「弊社はセキュリティ対策に取組んでおり安全です」とアピールできると思い（二つ星を）宣言しました。

（SECURITY ACTIONサイト　取組紹介より抜粋）

ここまでサイバーセキュリティ確保に向けた経営者として「認識すべき３原則」についてご説明いたしました。 サイバーセキュリティ対策は企業にとって欠かせない重要な要素です。経営者自身がその重要性を理解し、リーダーシップを発揮することで、全社的な取り組みが実現できます。

次回は、「実行すべき重要７項目の取組」について、詳しく解説いたします。お楽しみに！