中小企業におけるセキュリティ対策取組事例

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。

本記事では、中小企業がどのようにセキュリティ対策に取り組んでいるのか、実際の取組事例をご紹介します。

１．中小企業の役割とその重要性

日本における中小企業の存在は、経済の基盤を支える重要な要素として位置付けられています。

中小企業庁の統計によると、2021年6月時点で日本国内には以下の企業が存在しています。
　（※以下、原文ママ）

　・中小企業　336.5万者（構成比 99.7%）
　・大企業　　    1.0万者（構成比 0.3％）
　 中小企業と大企業の合計　337.5万者

国内企業の大部分を中小企業が占めている一方、大企業はわずか全体の0.３％にとどまっており、この数値から中小企業が国内経済の重要な柱であることがわかります。

中小企業の比率が高い傾向は日本に限ったことではなく、OECD加盟国でも企業全体の占有割合は約99%と、主要先進国共通の傾向です​。つまり、中小企業は国を問わず経済活動の中核的な存在であり、その役割の重要性が認識されています。

こうしたことからも、デジタル化と国際化が進む現代社会では、中小企業の情報セキュリティ対策への取組は、各企業の存続や成長という次元を超え、安全で安心なデジタル社会の実現に不可欠であることがわかります。

２．業種別にみる取組事例

一口に中小企業といっても業種や経営形態は非常に多岐にわたります。

また、同じ業種であっても企業ごとに業務プロセスは異なり、デジタル化の進展状況も様々で、直面する課題も変わってきます。

しかし、企業規模や業種に関係なく、共通する課題も存在します。その一つがパソコンやインターネットの利用、オフィスソフトや業務アプリケーションなどの業務効率化を目的としたデジタルツールの活用です。これらは多くの企業で共通しているため、他社の取組事例はとても参考になります。

今回は、独立行政法人情報処理推進機構（IPA）の公表資料「2021 年度 中小企業における情報セキュリティ対策に関する実態調査―事例集―」の中から、特に企業数が多い2業種「卸売業・小売業」と「製造業」に注目し、実際に被害が発生し、再発防止のために取り組んだセキュリティ対策の事例をご紹介します。

同じ中小企業において、セキュリティの問題に直面した際、どのように対策を講じたのかを知ることは、自社のセキュリティ対策を考える上で、参考になるのではないでしょうか。

（１）卸売業・小売業 の取組事例

　「元従業員による機密情報の持ち出しの疑いから、対策を拡充」　　

　　【対策・投資多】・【被害有】

【概要】
（取組背景と実施事項）

海外から素材を輸入して国内のメーカーに販売している卸売業を営む都内中小企業。

情報セキュリティ強化の背景には、元従業員が退職前に大量のファイルをダウンロードし、そのPCから完全に履歴を消去していたことが挙げられる。機密情報の漏えいの証拠は得られなかったが、社内からの脅威への対策が不十分であることを認識。

そのため、社内規定の策定や情報資産管理システム、デバイス管理システムを導入し、機密情報の取り扱い方法を改善した。

費用面の負担は中小企業庁の「IT導入補助金」を活用することで、軽減化に成功。

また、従業員向けに研修を実施し、情報資産の重要性やキャリアへの影響について共通認識を持つことができた。

（見込まれる効果）

・情報セキュリティ対策を行うことで、経営者も従業員も安心できる。

・小規模企業でも社内規定を作り、システムを導入することで、従業員は自分が疑われていると感じることなく安心して働ける。

・トラブル発生時に大きな心理的負担となった膨大なデータチェックや作業の必要がなくなる。

・セキュリティ対策が進むことで、クライアントからの信頼を得ることができる。
例えば、機密情報を専用の鍵付きケースで管理・持ち運ぶことで、万が一の対策が取れ、クライアントから好感を持たれるなど。

・被害の予防効果。

この事例の詳しい内容は下記からご確認ください。

2021年度 中小企業における情報セキュリティ対策に関する実態調査―事例集―　（P31）

（２）製造業の取組事例

　「小規模な製造業でも社内の技術情報・機密情報管理は大切」　

　　【被害有】

【概要】
（取組背景と実施事項）

徳島県で製造業を営んでおり、以前は別の地域で事業を展開していたが、現在の事業への転換を図るため、従業員数を縮小した経緯がある。

現在は少人数で運営しており、情報セキュリティ対策は経営者が直接対応している。

過去に内部不正による情報漏えいが疑われる事案があった。

当時、外国人従業員を含む複数の従業員が在籍し、海外市場向けの製品開発を行っていた。

しかし、製品開発は安全対策が進まず、途中で断念。事業縮小に伴い、研究開発や情報セキュリティ担当の従業員が退職。

情報セキュリティは社内規定を整備し、それに基づいて運営していたが、退職後にサーバ移管作業を行った際に大量のアクセスログが発覚。顧客や外部委託先への影響はなかったが、アクセスが退職した従業員によるもので、経理情報や技術情報などがダウンロードされていたことが確認された。

現在は少人数で運営し、重要な情報はスタンドアローン環境で管理。

サーバにはファイルを保存せず、技術情報はローカルや外付けハードディスクに、経理情報はローカルなソフトウェアで管理。

今後、事業の成長に伴い、従業員増加や工場設置が必要になるため、IT環境への投資が課題。

新たにサーバを準備し、情報セキュリティ対策をさらに強化する必要がある。

事業は常に上り調子であるとは限らず、下り調子の時にはトラブルが大きくなることが予想されるため、情報セキュリティ対策は積極的に取り組むべきであると考えられている。

この事例の詳しい内容は下記からご確認ください。

2021年度 中小企業における情報セキュリティ対策に関する実態調査―事例集―　（P17）

３．まとめ

１つ目の事例では、社内からの情報漏えい疑惑を機に社内規定を整備し、情報資産管理などのシステムを導入して技術的な対策を進めました。この事例からは、組織のルール作りを第一に行い、その後技術的な対策を導入することで、効果的なセキュリティ対策を推進できたことがわかります。まだ規定を作っていない企業は、まずは社内規定を作成するところから始めるとよいでしょう。

２つ目の事例では、ファイルの保管場所を変更するなど会社の事業規模や状況の変化に応じて対策を見直しています。状況の変化を捉えて、業務効率を維持しながら柔軟に適切な対策に見直していくことが必要であると言えます。

今回ご紹介した事例集には、全国各地の様々な業種の事例が61社分掲載されています。皆さんの企業に似た事例を見つけ、参考にしていただくことで、一つでも取り組みを開始していただけることを期待しています。

次回は、ISMSやプライバシーマークなどの認証制度について解説します。