ヒト・モノ・カネを節約したい中堅・中小企業、最低限のセキュリティ対策とは？：NEWS

マイナンバー制度の運用を目前にして、中堅・中小企業にも大企業並みのセキュリティ対策が求められている。通販サイトを持つ企業は特に、ふんどしを締め直して対策を行うことが必要だ。

[西本愛子，TechTargetジャパン]

　日本年金機構における個人情報流出、標的型メールによる不正送金事件など、企業や組織を狙ったサイバー攻撃は巧妙化が進む。標的となるのは大企業ばかりではない。中堅・中小規模の通販サイトが不正アクセスを受け、顧客の個人情報が流出した、というケースも後を絶たない。

　また、2016年1月のマイナンバー制度の本格始動に備え、中堅・中小企業にとってセキュリティ対策は喫緊の課題である。2015年11月に行われた「Trend Micro DIRECTION」の講演を基に、中堅・中小企業を取り巻くセキュリティの脅威に関する調査結果と対策について解説する。

併せて読みたいお薦め記事

マイナンバー制度のIT対応、ここがポイント

• “マイナンバー対応”と騒ぐ前に理解すべき「セキュリティ法制度」
• 「マイナンバー制度」のIT対応、“2つの落とし穴”をどう避ける？

「セキュリティ担当になって」と言われたら

• 企業のセキュリティ予算、過半数が「IT予算の5％以下」
• 5段階でできる中堅・中小企業のためのリスク管理
• セキュリティ業務に週10時間――消耗するネットワーク担当者の実態は

中堅・中小企業にも大企業並みのセキュリティ対策が求められるジレンマ

トレンドマイクロの山崎裕二氏

　トレンドマイクロ調べによると、近年の個人情報流出被害の特徴は、業種問わず100人以下の中小企業の通販サイトが被害を受けている点だ。そして全てのケースにおいて、被害の発覚は外部からの連絡によるものだったという。攻撃が発生してから被害が発覚するまでに数カ月かかったケースもある。

　トレンドマイクロのプロダクトマネジメント部ダイレクター、山崎裕二氏（「崎」の表記は正しくは山偏に竒）は、中小企業が運営する通販サイトに対する個人情報流出被害について「被害発生から調査、復旧までに時間がかかり、業務継続に大きな影響が出ている例が多い」ことを問題視する。流出した情報の規模にかかわらず、一度問題が発生してしまうと、オンラインのカード決済機能や通販サイト自体の再開に時間を要する。時間がかかるほど、企業イメージは低下し、取引の機会損失も大きくなっていく。

　また、マイナンバー制度の開始に伴い、企業は従業員とその家族のマイナンバーの収集および保管を行う。万が一、このマイナンバー情報が漏えいしたら、使用責任者や監督責任が追及され、マイナンバー法による厳しい処罰が下される。企業イメージは下がり、企業活動を左右しかねないリスクとなり得る。大企業が主な対象だった個人情報保護法と異なり、マイナンバー制度は企業規模に関係なく対応が必要。人員や予算に制限がある中堅・中小企業にとっては対応は容易ではない。

　加えて、中堅・中小企業にとっては、ウイルス被害も対岸の火事ではない。しかし、マイナンバー対応と同様に情報セキュリティ対策に金銭的・人的資源を割けないのが中堅・中小企業の実情のようだ。2015年1月に情報処理推進機構（IPA）が公開した「2014年度情報セキュリティ事象被害状況調査」では、従業員300人未満の中堅・中小企業（N=834）のうち、「セキュリティ対策管理の専門部署や専任担当者を置いている」と回答した企業は13.4％、「兼務の担当者を置いている」のは54.8％であった。対して、300人以上の企業（N=1078）の場合、セキュリティ対策の専門部署や専任担当者を置いている企業は25.4％、兼任担当者を置いている企業は60.1％であることを踏まえると、中堅・中小企業はセキュリティ対策管理の社内体制の整備に苦労している様子がうかがえる。個人情報流出被害が出ていても、外部の指摘があるまで気付かない原因はここにあると考えられる。

中堅・中小企業を取り巻く、セキュリティ対策の調査結果

　また、同調査によると、中堅・中小企業のウイルス感染経験は9.7％、ウイルスを発見したが感染に至らなかった割合は48.1％だ（N=834）。代表的なウイルス侵入経路は電子メールとWebサイト閲覧。大企業と比較して中堅・中小企業の被害事例に多い割合で見られた具体的な攻撃手段としては、同僚や取引先、サービス事業者からのメールを装って、添付したウイルスファイルを開かせるという手段が挙げられる。電子メールに表示されたURL経由で攻撃用のWebサイトに誘導されるケースや、製品・サービスの顧客を装いウイルスファイル付きの相談メールを相談窓口に送るといった手段も、中堅・中小企業で比較的多く見られる攻撃だ。

メールやWebフィルタリング、暗号化対策も確実に

　マイナンバー制度対策、ウイルス対策など、会社規模にかかわらず情報セキュリティに対する要求は高まっている。専任管理者を据えるほどのゆとりがなく、投資コストも抑えたい中堅・中小企業にとっては、どのようなセキュリティ対策であれば必要十分といえるのだろうか。

　「2014年度情報セキュリティ事象被害状況調査」の情報セキュリティ関連の製品やサービスの導入状況を見ると、クライアント向けウイルス対策については企業規模問わず十分に行われている。ただし、メールやWebフィルタリング、暗号化に関しては、中堅・中小企業の対策は大規模企業に比べると実施が進んでいない傾向が見られる。

　山崎氏はメールやWebの脅威対策として「Webの閲覧時、脅威が侵入する瞬間、脅威が活動を開始する瞬間で、適切な防御をするとよい。そのためにはゲートウェイセキュリティ対策のアプライアンスを採用することを推奨する」と解説する。

　SaaSのセキュリティサービスの利用は、中堅・中小企業にとってコストと管理の手間を抑える選択肢の1つになるだろう。例えばクライアント端末のセキュリティ対策はSaaSのサービスに変え、ゲートウェイセキュリティ対策にはクラウドベースの管理ツールを備えたアプライアンスを採用してみると、ポリシー管理やログ分析といった管理者の手間が大きく軽減されるかもしれない。