セキュリティリスクは大企業ほど大きい?――中小企業が陥る2つの勘違い:企業とともに成長する情報セキュリティ対策講座【第1回】
セキュリティリスクは大企業ほど高く、総じて中小企業は万一情報漏えいしても損害は少ない――こう考えていないだろうか。セキュリティ対策を検討する前に、そうした「勘違い」をなくさなければならない。
中小企業にとって、統制された情報セキュリティ対策の導入は急務といえる。それでも思うように取り組めない企業が多いのは、自社の環境や経営戦略に沿ったセキュリティ対策のロードマップが描き切れていないからだ。
本連載では、中小企業において安心安全に業務を行う上で、どのようなセキュリティ対策が必要なのかについて紹介していく。具体的なセキュリティ対策方法や製品導入の話をする前に、1回目は企業がセキュリティ対策を考える際に勘違いをしやすいポイントを2つ紹介したい。
1つ目は、従業員数がキーとなって「決められる」セキュリティ対策と「決められない」セキュリティ対策が存在すること。そして2つ目は、「企業の規模に応じてリスクの大きさが変わるとは言い切れない」ということだ。それではまず、従業員数がキーとなって「決められる」セキュリティ対策について見ていこう。
従業員規模とセキュリティ対策の関係
情報セキュリティ対策の実施比率を、従業員数300人未満の企業と300人以上の企業で比較したものを図1に示す。セキュリティ製品の導入など技術的な対策については企業規模による差異は少ないが、セキュリティポリシーの策定や教育、セキュリティ関連設備といった非技術面での対策について大きな開きがあることが分かる。
セキュリティの実施比率は高いに越したことはないが、この差があることには2つの理由が考えられる。1つは、セキュリティにかかわるガバナンス(企業統治)の難易度だ。例えば、「情報の持ち出し禁止」などのようなセキュリティに関するルールを従業員に徹底させるとしよう。50人程度であれば、オフィスを半日ほど巡回してPCの利用状況をチェックしたり、朝礼などでしつこく説明したりすれば、セキュリティにかかわるガバナンスを徹底することができる。しかし、500人規模となると次元が異なる。システム管理者の努力だけで徹底することは事実上不可能だ。明確な基準となるセキュリティポリシーを策定し、システムを活用して自動的にセキュリティ対策を施すなどしなければ、セキュリティガバナンスを維持することは難しい。
もう1つは、セキュリティガバナンスを徹底するための設備投資に対する効果だ。オフィスが広く複数拠点に分散している大企業の場合、システム担当者の努力だけではガバナンスを徹底できない。例えば、サーバルームなど機密エリアへの入退室を厳密に制限・管理する場合、指紋認証や虹彩認証などのセキュリティ設備を導入した方が、人力に頼るよりも低いコストでセキュリティガバナンスを強化できる。そもそも1000人規模になると、従業員同士が顔を知らないことも多いため、周囲の人の監視に頼ることは難しい。一方、オフィスが狭く1カ所に集中している、また従業員同士が顔見知りである中小企業の場合、あえてセキュリティ設備を導入しなくても、周囲の監視の目があるだけである程度はセキュリティガバナンスを高めることができる。機密エリアも限定されるため、あえて高価なセキュリティ設備を導入する必要はないこともある。
もちろん、セキュリティポリシーをしっかりと策定し、システムやセキュリティ設備を活用した方が、企業のセキュリティは高められる。だが、中小企業と大企業とではオフィス環境が大きく異なるため、単純に導入率だけでセキュリティが高いかどうかを比較することは難しい。
では、従業員数をキーとして「決められない」セキュリティ対策とはどのようなことだろうか?
一般に、従業員が多い大企業はきちんとしたセキュリティ対策をしなければならないと思われがちだ。それは間違ってはいないが、規模が小さな企業であっても保有しているPCの数に応じて適切な対策が必要になってくる。そして、PC台数は従業員数だけではなく業種によって大幅に異なってくるのだ。
では、実際の数値を見ながら業種によってどの程度PCの導入状況が異なるかを見てみよう。
Copyright © ITmedia, Inc. All Rights Reserved.