はじめに

情報セキュリティは、今日のビジネス環境において重要な要素です。
大企業だけでなく中小企業においても、大切な情報を守るために情報セキュリティへの対策が求められています。
しかし、「本当に必要な対策は何か」「どれだけのコストをかければいいのか」などがわからず、検討が進まない企業も多いのではないでしょうか。

独立行政法人情報処理推進機構(IPA)によると、2021年の中小企業を対象とした調査において、「情報セキュリティ対策投資を行っていない」と回答した企業は33.1%ほどでした。
情報セキュリティ対策投資を行わなかった理由としては、「必要性を感じていない」の割合が最も多く40.5%であり、「費用対効果が見えない」が24.9%、「コストがかかりすぎる」が22.0%と続きます。
つまり、中小企業の約半数ほどが「費用対効果」や「コストの大きさ」に課題を感じているようです。
(参考:2021年度中小企業における情報セキュリティ対策の実態調査報告書)

そこで本記事では、中小企業がまず最初に着手するべきポイントに絞り、必要性やコスト感などが中小企業に『ちょうどいい!』情報セキュリティ対策についてご紹介します。

このような方へおすすめの記事です

 ・中小企業のIT部門にお勤めの方

 ・情報セキュリティ対策にコストがかけられないとお悩みの方

 ・中小企業にマッチした情報セキュリティ対策をお探しの方

中小企業における情報セキュリティ対策の重要ポイント

情報セキュリティ対策にかける金額など

前述のIPAの調査によると、中小企業の49.2%が「過去3期の情報セキュリティ対策投資額は100万円未満」と答えています。続いて100~500万円が8.2%、500~1000万円が1.5%と、割合が大きく減少します。
つまり中小企業の約半数が、情報セキュリティに大きな金額を投資していないということになります。

では、「投資」ではなく情報セキュリティ対策「コスト」についてはどうでしょうか。
2018年のデータとはなりますが、NRIセキュアテクノロジーズ株式会社とKDDI まとめてオフィス株式会社の共同調査において、従業員規模が100名以下の企業では8割近い企業が月額50万円以下と回答しております。また500人未満の企業においても、月額50万円以下が6割程度と、過半数を占めています。
(参考:中堅企業・中小企業のためのセキュリティ対策を進めるキーポイント)

重要ポイント

ここまでの内容から、中小企業が情報セキュリティ対策に取り組むうえで、以下のポイントが特に重要であると見えてきます。

■低予算で取り組めるところから始める
情報セキュリティ対策にお金をかけられる中小企業ばかりではないため、まずはお金をかけずにできるところから始めることが重要です。

現時点のセキュリティ対策機器・ソフトなどのリスト化や設定の棚卸し、社員教育など、無料でできることや少額でできることから進めていきましょう。

■主体的に取り組む
親会社や取引先などから要請されることが多い情報セキュリティ対策ですが、きちんと「自社の課題」として認識することが重要です。

■経営目標と関連して進める
昨今「情報セキュリティ対策はコストではなく投資である」と言われることが多くなりましたが、ヒト・モノ・カネなどの経営リソースが必要になるため、経営層の関与が不可欠となります。
経営の目標が整理されれば「経営上重要なポイントに必要なだけのリソースやコストを割く」ということができ、「全てのリスクへの対応は難しいので、事業に与える影響度と、そのリスクの実現可能性から対応の優先度をつける」という進め方が可能になります。

最低限の情報セキュリティ対策まとめ

セキュリティ意識の向上

最も基本的なステップとして、従業員のセキュリティ意識を高めることが挙げられます。セキュリティトレーニングを定期的に行い、フィッシングメールの見分け方や安全なパスワードの作成方法など、基本的な知識を共有しましょう。意識の高い従業員は、セキュリティの最初の防波堤となります。

パスワードポリシーの強化

強固なパスワードは、不正アクセスを防ぐための鍵です。パスワードは定期的に更新しなくてもよいので、大文字、小文字、数字、特殊文字を組み合わせ、最低でも10桁以上を設定することが推奨されます。また、パスワードマネージャーの使用を促し、安全なパスワード管理を実践しましょう。

セキュリティソフトの導入

信頼できるアンチウイルスソフトウェアを導入することで、マルウェアやウイルスからシステムを保護できます。定期的なスキャンを設定し、常に最新の状態に保つことが重要です。中小企業向けには、コストパフォーマンスの高いソリューションが多数提供されていますが、まずはWindowsに標準搭載されているMicrosoft Defenderで十分です。

バックアップの実施

データは中小企業にとって貴重な資産です。ランサムウェア攻撃などに備え、重要なデータのバックアップを定期的に行うことが必要です。クラウドサービスを利用することで外部の災害からもデータを保護できますが、近年はネットワークに侵入しバックアップデータも標的とする攻撃手法がとられるため、オフラインバックアップの重要性も見直されてきています。

OSやソフトウェアのアップデート

OS やソフトウェアを古いまま放置していると、セキュリティ上の問題点が解決されず、それを悪用したウイルスに感染してしまう危険性があります。
修正プログラムを適用し、最新版を利用するようにしましょう。

弊社おすすめの関連製品

ここまで挙げた対策は手軽で安価ではありますが、未知の攻撃に対してはほとんど耐性を持ちません。
また、OSやソフトウェアのアップデートが難しいオフライン端末はセキュリティのアップデートが難しいため、USBフラッシュメモリなどの外部記憶媒体を通してウイルス感染してしまう恐れがあります。
そのような課題を、安価で解決できる製品があります。

Morphisec

①未知の攻撃を無効化できる
Morphisec は「Moving Target Defense」技術により、攻撃対象となるソフトウェアのメモリアドレスを移動させることで、未知のマルウェア攻撃を無力化します。従来のセキュリティ製品とは異なるプロアクティブな防御方式とおとり領域で、マルウェアの攻撃を検出します。

②オフライン端末の保護
従来のセキュリティソフトは、オンラインでの脆弱性パッチ適用等が必須でした。しかしMorphisecは脆弱性パッチなどが不要であるため、オフライン端末もマルウェア攻撃から保護できます。

③軽い動作
Morphisecの防御はふるまいを検知する方式ではないため、処理が最小であり端末負荷が非常に低いのが特徴です。

④手軽に導入・運用ができる
Morphisecは独自の防御手法であるため、他のセキュリティ製品と競合しません。

無料のMicrosoft Defender for Endpointとの連携も可能であるため、Morphisecと組み合わせることで、安価でより一層強固なセキュリティ体制を築くことが可能です。

まとめ

中小企業においては、限られたリソースの中で最大限のセキュリティ対策を実施することが求められます。
本記事で紹介した基本的な対策を実行することで、セキュリティリスクを大幅に軽減することが可能です。
情報セキュリティは一度きりの取り組みではなく、継続的な努力が必要です。
日々の業務の中でセキュリティ意識を高く持ち、ビジネスを守りましょう。

Morphisecは手軽に導入できるのも魅力のひとつであり、ソフタスにご相談いただければ無料で気軽にお試しいただけます。
実際に製品の検討段階でなくても、少しでも興味があればかまいません。
まずはソフタスまでお問い合わせください。

今回ご紹介した製品はこちら