~中小・小規模事業者の皆様へ~
投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.7.5
(更新:2023.12.19)
「情報セキュリティ対策なんてIT化が進んでいる大企業の問題で、自分達には関係ないのでは?」
中小・小規模事業者の皆様の中にはそう思われる方が多いかもしれません。
確かにマスコミが報道する情報セキュリティインシデントは知名度の高い、相対的に大きな企業や組織であることが多いです。それには読者の注目を集める狙いもあるでしょう。
しかし、コンピュータウイルスや攻撃者は、規模の小さな事業者だから狙わない、とは限りません。インターネットを利用していれば、攻撃を受けるリスクは存在します。
〇小さな事業者様でもIT機器やインターネットは重要なツール
ここで一点、ご質問です。
毎日の業務について、次の箇条a,bの両方に当てはまる事業者様はどの程度おありでしょうか。
a.業務にパソコンやスマートフォン、タブレットなどのIT機器を1台も使っていない。
b.電子メールやSNSなどのメッセージサービス、Webサイトを介しての情報の発信や商取引など、インターネット上の各種サービスを全く利用していない。
おそらく「a.b.両方に当てはまる」という事業者様はほとんどいらっしゃらないと思います。
例え規模が小さな事業者様でも、ビジネスを進めるために、何らかのIT機器やインターネット上のサービスを活用している場合が大多数と思われます。
インターネットにつながる環境でIT機器を、何らかの業務に利用しているなら、サイバー攻撃を受けるリスクは身近にあると言えます。
〇「漏洩して困る秘密などウチにはない」という誤解
規模の小さな事業者様では、「ウチみたいな事業者なんて、仮にサイバー攻撃を受けて情報漏えいが起こっても、困るような秘密情報なんてない。」とお考えかもしれません。(どこかに謙遜の気持ちもおありかもしれません。)
しかしよく考えると、以下のような情報が電子データ化され、インターネットに接続するパソコンやサーバなどのIT機器、或いはクラウド上に格納されてはいませんか?
・お客様や取引先の連絡先一覧
・取引先ごとの仕切値や限度額、取引実績の詳細情報
・製品の設計図、商品の製造マニュアル、サービスマニュアル等の”営業秘密”
・取引先から”取扱注意”として預かった情報
・従業員に関する情報(マイナンバー、住所、給与明細)
等など
上記のような情報がもしも漏洩して攻撃者の手にわたり、脅迫に使われたとしたらいかがでしょう。お困りではないでしょうか。
〇情報漏えいで発生しうるダメージ
実際にサイバー攻撃を受けて情報漏えいが発生すると、事業者様には次のようなダメージが予想されます。
・被害者への損害賠償などの支払い
・評判の低下、社会的な信頼の失墜
・取引の停止、顧客流出
・IT機器の停止やネット遮断などによる業務効率の低下、業務の停止
・従業員の士気低下、離職
など
例えば「IT機器の停止やネット遮断」一つをとっても、
普段、業務に使っているパソコンやスマホがランサムウェアに感染して暗号化され、全く利用できなくなったとしたら、
通常業務が止まり、復旧や交換作業などで相応の時間や人手が奪われるのではないでしょうか。これだけでも結構なダメージになると思われます。
〇情報セキュrティ対策は経営トップの責任
もしも情報漏えいが発生したら、経営者の方は「IT機器に詳しくないし操作していない」としても、当然ながらトップとして責任が問われます。
事業上の責任を果たすため、経営トップの方は、運営する事業に関する情報セキュリティ対策について明確な方針を示すとともに、推進していく必要があります。
〇取組み「できるところから始めて段階的にステップアップ」をお勧めします
とはいえ、情報セキュリティ対策に何から取り組んでよいのか分からない場合もおありかと思います。そのような場合は、
中小企業庁やIPA(情報処理推進機構)が進める取組み「できるところから始めて段階的にステップアップ」の最初のステップ「情報セキュリティ5か条」から始めることをお勧めします。
「情報セキュリティ5ヶ条」は以下の内容です。
1.OSやソフトウェアは常に最新の状態にしよう!
2.ウイルス対策ソフトを導入しよう!
3.パスワードを強化しよう!
4.共有設定を見直そう!
5.脅威や攻撃の手口を知ろう!
いずれも「これなら自分達にもできそうだ」と思っていただける内容ではないかと思います。
「ヒト・モノ・資金・知識」といった経営資源に制約があっても無理なく、確実に取り組めるよう工夫されています。
また、この「できるところから始めて段階的にステップアップ」のためにIPAが提供する各種コンテンツは基本的に無料で利用できます。
これらのコンテンツを十分に活用できれば、高額な投資をせずとも、情報セキュリティ対策を向上させることが可能です。
事業者様、そして事業者様にかかわる関係者様をサイバー攻撃から守るためにも、今、できるところから始めてステップアップされることをお勧めします。
よろしければご利用ください。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments