中小企業のセキュリティ対策の重要性|対策・注意点を紹介!
巧妙化するサイバー攻撃に備え、セキュリティ対策の強化が待ったなしの昨今。しかし中小企業の多くは費用やリソースなどの問題により、十分な対策を講じられていない現状があるようです。
今回の記事では、中小企業におけるセキュリティ対策の重要性と注意点、実践的な対策方法と国の支援制度について解説します。
中小企業がセキュリティ対策をする必要性
近年は、大企業のみならず中小企業もサイバー攻撃の脅威にさらされている実情が明らかになり、セキュリティ対策の必要性が指摘されています。
最近はDX化やクラウド化により、企業が容易につながれるようになった結果、グループ会社や委託先からの不正侵入リスクが増加しました。
こうした中、「サプライチェーン攻撃」で中小企業が狙われる事例が増えています。サプライチェーン攻撃とは、攻撃者がターゲット企業を直接攻撃せず、セキュリティの脆弱な関連企業を攻撃し踏み台にすることで、ターゲット企業に不正侵入する手法。特に、セキュリティが強固な大企業に攻撃をしかけるのが難しい場合に、まず取引先の中小企業に攻撃をしかけ、その中小企業を踏み台にして大企業に攻撃するケースがあります。
サプライチェーン攻撃を受けると、自社のみならず取引先の大企業までが、システム停止の被害を受けてしまいます。システムが停止した場合、復旧まで1~2ヵ月かかってしまうこともあり、その間の損失は計り知れません。操業を停止しないまでも、情報漏洩の発覚により顧客から信頼を失い、取引停止や不買行為へと発展してしまうケースも少なくありません。
こうした被害に遭ってしまうと、自社のみならず取引先も含めて損害は数千万円規模に膨れ上がり、最悪操業できなくなる事態にも陥ります。
ひとつの企業が情報セキュリティ対策を怠ると被害が多方面におよぶため、中小企業にもセキュリティ対策は必須といえるのです。
セキュリティ対策は何をするべき?
中小企業が実施すべきセキュリティ対策について、技術面・物理面・人的対策の3つに分け網羅的にまとめました。
各手段の費用目安についても紹介しますので、セキュリティ対策の実施にお役立てください。
技術面の対策
|
対策方法 |
解決できる課題 |
費用相場 |
|
ウイルス対策ソフトを 導入 |
・個人情報流出のリスク ・金銭要求のリスク ・ウイルスによるPCメモリの大幅消費 ・ウイルスによるシステムやデータの破壊 |
年額3,000~5,000円 (1台あたり) |
|
OSやソフトウェアを アップデートする |
・不正アクセスのリスク ・新しいウイルスへの感染リスク |
無料 (一部ソフトウェアは有料) |
|
パスワードを 複雑なものに設定する |
・不正ログインによる情報漏洩・改ざんリスク |
無料 |
|
重要なデータの バックアップを取る |
・データの損失リスク ・システムトラブルによるデータへの アクセス不能リスク |
0~3万円 |
はじめに技術面でのセキュリティ対策について解説します。
ウイルス対策ソフトを導入する
技術面での対策のひとつ目は、ウイルス感染ソフトを導入すること。
ウイルス対策ソフトを導入する目的は、サイバー攻撃者によるウイルスを検出し、感染・攻撃をブロックするためです。
近年ウイルスによる攻撃が巧妙化・悪質化しているため、感染を拡げないためにも、全事業者がウイルス対策ソフトを導入する必要があるといえます。
対策費用については、無料のセキュリティソフトもありますが、システムや万が一のときに十分なサポートを受けられることを考え、有償のサービスが安心でしょう。法人向けウイルス対策ソフトの導入費用は、1台あたり年額3,000~5,000円ほどです。どのようなウイルス対策ソフトがあるか知りたい方は以下の記事もご覧ください。
関連記事:ウイルス対策におすすめのソフト10選!選ぶ時のポイントも解説
OSやソフトウェアをアップデートする
ふたつ目の対策は、OSやソフトウェアのアップデート。
OSやソフトウェアをアップデートをする目的は、ソフトウェアの脆弱性を解消し、攻撃によるリスクを低減するためです。
近年はエンドポイント(各端末)を狙う攻撃も増えているため、WindowsやMacのほか、各デバイスのiOS、Androidなどもアップデートを行う必要があります。
対策費用ですが、OSやソフトウェアのアップデートは基本的に無料です。ただし、一部ソフトウェアのアップデートに関しては有料の可能性もあるため、ご確認ください。
パスワードを複雑なものに設定する
3つ目の対策は、パスワードを複雑なものに設定すること。
パスワード複雑化の目的は、パスワードの窃取によるリスクを低減することにあります。パスワードを変更することで、自社システムへの不正ログインからの情報漏洩や情報改ざんの多くを防げます。
複雑なパスワードを作成したら、漏洩しないよう管理方法に留意しましょう。作成したパスワードを複数のサービスで使い回さないことも重要です。
対策費用については、パスワードを変更するだけなら費用は掛かりません。また複雑なパスワードを自動で生成するツールを利用してもよいでしょう。その場合の費用は、ほとんどが無料です。
重要なデータのバックアップを取る
4つ目の対策は、重要なデータのバックアップを取ること。
バックアップを行う理由は、サイバー攻撃だけでなく、自然災害や大事故などでデータの破損やシステムトラブルが発生した際にも、円滑なシステム復旧を行えるためです。
重要な情報を本社のサーバーやPC本体だけで保存するのではなく、外付けHDDやSSD、NAS、クラウドストレージなどへ適切なバックアップを行うことが重要です。
対策費用ですが、データのバックアップには、必ずしも費用は掛かりません。ただし新たにクラウドサービスなどと契約する場合には、クラウドの機能により初期費用0~3万円、年額約5000円~数万円程度の費用が必要です。
物理面の対策
|
対策方法 |
解決できる課題 |
費用相場 |
|
入退室を管理する |
・不審者や無権限者による情報漏洩リスク |
買い切り: 1~5万円 レンタル: 月額1,000~1万円以上 |
|
盗難、窃視等を防止する |
・不審者や無権限者による情報漏洩リスク |
鍵付きキャビネット: 1~数万円 盗難防止ワイヤー: 1,000~数千円 |
続いて、物理面でのセキュリティ対策を紹介します。
入退室を管理する
物理面での対策のひとつ目は、入退室管理。
そもそもオフィスに怪しい人が入らない様にすることが、もっとも重要なセキュリティ対策といえます。具体的には、オフィスの入口にスマートロックや生体認証などを導入することが有効です。
スマートロックを導入すれば、社員通過証を持つ者以外は入室できなくなります。さらに入退室ログを取ることで誰が、いつ、どこへ出入りしたかを管理でき、万が一インシデントが起こった際の追跡が行いやすくなります。
オフィス用スマートロックの種類は、買い切りタイプとレンタルタイプの2種類です。買い切りタイプでは維持費が不要で、レンタルタイプでは初期費用は抑えられますが、月額料金がかかります。
買い切りタイプのスマートロックの価格相場は、1台当たり1〜5万円程度で、レンタルの月額費用は1台当たり1000円程度から1万円を超えるものまで、機能によりさまざまです。
盗難、窃視等を防止する
物理面の対策ふたつ目は、盗難、窃視等の防止。
具体的には、個人情報が存在する PC 等の重要な機器に盗難防止用のワイヤー・チェーンを設置したり、重要な書類を鍵のついたキャビネット等で保管したりといった対策を取ることです。
また、重要情報にアクセスする際のIDやパスワードを書いたメモなどを、不用意に他人から見えるところへ置かないといった対策も必要です。仮にメモをするとしても、情報へのアクセス権限がない人たちの目に触れないよう留意しなければなりません。
対策費用については、情報の盗難・窃視を防ぐ鍵付きキャビネットの購入費用が、1万円弱~数万円程度。盗難防止ワイヤーは1つ1,000円以下から数千円程度で入手できます。
人的対策
最後に、人的セキュリティ対策について解説します。
従業員のセキュリティリテラシーを高める
人的なセキュリティ対策とは、従業員のセキュリティリテラシーを高めること。
従業員各々がサイバー上の脅威とその手口を知り、対策を体系的に理解することで初めて、企業のセキュリティ対策が機能するためです。
中小企業では特に業務における従業員一人ひとりのウエイトが大きいため、全従業員にセキュリティ教育を受けさせる必要があるといえます。
従業員のセキュリティ教育には、研修の実施が有用です。もし社内にセキュリティの専門知識を持つ人材がいない場合には、社外から講師を派遣して自社で研修を行う方法も有効でしょう。必ず全員が内容を履修できる仕組みを作り、セキュリティ教育を浸透させることが大切です。
対策費用ですが、基礎的な情報セキュリティ研修を半日実施した場合の費用相場は、5〜10万円程度です。
セキュリティ対策の注意点
ここから、セキュリティ対策を行う上での注意点を解説します。
「何を使うか」ではなく「何を守りたいか」で考える
セキュリティ対策を考える際の最初にするべきことは、具体的なセキュリティ製品を検討するのではなく、会社のリスクを見直すことからです。そして守るべき優先順位をつけたら、どう守るかを考えることが先で、具体的なセキュリティ対策の議論はその後です。
つい「EDR」や「ゼロトラスト」といった流行りのワードに流されてしまいがちですが、検討する順番を取り違えないようにしましょう。
確かに新しい製品ほど優れているかもしれませんが、自社にもっとも適しているとは限りません。オールインワンの多層防御製品はそれだけコストもかかり、自社に不要な機能も含まれている可能性があるからです。
自社の業務特性から、守るべき情報は何かを明確にし、最も費用対効果の高い方法が自社に適したセキュリティ対策です。
役割や責任を明確にする
セキュリティ対策を実施する際には、情報管理とセキュリティ対策についての役割と責任を明確にすることが大切。
できれば全社的な責任者と部署ごとの責任者を決め、従業員へ周知すると効果的です。責任者がはっきりすることでセキュリティ関連の情報伝達が迅速になり、対策がスムーズに運用できるでしょう。
従業員としても、セキュリティ面の相談をする相手が明確になれば、業務上の安心につながります。
社員教育をする
セキュリティのリスクは、技術的な要因だけでなく、人的な要因も考えられます。
例えば、従業員が不審なメールの添付を開けてしまう、既定以外のルートで顧客と連絡を取ってしまう、仕事用スマートフォンを紛失してしまうなどの誤った対応をしていたら、経営側が立てた対策も無駄になってしまいます。
経営者や責任者だけでなく、従業員のリテラシーを向上させることで初めてセキュリティ対策が成り立つことを、従業員全員に自覚してもらう必要があるのです。
委託先のセキュリティ対策にも気を配る
自社のセキュリティを考える際に、委託先のセキュリティ対策にも留意する必要があります。
近年は業務を専門業者に委託することや、クラウドサービスを利用することが増えました。そんな中もし委託先から自社の重要な情報が流出してしまったら、自社の管理責任が問われてしまいます。そのため、先方が必要な対策をしているかどうか、適切に見極める必要があるのです。
しかし取引中には先方へセキュリティ対策を確認しづらい場合もあるでしょう。そのためなるべく、契約する際に書面で、必要なセキュリティ対策を明記することをおすすめします。
中小企業のセキュリティ対策に使える助成金・支援策
セキュリティ対策の必要性は理解しているものの、何から取り組んでよいかわからない、セキュリティ対策に予算を割くことが難しいという企業もあるでしょう。
そこで、ここからは中小企業のセキュリティ対策に使える支援策と助成金を紹介します。
中小企業向け支援策
まず、国が中小企業のセキュリティ対策を支援する制度をまとめました。
|
支援策の名前 |
概要 |
|
中小企業の情報セキュリティ 対策ガイドライン |
・セキュリティ対策において 経営者や管理責任者が実施すべき事項を明記 |
|
SECURITY ACTION制度 |
・中小企業が自ら情報セキュリティ対策に 取り組むことを宣言する制度 ・IT導入補助金申請の必須条件 |
|
情報セキュリティ対策 支援サイト |
・セキュリティの知識習得と対策継続を支援 ・簡易セキュリティ診断や階層別ポイント学習を無料提供 ・各種資料や制度の検索が可能 |
|
サイバーセキュリティ お助け隊制度 |
・ひとつの窓口でサイバーセキュリティ対策の 各サービスを低価で提供 |
「中小企業の情報セキュリティ対策ガイドライン」は、独立行政法人情報処理推進機構(以下 IPA)が中小企業向けに公開している情報セキュリティガイドライン。情報セキュリティに精通した人材のいない企業でも対策に着手できるよう、簡単な自社診断項目を設けているほか、対策手順を明快かつ段階的に示しています。
ガイドラインでは実施すべき対策の重要なポイントを「経営者編」と「管理実践編」とに分けて解説し、後述する各種支援制度の根拠となっています。
「SECURITY ACTION制度」は、中小企業が情報セキュリティ対策に取り組むことを宣言するIPAの制度。宣言をすることでIPAよりロゴマークを付与されるため、セキュリティ対策に取り組んでいる企業であることを証明できます。
SECURITY ACTION宣言は、後述する「IT導入補助金」申請の要件でもあるため、宣言をすることで情報セキュリティ対策の費用軽減が可能になります。
「情報セキュリティ対策支援サイト」は、中小企業のセキュリティ対策支援として、セキュリティに関する学びと対策継続をサポートするIPAのサイトです。サイト内では自社の対策状況を把握できる情報セキュリティ自社診断や、社内教育用のポイント学習といったコンテンツを無料で提供しています。そのほか情報セキュリティに関する各種資料や制度の検索も可能なため、信頼性の高い情報を自社の対策に役立てられます。
「サイバーセキュリティお助け隊制度」は、中小企業のサイバーセキュリティ対策に必要なサービスを、ひとつの窓口で包括的・低価に受けられる制度です。提供サービスはIPAにより審査・登録された民間サービスで、「ネットワーク監視型」「端末監視型」「併用型」の幅広いサービスから選択できます。
制度の各サービス導入には「IT導入補助金」の支援を利用できるため、導入費用の軽減が可能です。
中小企業のセキュリティにまつわる助成金
最後に、中小企業がセキュリティ対策に利用できる補助金・助成金を紹介します。
|
助成金の名前 |
要件 |
支給額 |
|
IT導入補助金 「セキュリティ 対策推進枠」 |
・「サイバーセキュリティお助け隊サービスリスト」 掲載のサービス利用であること ・「SECURITY ACTION」宣言済みであること |
5~100万円 |
|
サイバー セキュリティ対策 促進助成金 |
・東京都内の事業所へのセキュリティ対策導入であること ・「SECURITY ACTION」二つ星の宣言済みであること |
助成対象経費の2/1以内 30~1,500万円 ※標的型メール訓練のみでは 10~50万円 |
「IT導入補助金『セキュリティ対策推進枠』」は、全国の中小企業・小規模事業者を対象に、ITツールの導入費用の一部を国が補助する制度「IT導入補助金」の制度の一部です。2022年に新設され、100万円を上限に「サイバーセキュリティお助け隊」のサービス利用費の半分を最大2年間補助。申請には上で紹介した「SECURITY ACTION」の実施が必須です。
IT導入補助金に関しての詳細は、以下の記事を参照してください。
関連記事:IT導入補助金とは?対象者や補助額、申請方法を解説【注意点も】
「サイバーセキュリティ対策促進助成金」は、東京都内に事業所を置く中小企業者へ向け、サイバーセキュリティ対策を実施するために必要な設備・機器の導入を支援する助成金です。申請日までに「SECURITY ACTION」の二つ星を宣言、かつ宣言済みである旨を確認できることが申請要件です。
中小企業のセキュリティ対策について解説しました
中小企業がセキュリティ対策を検討する際には、どのシステム・製品を導入するかよりも、自社のリスクを見直し、守りたい情報から考える必要があります。自社で守るべき優先順位を決めたら、もっとも費用対効果が高い方法を選択しましょう。
セキュリティ対策が有効に機能するには、従業員のセキュリティリテラシーを高めることが前提となります。経営者とセキュリティ担当者だけでなく、全従業員に必要な知識を習得させましょう。
今回の記事を参考に、ぜひ自社に最適なセキュリティ対策の実施をご検討ください。
