中小企業のセキュリティ対策は「自動化」がポイント

 

 

 

 

政府が中小企業のセキュリティ人材育成に乗り出す

 

2018年12月25日、総務省はサイバーセキュリティーの人材育成に向け、有識者会議の初会合を開催しました。

人口が減る地方や中小企業のセキュリティ対策が主な検討テーマとしてあげられています。

 

 

日本経済新聞 2018/12/25

サイバーセキュリティー、地方・中小の人材育成　総務省検討開始

https://www.nikkei.com/article/DGXMZO39350120V21C18A2EE8000/

 

 

この有識者会議では、人材育成に適した講習プログラムや、セキュリティー人材を複数企業で共有する仕組みなど、規模の小さい自治体や中小企業の実態に合わせた対策が検討されます。

経済産業省によると、2020年には情報セキュリティ分野の人材が19万3000人不足するとされており、特に中小企業の人材不足が深刻になる見通しです。

現状でも、中小企業の過半数は情報セキュリティ担当者自体がおらず、担当者がいる企業であっても、他業務との兼任が4割を占めるという調査結果もあります。

 

中小企業においても、セキュリティ対策は、重要な経営課題であり、国としても課題を認識しているもの、現時点では具体的な対策が取られていないという現状が見えてきます。

 

 

 

年々深刻化する中小企業の人手不足

 

中小企業における人手不足は深刻化しています。

商工中金が発表した、中小企業の人手不足に関する調査によると、2011年の調査では「雇用が不足している」と回答した企業の割合は約15%だったのに対し、2018年の調査では65%に上昇しています。

 

また、半数以上の企業が、「人手不足が企業経営に悪影響を与えている」と回答しており、具体的には、「採用難」や「売上減少・機会の損失」「商品・サービスの質低下」など、深刻な影響を受けています。

 

https://www.shokochukin.co.jp/report/tokubetsu/pdf/cb18other11_01.pdf

 

 

人材不足は、中小企業の事業継続そのものに影響がでるほど深刻化しており、当面、状況が好転する見通しはありません。

今後も人材不足が進んでいく中で、中小企業の人材確保は、より一層難しくなっていくと捉えるのが現実的でしょう。

 

セキュリティ人材の不足は、中小企業にとって重要な経営課題であることは間違いありませんが、一方で、中小企業全体として、人材確保自体が難しいのも現状です。

 

実際に、経済産業省の調査でも、セキュリティ人材が不足している原因として「本業が忙しく、情報セキュリティにまで人材が割けない」という理由が最も多くなっています。

 

 

 

必要ないでは済まされない中小企業のセキュリティ対策

 

中小企業の多くでは、ウイルス対策ソフトウェアの導入は進んでいるものの、日常的なソフトウェアアップデートの適用や、データのバックアップなどのセキュリティ対策が行われていないのが現実です。

 

また、何らかのセキュリティ対策が行われている場合でも、個人単位や部門単位の対策にとどまっており、全社統一のセキュリティポリシーに則った運用が行われている中小企業は多くありません。

 

中小企業が大企業と同じレベルのセキュリティ対策を行うのは、人員的にもコスト的にも現実的ではありませんが、中小企業だからといって、セキュリティ対策を行わないという選択はおすすめできません。

 

サイバー攻撃をうける危険性は、大企業だけではなく、中小企業も同じであり、必要ないでは済まされないのです。

 

標的型攻撃と呼ばれる、ターゲットとなる組織に狙いを定めて行われるサイバー攻撃では、ターゲットとなる企業に侵入するために、守りの弱い取引先が狙われるケースが少なくありません。

 

もし、気づかないうちに自社の社員になりすまされて、取引先企業にサイバー攻撃が行われてしまったらどうなるでしょうか。

信用の失墜だけにはとどまらず、経営にも大きな打撃を受けることになるでしょう。

 

中小企業こそ、セキュリティ対策を行うことが重要な経営課題であり、会社を守ることにつながるのです。

 

 

 

今すぐできる中小企業のセキュリティ対策

 

サイバー攻撃を防ぐために、専任のセキュリティ担当者をおき、社内のセキュリティを維持管理していくことは理想です。

 

しかし、中小企業にとっては、人員確保やコスト面から、専任のセキュリティ担当をおくことは現実的ではありません。

 

実は、サイバー攻撃の手法が日々巧妙化していますが、必ずしも最新の攻撃ばかりが行われているわけではありません。

実際には、すでに知られているセキュリティホールを使った攻撃が行われており、その多くは、最新のセキュリティアップデートを適用していれば防ぐことができます。

また、データを暗号化して人質に取るランサムウェアも、重要なデータを常時バックアップしておけば、被害を最小限に押さえることができます。

 

セキュリティ対策というと、どうしても難しく考えがちです。

まずは、OSを最新バージョンにアップデートする、アプリケーションのセキュリティパッチを定期的に適用する、重要なデータは常にバックアップするなど、基本的な対策を行うだけでも、かなりの効果が期待できます。

 

そして、これらの基本的な対策を行う上で重要なのは、社内のすべてのPCで、もれなく共通の対策を行うことです。

社内に適切なセキュリティ対策が行われていないPCが1台でもあると、会社全体のセキュリティレベルが、下がってしまいます。

 

これらのセキュリティ対策は、各利用者に徹底させることはもちろんですが、たとえば週に1回適用状況のチェックを行うなど、正しく運用されていることを確認することが重要です。

 

 

 

担当不在でもできるセキュリティ対策の「自動化」

 

 

 

 

より効率的に運用する仕組みとして、エンドポイントセキュリティ対策製品を導入する方法があります。

 

エンドポイントセキュリティ対策製品を導入すると、OSアップデートやセキュリティパッチ適用を自動化し、PCのセキュリティを常時適切な状態に維持できます。

また、データの不正持ち出し防止や自動バックアップで、重要なデータを保護することができます。

 

セキュリティ担当者が設置できない中小企業でも、エンドポイントセキュリティ対策製品で、日常的なセキュリティ対策を自動化することで、適切なセキュリティを維持し続けることが可能になります。

 

人手不足が深刻化し、人材確保が年々難しくなる中で、エンドポイントセキュリティ対策製品によるセキュリティ対策の自動化は、中小企業に取って現実的な打ち手であると言えます。