これならやれる！情報セキュリティ対策

標的型メールによるサイバー攻撃

ＪＴＢがサイバー攻撃を受け、最大約793万人の顧客情報が流出した可能性のあることを公表した。特定の組織を狙う「標的型メール」と呼ばれる手口で、近年被害が増えている。企業は攻撃者が送りつけたメールの添付ファイルを不用意に開かないなどの社員教育に取り組み、攻撃を受けた際の対処法を確立して、顧客の信頼を損なう事態を避ける努力が必要だ（6月17日日本経済新聞Web版より）。このようなニュースを日本の企業の99%を占める中小・零細企業はどのように捉え、いかなる情報セキュリティ対策をしているのだろうか。

中小企業のためのセキュリティ対策とは

一昨日、東京文京シビックセンターで開催されたITCA主催研修「迫りくるネットワークの脅威！深刻な脆弱性への対策」を聴講してきました。研修の内容は3本立てで、1本目は、実演を交えた忍び寄るハッキングの脅威。2本目は、IPAから企業・団体の情報セキュリティ対策、そして3本目は、私が聞きたかった中小企業におけるセキュリティ対策で押さえるべきポイントと実施方法です。

情報漏えいの意外な原因

JNSA（特定非営利法人日本ネットワークセキュリティ協会）の「2015年情報セキュリティインシデントに関する調査報告書」によれば、企業の大事な資産である情報が漏えいした原因の81.5%はメールの誤送信などの誤操作と顧客情報をシュレッダーで裁断せずに破棄する等の管理ミス、PC等の紛失・置忘れだそうです。意外なことに、不正アクセスが原因によるものは4.7%です。このことから言えるのは、ほとんどの情報漏洩は人間が引き起こす、ということです。対策としては、情報漏えいがの企業リスクを経営者と社員が共有し、セキュリティ意識を高める。社員教育を実施しながら、管理ルールの徹底化を図ることが必要になります。

添付ファイル、アップデータ、ウイルス対策ソフト

しかしながら、これらの人に対する対策だけでは、外からのサイバー攻撃による情報セキュリティ対策としては不十分です。では、外部からのサイバー攻撃に対する備えとして高度なセキュリティ対策が必要かといえば、そうではありません。PCに向かって仕事をしている社員が以下の基本的な対策を自ら行えば、100%ではないが99%サイバー攻撃は防ぐことはできる、とIPAの講師はセミナーで話しをしています。(1)怪しいメール、添付ファイルでないか、常に注意を心掛ける。（2)OSやアプリケーションは常に最新な状態にする。(3)ウイルス対策ソフトを利用し、定義ファイルは最新化してサポート切れの状態では使わない。サイバー攻撃はセキュリティ対策の手薄な中小企業を狙っています。(1)、(2)、(3)の対策。これならやれる、あまり金をかけなくて出来る中小企業にとってのセキュリティ対策です。