情報セキュリティ

中小企業が取り組むべき7つの情報セキュリティ対策

監修者:金子 雅和

中小企業は、大手企業に比べて人員が不足していたり、情報セキュリティ体制が整っていなかったりするケースが多いです。
だからこそ、必要な取り組みを理解し、実行することを強く意識しなければいけません。
ここからは、中小企業が取り組むべき、7つの情報セキュリティ対策について解説します。

企業全体の対応方針を固める

中小企業が取り組むべき情報セキュリティ対策としては、まず企業全体における対応方針を固めることが挙げられます。
具体的には、情報セキュリティ対策を組織的に実施する意思について、従業員やその他の関係者に示すために、どのような情報をどういった方法で守るのかなどについて、宣言することを指します。
こちらの取り組みには、自社においてもっとも懸念される事態を理解できる、適切な情報セキュリティ対策が取りやすくなるといったメリットがあります。

予算、人材を確保する

中小企業が取り組むべき情報セキュリティ対策には、予算や人材を確保することも挙げられます。
冒頭で触れたように、中小企業の中には、適切な情報セキュリティ対策を取るにあたって、十分な人員が確保されていないケースが多いです。
その状態で対策を進めても、担当者への依存や、一度作り上げたシステムの崩壊などのリスクがあるため、まずはじっくり人手を集めましょう。
また、中小企業は予算にも余裕がないケースが多いですが、多少他のコストを削ってでも、情報セキュリティ対策のアウトソーシングなどに予算を費やすべきです。

具体的な対策を検討、実行する

中小企業は、方針や人材、予算といった地盤を固めた上で、具体的な情報セキュリティ対策を検討し、実行すべきです。
具体的には、懸念される事態に関する情報、業務を整理し、損害を受けるリスクも把握した上で、セキュリティ責任者、担当者に対策を検討、実行させましょう。
実行する対策については、社内ルールとして文書にまとめておくことで、従業員も同じように実行しやすくなり、取引先等の関係者にも容易に取り組みについて説明することができます。
また、中小企業の経営陣は、決定した情報セキュリティ対策が現場でどのように実施されているのかについて、月次や四半期ごとなど、適切な機会をとらえて報告させ、進捗具合や効果について把握しなければいけません。

定期的に対策を見直す

情報セキュリティ対策を実行した後は、定期的にその内容を見直さなければいけません。
また、見直す際には、事前に決定された企業における対応方針に沿っているかどうかを基準にします。
もちろん、業務や顧客における期待の変化を踏まえ、基本方針についても適宜見直しを行い、企業が大きな損害を受けないよう、対策を追加することも考えなければいけません。
一度決定した方針を頑なに変更しない方が、逆に危険です。

緊急時の対応、復旧のための体制を整える

中小企業は、自然災害やウイルス被害など、万が一の状況に備えて、緊急時の対応体制を整えましょう。
被害の原因を速やかに追求し、被害拡大を防止する体制を構築するとともに、的確な復旧手順を前もって作成しておくことで、緊急時に適切な指示を出すことが可能です。
また、体制の整備後には、復旧手順が想定通りに機能するかどうかをチェックするため、模擬訓練を行うことをおすすめします。

外部サービスにおけるセキュリティの責任を明確にする

中小企業は、業務の一部をアウトソーシングによって賄う機会も多いかと思います。
もし、外部サービスに委託するのであれば、自社と委託業者の双方で、情報セキュリティにおける責任を明確にしておかなければいけません。
また、委託先では、少なくとも自社と同程度の対策が行われていることを確認しておきましょう。
アウトソーシングにはコストがかかるものの、中小企業においては、自社でシステムを構築するよりもコストパフォーマンスが良いケースが多いです。
しかし、安易にコストのみを考慮して委託するようなことは控えましょう。

情報セキュリティに関する情報を集める

情報セキュリティを取り巻く環境は、日々目まぐるしく変化します。
それに伴い、当然中小企業にとって必要な情報セキュリティ対策も変わってきます。
しかし、最新の情報セキュリティ動向について、中小企業が自社のみで完璧に把握するのは難しいです。
よって、情報セキュリティに関する最新情報を提供している公的機関(IPA、NISC)などの公的機関を把握し、常時参考にしましょう。
また、関係企業とのコミュニティなどに参加し、情報交換を積極的に行うことや、自社が独自に得た情報について、業界団体や委託企業などに共有することも大切です。

まとめ

ここまで、中小企業が取り組むべき7つの情報セキュリティ対策を見てきましたが、いかがでしたでしょうか?
中小企業の経営陣の方は、自社において前述の情報セキュリティ対策が実施されているかどうか、今一度確認しましょう。
1つでも綻びがあると、情報セキュリティ体制は簡単に崩壊してしまう可能性があるため、注意してください。

 

ピックアップ記事

  1. 【印刷・広告・DM】個人情報対策の為にどうやって企業を選べばいい?
  2. 【医療・福祉・介護関連会社】情報セキュリティにおける安全対策と事例
  3. 印刷・広告・DM業の個人情報の扱い方について解説します
  4. 宅ファイル便の480万件の漏えい事件について解説します
  5. 詐欺ウォールがあれば防げた可能性のあるネット詐欺事件

関連記事

  1. 情報セキュリティ

    情報セキュリティ対策として導入すべきeラーニングについて

    企業が導入を検討するべき情報セキュリティ対策の1つに、“eラーニン…

  2. 情報セキュリティ

    “情報セキュリティ担当者への負担”は解決すべき課題

    企業の情報セキュリティにおける中核を担うポストとして、情報セキュリ…

  3. 情報セキュリティ

    専門業者に依頼する“フォレンジック調査”について

    法人・個人を問わず、ネットワークを使用するにあたっては、情報…

  4. 情報セキュリティ

    “踏み台攻撃”の目的、手法、対策について解説します

    企業はあらゆる脅威がすぐ近くにあることを自覚し、適切なセキュ…

  5. 情報セキュリティ

    医療機関のセキュリティ内部対策と他の対策とは?

    患者さんの大切な個人情報を守るために、医療機関ではさまざまなセキュ…

  6. 情報セキュリティ

    企業が実施すべき“レッドチーム演習”とはどんなものなのか

    企業は情報セキュリティ対策として、あらゆる手を打たなければい…

業種別記事

おすすめ記事

人気のある記事

最大700万の損害賠償保険が自動付帯

JAPHICマークの詳細・無料セミナーはこちら
PAGE TOP