DXと両輪で進めよう!最低限やるべき中小企業のセキュリティ対策5つ
データやデジタル技術を活用してビジネスを変革するDX。生産性を向上させたり、顧客に新しいサービスを提供するために、クラウドサービスやAIなど新しいデジタル技術の利用も増えてきています。
便利になる一方、サイバー攻撃の手口は多様化し、破壊力を増しています。しかも近年、そのターゲットは中小企業にまで拡大。中小企業だからといって、セキュリティ対策をおろそかにはできません。
情報漏洩があれば社会や取引先からの信頼が失墜するでしょう。また、不正送金で金銭の損失を受けることもあります。攻撃を受けて社内システムが停止したりデータが喪失するなど、業務停止の可能性だってあるのです。
といっても、セキュリティ対策にかけられるお金がなかったり、社内に専門家がいなかったりすると、やれることは限られます。
そんな「何からはじめればいいの」という中小企業のために、IPAは「情報セキュリティ5か条」を公開しています。この記事では、DXと両輪で進めるべきセキュリティ対策として、「情報セキュリティ5か条」から中小企業が最低限やるべき5つのことをご紹介します。
OSやソフトウェアは常に最新の状態にしよう
業務で利用しているパソコンのWindowsUpdateは毎月おこなっていますか? また、パソコンにインストールされたソフトウェアのバージョンは最新でしょうか。
みなさんが個人で利用しているスマホやスマホアプリのアップデートも、業務で利用しているパソコンやソフトのアップデートも、その目的の1つはセキュリティへの対応です。利用には支障がないからとOSやソフトウェアを古いまま放置していると、セキュリティ上の問題が解決されません。それを悪用したウイルスに感染してしまう危険があります。
OSやソフトウェアは常に最新の状態にして利用しましょう。
ウイルス対策ソフトを導入しよう
パソコンやサーバーにウイルス対策ソフトは入っていますか?
IDやパスワードを盗んだり、遠隔操作をおこなったり、ファイルを勝手に暗号化するウイルスが増えています。ウイルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)は常に最新の状態にしましょう。
パスワードを強化しよう
さまざまなソフトウェアやサービスを利用するのに、パスワードを使いまわしていませんか?また、推測されやすい、簡単なパスワードになっていないでしょうか。
パスワードが推測や解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされる被害が増えています。
DXを進めるために、オンラインストレージやグループウェアなどの汎用的なクラウドサービスを利用する場面も増えてくるでしょう。社内のサーバーにあれば社内からしかアクセスできなかった情報も、クラウドに移ることで、IDとパスワードさえわかれば誰でも不正にアクセスできてしまう危険があります。
パスワードは「長く」「複雑に」「使いまわさない」ようにして、強化しましょう。また、可能な場合は、多段階認証や多要素認証も利用しましょう。
安全なパスワードを設定するためのポイントをかんたんにまとめたサイトもあります。参考にしてみてください。
チョコっとプラスパスワード(IPA)
共有設定を見直そう
データを保管するクラウドサービスや、ネットワーク接続する複合機の設定をまちがったために、無関係の人に情報をのぞき見られるトラブルが増えています。
クラウドサービスやネットワーク接続の機器(複合機やカメラ、ハードディスクなど)の共有範囲を限定しましょう。また、従業員の異動や退職時には、すみやかに設定を変更(削除)することも大切です。
無関係な人がサービスや機器を使うことができる設定になっていないことを確認しましょう。
脅威や攻撃の手口を知ろう
攻撃の手口は、日に日に巧妙化しています。
なかには、取引先や関係者と偽ってウイルス付きのメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げてID・パスワードを盗もうとするものも。
たった1台のパソコンや、たった1人へのメールをきっかけに、社内全体にウイルス感染が広がって業務が止まったり、情報漏洩が起こったりします。「自分は騙されない」と過信せず、最新の脅威にはどんなものがあるのか、どんな攻撃が流行っているのか知っておくことが大切です。
IPAなどのセキュリティ専門機関のウェブサイトやメールマガジンで情報を得ると同時に、従業員への注意喚起もおこないましょう。
情報収集には以下のサイトが参考になります。お気に入りに入れて、定期的にチェックしましょう!
- ここからセキュリティ!
- IPA セキュリティセンター
- IPA サイバーセキュリティ注意喚起サービス「icat for JSON」
- 一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)
- 警察庁 サイバー警察局
- 内閣サイバーセキュリティセンター
最低限の取り組みから次のステップへ セキュリティはDXと両輪で進めよう
この記事で紹介した5つは、企業の規模に関わらず必ず実行するべき対策です。まずはこの最低限に対応できたら、組織的な取り組みをはじめましょう。
IPAでは、組織的にセキュリティ対策に取り組む際の手順や手法をまとめた「中小企業の情報セキュリティ対策ガイドライン」を公開しています。また、この記事で紹介した「情報セキュリティ5か条」に取り組むと、情報セキュリティ対策の自己宣言制度「SECURITY ACTION」の一つ星を宣言できます。そこから一歩進んだ取り組みとして、情報セキュリティ基本方針を定めるなど「二つ星」の取り組みにもチャレンジしてみませんか。
DXの推進とは切っても切れないセキュリティ対策。まずは最低限の取り組みから、DXとセキュリティの両輪で進めていきましょう。
concept『 学んで、知って、実践する 』
DX SQUAREは、デジタルトランスフォーメーションに取り組むみなさんのためのポータルサイトです。みなさんの「学びたい!」「知りたい!」「実践したい!」のために、さまざまな情報を発信しています。
DX SQUARE とは