«

»

1月 04

030ほぼ0円で始める中小企業の情報セキュリティ対策

家族経営の店舗でもパソコンとホームページを持ち、努力とアイディア次第では世界市場を相手に商売ができる時代になった反面で、情報漏えいや重要データの破壊など、情報セキュリティに関する脅威も年々増している。資金が限られる中小企業でも、インターネットでの販売と同様、努力と知恵を使って、大がかりな投資を必要としない対策がとれる道がある。

□ 情報セキュリティの3要素
情報セキュリティの3要素をご存じだろうか。
必要な人以外に知られない状態を守る「機密性」、情報が壊されていない状態を守る「完全性」、使いたいときにつかえる状態を守る「可用性」である。これは、他のことでも似ていて、バイクを例に取ると「盗まれない」、「壊されない」、「いつでも動く」ということと似ている。情報セキュリティ管理も、普通のものの資産管理と根本は同じなのである。
しかし、資産としての形が異なるので、それに応じた守り方をしなければならないことと、敵は生身の人間だけではなくソフトウェア(※コンピュータウィルスはプログラムである)も主力であるということに注意しなくてはならない。脅威もインフルエンザウィルスと同様、刻々進化しているのだ。
脅威が進化しているのに合わせて対策も進化させていかなくてはならないが、対策の基本は、経営者、IT利用者とも基礎知識を習得した上で、変化を知る、ということである。それほど難しいことではないので怠らずにやっていけば、以下に述べるように、コストはほぼゼロでも十分な対策ができる。

□ 3種類の対策を組み合わせて万全に
対策は一つのことだけやればいいということではなく、3種類の手段を組み合わせるのが基本である。

(1)技術的対策
ウィルス対策ソフトなど、人の注意力だけでは対応しきれない脅威に対応する分野である。基本的な対策は次のようなものだ。

①ウィルス対策ソフトの導入と定義ファイルの更新、定期的スキャンの実行
市販のソフトでもいいが、マイクロソフトのエッセンシャルズ(*1)なら、小規模企業は10台までのパソコンで無料である(2012年4月現在)。

②ソフトウェアアップデートの実施
Windowsアップデート、Adobe製品などのアップデートだが、これはほとんどが無償で提供される。

③Webサイトへの侵入を防ぐファイアウォール
自前でサーバーを公開している場合は用意が必要だが、レンタルサーバーなどではほとんどが業者側で設置しているので、サービス内容を確認してほしい。

④事務所のインターネット接続からの侵入防止
インターネット回線と直接接続している場合は、パソコンのパーソナルファイアウォールを有効にする。ルーターを入れてパソコンを複数台接続している場合、多くのルーターにはパソコンを守る程度のファイアウォール機能は付いているので、取り扱い説明書を見て確認してほしい。

(2)管理的対策
会社としてのルール、俗に言う「セキュリティポリシー」を決めて、情報利用者全員に守らせる対策である。セキュリティポリシーを作るのは大変かもしれないが、JNSA(NPO日本ネットワークセキュリティ協会)が、サンプルを無料公開している(*2)のでこれを元に、必要なものだけをルールとして制定すれば良い。小さな組織にとっては大仰と思われるかもしれないが、一通り目を通して、セレクトし、修正して作る。頑張りどころである。

(3)教育的対策
上の二つの対策を講じても、人間のほうがこの時代の変化についていけないのでは尻抜けとなる。従業員教育体制が十分でない中小企業はここが弱点となる。
上記(2)の対策でもそうだが、国は情報セキュリティ対策にかなりの予算を使って啓蒙や役立つツールの提供をしている。ここもそれを最大限に活用したい。
①各種手引きなど(ex.「ウィルス対策の手引き」)
IPA(独立行政法人 情報処理推進機構)のサイト(*3)から入手できる。このサイトでは、この記事で紹介しきれない多数のツールや資料があるので是非一度アクセスしていただきたい。
②無償の研修、eラーニング
無償の研修は、各地の商工会議所、商工会などを実施機関として行なわれている。
eラーニングは、テストも含めて、先に紹介したJSNAから無償で提供されている(*4)。これも有料だとかなりの負担になるものなので、是非利用したい。
(2012.4.13 執筆:山田一彦)

*1:マイクロソフト・エッセンシャルズ
http://windows.microsoft.com/ja-JP/windows/products/security-essentials
*2: JNSA(NPO日本ネットワークセキュリティ協会)セキュリティポリシーサンプル
http://www.jnsa.org/policy/guidance/