見出し画像

中小企業がとるべきセキュリティ対策

株式会社ハイパー公式note

システム担当者が常駐していない中小企業や個人事業主は、どうしてもセキュリティ対策が不足になりがちです。
中には、「機密情報を扱わない自社に特別なセキュリティ対策は不要だ」と考えている企業もあるようです。けれども、漏えいしたら大変なことになる情報は、意外なところで抱えていたりするものです。中小企業や個人事業主が特に保護するべき情報は何なのか、またどう対策すればいいのかを見直してみましょう。

セキュリティ対策が甘いと……

企業が扱う機密情報というと、会員情報や発表前の新製品の情報などがまず頭に浮かびます。そのため自社では会員を募って管理するような事業は行っていない、製品開発は行っていないから重要な情報はない、と考えてしまうかもしれません。

しかし、どこの企業でも、次のような情報は扱っているのではないでしょうか。
・ 従業員のマイナンバー、住所、給与明細
・取引先の連絡先
・取引先との見積や請求書など
いずれも、漏えいしたら問題になる情報です。

もし、情報漏えいが起こると、以下の法律に抵触しかねません。

個人情報保護法/マイナンバー法(番号法)

住所、氏名、性別、生年月日、顔写真、電話番号、メールアドレス、保険者番号、マイナンバーなどの情報は、もし適切に管理しておらず外部に流出すると、個人情報保護法・マイナンバー法違反になることがあります。

漏えい事故の内容によっては、個人情報保護委員会からの立入検査を受けたり、刑事罰が科されたり、あるいは民事によって経営者が個人で損害賠償責任を負うケースもあり得ます。

不正競争防止法/金融商品取引法

漏えいしたデータの中に営業秘密やインサイダー取引に触れる内容があると、信用を害された側から信用回復措置請求を受けるほか、刑事罰が科される可能性があります。

また情報漏えいを起こすと、法に反することはないまでも、会社の信用低下、取引停止や顧客の流出、時には被害者に対する損害賠償が発生するなど、さまざまな損失が出てしまいます。

こういったことが起こらないように、企業規模や業種を問わず、セキュリティ対策は行わなければならないことなのです。

今すぐできる対策から

OSやアプリケーションは最新バージョンになっているか?

OSもアプリケーションも、脆弱性や新たな脅威に対応するセキュリティアップデートを提供しています。こまめにアップデートすることで、サイバー攻撃の被害を最小限に食い止めることができます。
常にアップデートの通知を受け取れるようにして、古いバージョンのまま使わないようにしましょう。

パスワードをしっかり管理できているか?

同じパスワードを使い回したり、簡単に推測できる文字列を使ったりしていないでしょうか。パスワードは推測しにくくして、他人に分からないように管理することが大切です。
IDaaSなどの認証ソリューションを使うとより安心です。

共有に問題はないか?

ファイル共有をする際、共有相手の中に関係のない従業員を入れていないか必ず確認しましょう。退職や異動をした人へ共有したままにしていないかチェックするのも大切です。
また、チャットツールやグループウェアの公開範囲でも同様に情報共有すべきじゃない人を無用に追加しないことです。

悪意をもってデータを漏えいする人は少ないにしても、操作ミスやPCの紛失などで情報漏えいにつながるリスクもあります。
共有相手は常に更新するようにしましょう。

新たなサイバー攻撃の情報を追っているか?

新しいウイルスやフィッシング詐欺などが次々と出てきています。巧妙な手口に引っかからないためにも、新しい情報を手に入れて対策しておくことが大切です。

ウイルスソフトなどを導入しているか?

セキュリティのためのシステム構築が難しい場合は、ウイルスソフトなどで対策を講じましょう。

機密情報を外に持ち出していないか?

テレワークでの業務をする機会が増えていますが、機密レベルが高い情報だけは社外でアクセスできないようにする、社外からは仮想デスクトップにつなぐようにするなどの工夫をするといいでしょう。

シャドーITになっていないか?

プライベートの機器を無断で業務兼用にすることはリスクが大きいため、必ずルールを定めておきましょう。

クラウドサービスでも注意が必要

サブスクリプション型のクラウドサービスは、ほとんどのものが「セキュリティ対策を講じている」旨をうたっています。実際に、クラウド自体には強固なセキュリティ対策がされていますが、IDやパスワードが流出してしまったら、第三者にアクセスされてデータの盗難や改ざんなどが行われる可能性があります。

本格的なセキュリティ対策を行うには

以上の基本的な対策だけでもリスクは減らせます。
もっと本格的に対策を行いたいときは、情報セキュリティ対策を社内でルール化し、従業員全員でセキュリティ対策を学ぶことが大切です。

ITに詳しい従業員がいない場合は、信頼できるベンダーを選定し、相談しながら必要なソリューションを導入することをおすすめします。

まとめ

  • 機密情報を扱っている意識を持つこと

  • 中小企業であってもセキュリティ対策は大切

  • OSやアプリのアップデートなど、基本的なところから対策を


この記事が気に入ったらサポートをしてみませんか?