経営お役立ちコラム
中小企業のサイバーセキュリティ対策

昨今「サイバーセキュリティ」、「サイバー攻撃」といった言葉をよく耳にします。毎年2月に行われていた「情報セキュリティ月間」も「サイバーセキュリティ月間」に改称され、国家レベルでこの対応を進めていかなければいけないという政府の思惑が垣間見られます。ここ数年のサイバーセキュリティをめぐる主な動きは以下の通りです。

 

2014年11月 「サイバーセキュリティ基本法」施行

2015年 1月 「内閣サイバーセキュリティセンター(NISC)」設置

2015年12月 「サイバーセキュリティ経営ガイドライン」策定

 

「情報セキュリティ対策は取り組んでいるが、サイバーセキュリティなんて我が社には関係ない」なんて感じてはいないでしょうか。そもそも「情報セキュリティ」と「サイバーセキュリティ」とは何が違うのでしょうか。

情報セキュリティとは、情報資産を守るためのトータルな仕組み作りにフォーカスした表現です。情報資産を取り扱う場所の施錠管理などの物理的対策、取扱手順を定めて遵守するなどの組織的対策、ウイルス対策ソフトの導入や暗号化の実施などの技術的対策と広範囲を表します。

サイバーセキュリティとは、サイバー空間にフォーカスした表現です。コンピュータへの不正侵入、データの改ざんや破壊、情報漏洩、コンピュータウイルスの感染などのサイバー攻撃に対する防御行為となります。言葉の意味としては「情報セキュリティ」の方が広範囲を表すのですが、サイバー空間は容易に国境を越えてしまうため、テロ対策を含めたさまざまな攻撃への対応を検討する必要が出てくるのです。

サイバー攻撃は、迷惑メールやセキュリティホールを悪用するウイルスなどを無差別に送りつけて組織や個人に混乱をもたらす古典的なものから、組織や個人にターゲットを絞って攻撃したうえで、目的の情報を盗む標的型攻撃と呼ばれるものなどがあります。

 

こうした攻撃は大企業のみならず、昨今では中小企業において増加傾向にあります。中小企業のセキュリティ対策が甘いからです。昨年5月に日本年金機構が保有する個人情報約125万件がサイバー攻撃で流出した事件がありましたが、この対応を見る限り中小企業の実態と似ている部分があります。この事件を受けて、「サイバーセキュリティ基本法」において、国として監視をする対象を指定法人までに拡大する改正案が2016年4月15日に成立しました。今後、監視対象が一般企業まで拡大されることは十分に考えられます。

この法律の第十五条では、「国は、中小企業者その他の民間事業者及び大学その他の教育研究機関が有する知的財産に関する情報が我が国の国際競争力の強化にとって重要であることに鑑み・・・」とあり、サイバーセキュリティに対する取り組みの促進を促しています。

中小企業を狙ったサイバー攻撃の目的は、その企業の機密情報だけではなく、踏み台とされるケースも考えられます。大企業の機密情報を、その取引先である中小企業から間接的に入手しようとして攻撃をしかけるのです。

 

昨年策定された「サイバーセキュリティ経営ガイドライン」は、経営者のリーダーシップの下でサイバーセキュリティ対策を推進するために策定されたガイドラインです。サイバーセキュリティ対応について、経営者が積極的に取り組むべきものとしていますが、セキュリティの担当者があってこそ組織として対応が可能となります。中小企業において専任のセキュリティ担当者をおくことは難しいかもしれませんが、被害にあってしまうとたちまち経営危機に陥るリスクがあります。

情報処理推進機構(IPA)には、IPAのコンテンツを活用し、中小企業に対して情報セキュリティの啓発や普及活動を行う「セキュリティプレゼンター」が登録されており、相談したい専門家を検索することができます。このような外部リソースを有効活用することも考えて、サイバーセキュリティへの取り組みを強化してみてはいかがでしょうか。

磯島 裕樹

16/06/30 21:00 | カテゴリー: | 投稿者:広報部 コラム 担当
カテゴリー


このページの先頭へ戻る