僕が所属している中小企業診断士のグループ、「湘南診断士ネット」。湘南エリアに縁のある人もそうでない人も集まっている神奈川県中小企業診断協会の研究会の一つです。この会では毎回二人の会員がそれぞれ得意な分野について発表します。
テーマは中小企業支援に関するものが多いものの、発表者の仕事に関するものなどもあります。様々なバックグラウンドを持つ会員の貴重な体験談を聞けるのを毎回楽しみに参加しています。
そんな中、僕にも発表する番が回ってきました。何を発表するか色々と考えて、Webマーケティングに関するものやブログのマネタイズの話なんかも考えたのですが、以前からコンテンツ作りの構想があった「中小企業における情報セキュリティ対策について」お話しさせて頂くことにしました。
持ち時間は約50分。質疑応答時間も考慮して45分で話し終えるコンテンツを作りました。
目次
発表の構成
持ち時間がそれほど長くないので、なるべく簡潔でシンプルな内容にすることを心がけました。そして次のようなゴールを設定し、それぞれのゴールに合わせた発表をすることにしました。
- 情報セキュリティ事故の被害を知る
- 中小企業の情報セキュリティ対策の現状を知る
- 中小企業でもできる”なるべくお金と手間をかけない”情報セキュリティ対策を知る
広告
情報セキュリティ事故の被害を知る
このパートではどのような代表的な情報セキュリティ事故について、感染経路、感染原因、被害などについて概要を説明させて頂きました。主なセキュリティ事故として、
- マルウェア感染
- ランサムウェア感染
- フィッシングサイト
- USBメモリ紛失
- 重要書類の紛失
ここで事故の実態を知ることでその後に続くセキュリティ対策への理解が進むので、ここで紹介しました。
中小企業の情報セキュリティ対策の現状を知る
ここではIPAやJNSAが発表している統計資料から見えてくる中小企業の情報セキュリティ対策の現状を分析して発表しました。
情報セキュリティの担当者を設置している中小企業は全体の半分、小企業においては8割の企業で担当者を設置していません。こんな状況なので情報セキュリティの相談窓口を設けている会社、情報セキュリティ教育を実施している中小企業も多くありません。このような各種統計資料から中小企業では情報セキュリティ対策が進んでいないことを知ってもらいました。
中小企業でもできる情報セキュリティ対策
一般的な情報セキュリティ対策は現状把握をしたうえで、企業内の情報セキュリティ方針を策定し、その後具体的な対策に移していきますが、中小企業においてはこのやり方は時間もコストもかかってしまいます。中小企業の機動性の高さを考慮して、現状把握をしたらすぐに対策に入るというのが現実的な進め方になります。
現状把握
そこでまず情報セキュリティ対策の現状を把握する方法をいくつか紹介しました。
その中の一つがこのブログでも過去に取り上げたことのあるIPAが作成した「5分でできる自社診断ツール」です。
25個の質問に答えるだけで現状を知ることができるこのツール、簡単に現状把握するのにうってつけのツールです。
その他にもPCやネットワークなどのシステム構成の整理や、社内の情報資産の棚卸などを説明させて頂きました。
情報セキュリティ対策
ここではパスワードの管理や、IPAが公開している情報セキュリティ啓蒙動画コンテンツの活用、セキュリティパッチの適用などのなるべくお金をかけずにセキュリティレベルを上げられる方法から、UTMの導入といった多少お金をかけてもレベルを上げられる対策までを紹介させて頂きました。
ソフトウェアの脆弱性の調査については、IPAのMyJVNチェックツールを紹介させて頂きました。
最後に
今回は中小企業診断士向けに中小企業支援の一環でセキュリティ対策が求められた時の対応について話をしましたが、最終的には中小企業の経営者向けにこういった話をしたいと思っています。
というのも中小企業の多くでは情報セキュリティ対策が十分に出来ておらず、中小企業の被害も多く出ており、情報セキュリティ事故に遭うということは無視できない経営リスクであることを認識してもらいたいからです。
そして多くの経営者が情報セキュリティ対策は難しい、お金がかかる、といった認識をされている中で、すぐに取り組める対策が多くあり、事故に遭う確率を少しでも下げることができることを知ってもらいたいと思っています。
今回のコンテンツをベースに多くの方に聞いてもらえるような場で発表する機会を設けていきたいですね。