【警視庁対談】中小企業のセキュリティ対策について
弊社では日々、流通小売業様に対してシステムを提供しております。
その中で、最近ランサムウェアが国内外で猛威を振るっており、先進国の中でも日本はセキュリティレベルが低い国と言われ、猛威にされされる可能性が今後も高い状況にあります。
そのような状況を打破すべく、去る6月13日(火)弊社では警視庁、セキュリティ会社と合同で中小の流通小売業様へのサイバーセキュリティ対策における啓蒙活動及びリアルな声を伺う意見交換会を行いました。
各社様の対策について
大手企業は資金的な面で恵まれ、セキュリティ対策が強固な企業が多くあります。
しかし、中小企業では、資金的な理由で対応が遅れるケースが多々見受けられます。
下記では各中小企業様が行われているセキュリティ対策について意見交換をさせて頂きました。
対策出来ている部分
- 一部セキュリティが必要な箇所を外注にお願いしている。
- ウイルス対策ソフトを入れている
- VPNで暗号化をかけている。
検討が必要なところ
- 従業員のセキュリティに対する教育について
年に1回は行っているが、セキュリティに対しての危機意識を自覚させるほどの教育は行っていない。 - CMSのバージョンについて
企業の問題上、最新バージョンにアップデートするのに時間がかかる。 - 外部アクセスについて
一部外部からCMSにログインできてしまう。 - セキュリティ担当について
セキュリティ担当が存在しない。 - インシデント管理について
ルール決めがされていない。 など…
中小企業では対策がされている部分もありますが、社内でのルール化、意識付けが徹底されていない企業が多々ありました。
中小企業がはじめに行うべきセキュリティ対策
情報処理推進機構(IPA)は、毎年社会的に影響が大きい情報セキュリティの脅威を選出しています。その中で、今年特に注意が必要な脅威として「インターネットバンキングやクレジットカード情報の不正利用」「ランサムウェアによる被害」があります。企業では、10大脅威全てのセキュリティ対策を行うことがベストとされていますが、中小企業が全てを行うことは現状難しい課題となります。
その為、中小企業では、まずはじめに「セキュリティの優先順位決め」と「感染時のルール決め」が重要となります。
- セキュリティの優先順位決め
企業が販売する商材によりセキュリティの優先順位が異なります。例えば、ECサイトを運営する企業であれば、外部からの脅威を考える必要があり、常にECサイトを最新に保つパッチマネージメントが重要となります。また、共用PCを利用する企業であれば、内部の情報漏洩について考える必要があり、社内のセキュリティに対しての教育が必要となります。 - インシデント管理(感染時)のルール決め
ウイルス感染時の対応方法をルール化、CSIRTチームを作ることが重要となります。感染時に、ネットワーク・サーバーを止めるなどのルールを明確化し、社内全員に周知出来るような仕組みを整える必要があります。
上記の対策を行うことで、最低限のセキュリティ対策を担保することが出来ます。
その他、耳寄りな情報として…
ハッカーの60分ルール
ハッカーは、企業のWEBサイトを改ざんする際、30分を目安に攻撃をしかけます。つまり、最低30分守ることが出来れば、企業の情報漏洩を防ぐことが出来るとも言えます。中小企業では、上記に記載した「中小企業がはじめに行うべきセキュリティ対策」を軸に、「各社の対策について」で述べた問題点を把握し、しっかりとした対策を練っておくことが重要と考えられます。
キュリティ対策について
本記事ではセキュリティに対しての最低限の対応策・知識を記載させて頂きました。また、弊社ではセキュリティ診断も行っております。セキュリティに対する取り組みを今後検討している企業様は一度ご相談下さい。
セキュリティ対策に関するお問い合わせ
03-6402-5321
※警視庁のサイバーセキュリティ対策本部様よりご提供いただいた内容を掲載しています。