はじめに
日本の中小企業は、近年さまざまなデジタル技術を導入し業務効率化を進めています。しかし一方で、情報セキュリティ対策については「どこまで実施すればよいのか分からない」「なんとなく対応しているだけ」といった実態も見られます。
IPA(情報処理推進機構)が提唱する「情報セキュリティ5か条」には、以下の5つがあり、企業がまず取り組むべき最低限の対策として広く推奨されています。
「OSやソフトウェアは常に最新の状態にしよう」
「ウイルス対策ソフトを導入しよう」
「パスワードを強化しよう」
「共有設定を見直そう」
「脅威や攻撃の手口を知ろう」
そこで、いまさら聞けない「基本の対策」について、この5か条をベースに、より実務に即した具体策をわかりやすく整理します。
基本1 ソフトとOSは必ず更新
- アップデートを忘れているPCは、「開けっ放しの扉」と同じ
- Windows/各アプリ/ファームウェアは、定期的なチェックとアップデートを
パソコンやスマートフォン、業務用アプリなどにおいて、ソフトウェアやOS(オペレーティングシステム)の更新を怠ると、既知の脆弱性が放置されたままとなり、サイバー攻撃の格好の標的になります。特にWindows Updateのような定期的な更新は、セキュリティパッチ(修正プログラム)を適用する重要な手段です。
IT部門がない企業でも、更新の自動化や定期チェックの仕組みを取り入れることで、安全性を高めることが可能です。まずはそこから始めましょう。
基本2 強いパスワードを使い、使い回さない
- 同じIDとパスワードを使い回している場合、一つの漏えいで全システムが危険に
- パスワードマネージャーや2段階認証の活用を
「123456」「password」などの単純なパスワードは、すぐに破られるリスクがあります。また、複数のサービスで同じIDとパスワードを使い回していると、1つが漏えいした際に“芋づる式”に他のシステムまで侵害される恐れがあります。
理想的には12文字以上で、英大文字・小文字・数字・記号を組み合わせた複雑なパスワードを使い、パスワード管理ソフトや2段階認証の導入で実行・運用を簡単にする工夫も重要です。
基本3 ウイルス対策ソフトは必ず入れる
- 「無料だから」と安易にフリーソフトを使っている企業も
- 認定された有償ソフトの導入で事前防止
ウイルス対策ソフト(アンチウイルスソフト)は、マルウェアやスパイウェアなどの悪意あるプログラムを検出・駆除する基本中の基本です。「無料だから」といった理由で信頼性の低いフリーソフトを使っていたり、導入すらしていない中小企業も少なくありません。
ウイルス対策ソフトは、国内外で認証された有償製品の中から、自動更新機能やリアルタイム監視機能が備わったものを選ぶのが安心です。また、PCに入れただけで満足せず、「定義ファイルが最新か」「警告が無効になっていないか」を定期的に確認しましょう。
基本4 「疑わしきメール」は開かない
- フィッシングメールは未だ有効な攻撃手段
- 事前課題として、「相手の名前やドメインを確認する」「添付をむやみに開かない」といったルールを定める
フィッシング詐欺やランサムウェアの多くは、電子メールの添付ファイルやURLリンクを通じて仕掛けられます。実際に、中小企業の情報漏えい事故の約4割がメール経由といわれており、「見慣れた取引先を装ったメール」「急を要する内容」などで不安を煽る手法が増えています。従業員に向けて「送信元のドメイン確認」「添付ファイルは安易に開かない」といったシンプルで明確なルールを設け、年に1回程度は疑似フィッシング訓練を行うのが理想です。
基本5 バックアップと安全なデータ利用
- ファイルを作業PCのローカルのみで保存している場合は、重要な情報の漏えいにつながるおそれがある
- クラウドストレージの活用
- データ利用の内部ルールを設ける
バックアップを取らず、作業PCのローカル保存だけで業務を進めている企業では、マルウェア感染・誤操作・端末紛失などの際に取り返しのつかない損失を被る可能性があります。日次・週次での自動バックアップの仕組みを整えつつ、クラウドストレージの活用が推奨されます。
なお、USBメモリの使用は原則として避けるべきです。紛失や盗難による情報漏えいリスクが高く、マルウェアの媒介にもなり得るためです。どうしても使用が必要な場合は、暗号化・アクセス制限・持ち出し管理などを徹底しましょう。
加えて「このデータを誰が、どこから、いつアクセスできるか」を明確にした社内ルールを設けることで、内部不正の防止にもつながります。
おわりに
この5項目は、IPAや経済産業省のガイドラインも原則として推奨しており、「もはや必須」の対策です。どれか1つでも欠けているなら、その部分から「すぐに着手」することが最善の方法です。
