2024年3月のKCG定例セミナー講師は、中小企業診断士の松田康宏(まつだ やすひろ)さんです。
松田さんはIT企業でインフラエンジニアを務める傍ら、中小企業診断士やファイナンシャルプランナー2級の資格も有し、
AWS(Amazon Web Services)の北陸のコミュニティのコアメンバーを務めるなど、活動は多岐にわたります。
今回は、縁遠いようで身近なセキュリティについて事例も交えながらご紹介いただきました。
なお、今回はSlidoというツールでスマホから随時質問を受け付ける形式をとりました。
中小企業や個人事業でもセキュリティ対策は必要!
情報セキュリティの脅威の順位(2024年)は以下のようになっています。
- ランサムウェアによる被害
- サプライチェーンの弱点を悪用した攻撃
- 内部不正による情報漏洩
- 標的型攻撃による秘密情報の窃取
- 修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)
どれも怖い脅威なのですが、中小企業や個人事業で注目しなければいけないのは、
2位に挙げられている「サプライチェーンの弱点を悪用した攻撃」。
具体的にいうと、次のようなことです。
大企業はセキュリティを強化しているところが多く、直接的に攻撃されて情報漏洩等が起こることは少なくなっています。
しかし、中小企業と取引し情報のやり取りを行なっている場合に、その中小企業が攻撃され、そこを足がかりとして攻撃されることがあります。
サプライチェーン(原材料の調達から製造・配送・販売・消費の流れ、供給連鎖)の中に、セキュリティに弱い企業があると、
そこを足がかりとして、攻撃者が情報の流れの中に侵入して情報漏洩等が発生することがあるということです。
中小企業であっても、セキュリティをおざなりにして良いわけではなく、気をつけなければいけません。
ところがセキュリティは、投資しても利益をうみません。
そのため、なかなかお金をかけにくい領域となってしまっています。
セキュリティのキモは優先順位づけにあり
セキュリティに投資しても、それが利益を生むことはありません。
そのため、必要最低限の対策を講じることが定石となります。
必要最低限とは何なのでしょうか。
起こりうるリスクを、発生確率と影響度という2軸で分類(マッピング)し、
その位置(低確率・低影響、高確率・低影響、低確率・高影響、高確率・高影響の4象限)によって取るべき対策を分け、
それぞれで対策を分け、必要なセキュリティ投資を判断する、ということになります。
簡単にできるセキュリティ対策
セキュリティ対策といえば、ウィルス対策などに代表されるようなソフトウェアや、ハードウェアのコンピュータの知識が必要な対策が思い浮かぶでしょう。
しかし、セキュリティ対策はそれだけにとどまりません。
画面の盗み見などでパスワードや顧客情報、秘密情報のが流出する可能性もあります。(新幹線や喫茶店で堂々と画面を見たりしていませんか?)
また、PCやスマホなど自体を盗まれるといったことでも、情報漏洩が発生します。
プライバシーフィルタを活用することで盗み見防止したり、
データをクラウドに保存することでPCやスマホが盗まれても、クラウドへのアクセスを遮断することで情報漏洩を防止したりできます。
このような対策は見落とされがちですが、だからこそ効果も大きいといえます。
以下のサイトで、様々な観点でのセキュリティについて自社診断ができますので、活用してみてください。
5分でできる!情報セキュリティ自社診断
もし、情報が漏洩してしまったときには個人情報保護委員会の案内に沿って対処しましょう。
大事だけど普段はあまり意識しない情報セキュリティ。
身近な事例について聞くことで、少しは意識が高められたのではないでしょうか。
なお、松田さんのご厚意で、今回セミナーのスライドへのリンクを貼っておきます。
もう一度確認しておきたい、用事があって聞けなかったという方は、ぜひご参照ください。
この記事へのコメントはありません。