連載	中小企業に効くクスリ（2）

ゼロから分かる中小企業の情報セキュリティ対策法

エフィジェント
赤秀 有為

2005/8/27

前回で取り上げた「IT人材不足」の次に、中小企業を悩ませているのが「情報セキュリティ」だ。今日の情勢を基にいま求められるセキュリティのあり方と、そのための取り組み方法について提言する。（→記事要約<Page 3>へ）

　「銀行預金が、内部犯行によってネット経由で不正に引き出された」「不正アクセスによって、Webサイトが一時閉鎖し、営業停止に追い込まれる」など、最近のニュースでは企業経営に多大な影響を与えるほどの悪質な情報セキュリティ事件が数多く報じられている。今日、中堅・中小企業においても本格的な情報セキュリティ対策の必要性に迫られているといえる。今回は、今日的なセキュリティ情勢の下、現在、求められるセキュリティ対策の取り組み方法を提言したい。

　「情報セキュリティ」の定義は、各組織・団体における基準・規格などによって微妙に異なるが、ここでは「情報資産をさまざまな脅威から守り、安全を維持すること」として、話を進めていく。

-	情勢分析──脅威の多様化と対策レベルの格差

■情勢1：多様化するセキュリティ脅威

　では、情報資産の安全を脅かすものにはどんなものがあるだろうか？ 最近の脅威となるキーワードを見てみよう。これらが対策を講じるべき対象である。

図1　さまざまなセキュリティ脅威

　5〜6年前であれば、セキュリティ脅威として“コンピュータ・ウイルス”がクローズアップされていたが、ITがビジネスや生活の基盤として定着してきた今日では、“フィッシング詐欺”や“SQLインジェクション”など、聞き慣れない多様な脅威が続々と出現している。すなわち、現在ではウイルスばかりにフォーカスした対策ではまったく不足だというのが実情である。

■情勢2：セキュリティレベルが取引先の選別条件に

　現在、多くの企業において情報を取り扱う業務の大部分をITに依存している状況にあるかと思う。その一方、IT脆弱性を突いたセキュリティ被害が増加している。自社のみであればまだ物理的・金銭的被害で済むが、顧客情報やビジネスパートナーの機密情報を流出してしまったり、コンピュータ・ウイルスの感染源になってしまったりすると、信用問題にまで発展しかねない。

　このような背景から、すでにセキュリティの重要性を認識し対策に取り組んでいる政府や大手企業では、情報セキュリティレベルによって、ビジネスパートナーを選別する動きが高まっている。セキュリティレベルの高い政府機関・企業間でビジネスネットワークが形成され、セキュリティレベルの低い企業はビジネス機会を失っていく方向に向かっているのである。

図2　セキュリティレベルで分離形成されるビジネスネットワーク

第1回へ

1/3

index 連載：中小企業に効くクスリ（2） 　ゼロから分かる中小企業の情報セキュリティ対策法 Page 1 情勢分析──脅威の多様化と対策レベルの格差 　−情勢1：多様化するセキュリティ脅威 　−情勢2：セキュリティレベルが取引先の選別条件に 　 Page 2 対策の方向性──マネジメント志向と取り組み宣言 　−情勢1に対する方向性 　−情勢2に対する方向性 情報セキュリティ・マネジメントシステムの確立、運用 　 Page 3 ISMS認証基準におけるISMS 　−ISMSのセキュリティ3大要素 　−ISMSの継続的PDCAサイクル 中小企業におけるISMS実践のポイント 　−ポイント1：社長や経営陣の積極的参加 　−ポイント2：一般社員の意識・スキルにあわせた計画 　−ポイント3：既存サンプルの活用 　−ポイント4：全体最適視点での予算投下

＠IT情報マネジメント メールマガジン　情報マネージャのための情報源（無料）