ゼロから分かる中小企業の情報セキュリティ対策法：中小企業に効くクスリ（2）（1/3 ページ）

前回で取り上げた「IT人材不足」の次に、中小企業を悩ませているのが「情報セキュリティ」だ。今日の情勢を基にいま求められるセキュリティのあり方と、そのための取り組み方法について提言する。

　「銀行預金が、内部犯行によってネット経由で不正に引き出された」「不正アクセスによって、Webサイトが一時閉鎖し、営業停止に追い込まれる」など、最近のニュースでは企業経営に多大な影響を与えるほどの悪質な情報セキュリティ事件が数多く報じられている。今日、中堅・中小企業においても本格的な情報セキュリティ対策の必要性に迫られているといえる。今回は、今日的なセキュリティ情勢の下、現在、求められるセキュリティ対策の取り組み方法を提言したい。

　「情報セキュリティ」の定義は、各組織・団体における基準・規格などによって微妙に異なるが、ここでは「情報資産をさまざまな脅威から守り、安全を維持すること」として、話を進めていく。

情勢分析──脅威の多様化と対策レベルの格差

情勢1：多様化するセキュリティ脅威

　では、情報資産の安全を脅かすものにはどんなものがあるだろうか？ 最近の脅威となるキーワードを見てみよう。これらが対策を講じるべき対象である。

図1　さまざまなセキュリティ脅威

　5?6年前であれば、セキュリティ脅威として“コンピュータ・ウイルス”がクローズアップされていたが、ITがビジネスや生活の基盤として定着してきた今日では、“フィッシング詐欺”や“SQLインジェクション”など、聞き慣れない多様な脅威が続々と出現している。すなわち、現在ではウイルスばかりにフォーカスした対策ではまったく不足だというのが実情である。

情勢2：セキュリティレベルが取引先の選別条件に

　現在、多くの企業において情報を取り扱う業務の大部分をITに依存している状況にあるかと思う。その一方、IT脆弱性を突いたセキュリティ被害が増加している。自社のみであればまだ物理的・金銭的被害で済むが、顧客情報やビジネスパートナーの機密情報を流出してしまったり、コンピュータ・ウイルスの感染源になってしまったりすると、信用問題にまで発展しかねない。

　このような背景から、すでにセキュリティの重要性を認識し対策に取り組んでいる政府や大手企業では、情報セキュリティレベルによって、ビジネスパートナーを選別する動きが高まっている。セキュリティレベルの高い政府機関・企業間でビジネスネットワークが形成され、セキュリティレベルの低い企業はビジネス機会を失っていく方向に向かっているのである。

図2　セキュリティレベルで分離形成されるビジネスネットワーク