セキュリティ対策とは

 2017.08.29 Secure Enterpriseポータル

今回は「セキュリティ対策とは」について紹介していきます。もちろん、セキュリティ対策という語句についての説明ではなく、企業におけるセキュリティ対策とはどういうものか、という解説を行っていきます。

まずは、昨今の情報セキュリティ事情について知っていただきたいと思います。

IPA(情報処理推進機構)が行った「2016年度 中小企業における情報セキュリティ対策に関する実態調査によると、情報セキュリティ体制に対し、「専門部署(担当者)がある」と回答したのは、わずか7.4%です。最も多いのは「組織的に行っていない(各自対応)」の57.5%でした。

つまり、中小企業の約6割は情報セキュリティに対し組織的に取り組んでおらず、社員各自のセキュリティ対策に依存している状態です。

さらに、情報セキュリティ教育実態の項目では、「特に実施していない」という企業が60.8%。小規模企業に限定すると、70.5%にも上ります。このIPAの実態調査では、中小企業において、いかに情報セキュリティが浸透していないかが浮き彫りになっています。

情報セキュリティはなぜ浸透していないのか?

サイバー攻撃から機密情報を守るために重要なはずの情報セキュリティが、中小企業に浸透していない理由は2つあります。それが、「セキュリティ人材不足」と「セキュリティ維持のコスト」です。

現在、日本は慢性的なセキュリティ人材不足にあります。経済産業省が発表した市場動向予測によれば、2016年時点でのセキュリティ人材不足は13万2,060人であり、東京オリンピックが開催される2020年にはその不足数が19万3,010人に上るとされています。

引用:経済産業省「IT人材の最新動向と将来推計に関する調査結果

このように、セキュリティ対策へのニーズは高まっていくにもかかわらず、セキュリティ人材不足は年を追うごとに深刻化しています。「優秀なセキュリティ人材」となると、さらに不足していると考えていいでしょう。

こうした市場を背景に、中小企業ではセキュリティ人材を確保することが困難になっています。優秀なセキュリティ人材は大企業に集中してしまい、中小企業では十分なセキュリティリソースを確保できていないのです。

そこで多くの企業がセキュリティ対策をアウトソーシングします。しかし、セキュリティ人材を抱えるよりもセキュリティ維持にコストがかかるため、結果として、堅牢なセキュリティ対策をあきらめてしまう企業が多いのです。

だからこそ、約6割の企業が社員各人のセキュリティ対策に依存している状況にあります。しかし、当然ながら、個人レベルでのセキュリティ対策では、高度化するサイバー攻撃を阻止することは困難です。

中小企業が、適切なセキュリティ対策を講じるために必要なこと

「セキュリティ人材はいない。予算も限られている」そんな中小企業が、適切なセキュリティ対策を講じるために必要なこととは何でしょうか?ここで、そのポイントについて紹介します。

自社のセキュリティ環境を整理する

まず大切なことは、自社がどのようなセキュリティ対策を講じているのか、改めて整理することにあります。現状のセキュリティ環境を理解していないと、次にどのようなアクションを取ればいいのかが不透明なままです。

そのままでセキュリティ対策に取り組んでしまうと、せっかくの予算を無駄に使ってしまう可能性があります。

現状のセキュリティ環境を整理するためには、情報セキュリティ組織が発行している「セキュリティ診断シート」などを活用するといいでしょう。例えばIPAが発行している「新・5分でできる自社診断シートは、全25項目にわたった採点を行うことで、自社セキュリティを独自に診断することができます。

この結果によって、現在のセキュリティ環境がどのレベルにあるかを知り、次のアクションを明確にすることができます。

OSアップデートやパスワード強化など、内製でできる部分を徹底する

「セキュリティ対策」と聞くと、大規模なセキュリティシステムを導入し、高度なサイバー攻撃から機密情報を守る、ということをイメージしがちです。しかし、セキュリティ対策とは細かいものから大規模なものまで実に様々であり、社内で対応できるものも多数あります。

例えば、OSアップデートやパスワード強化はその一つです。

Windowsを提供するマイクロソフトや、その他端末にインストールしてソフトウェアは、定期的にアップデートが行われます。アップデートの内容にはセキュリティパッチ(修正プログラム)が含まれていることも多く、脆弱性(セキュリティ上の弱点)をカバーすることが可能です。

つまり、OSアップデートを都度対応するだけでも、セキュリティ対策は強化されるということです。

パスワード強化に至っては、さらにシンプルにセキュリティ対策を強化できます。6桁のパスワードにかかる解読時間はわずか1秒以下。8桁のパスワードでも、1分もあれば簡単に解読されています。

では、よく推奨されている「英数字(大文字と小文字)、数字を含めた10桁のパスワード」では、一般に解読までに1年以上の時間がかかるとされています。

少しパスワード強化を意識するだけでも、企業のセキュリティ対策を強化することができます。可能ならば「英数字と数字、記号を含めた12桁以上のパスワード」を徹底すると、セキュリティ対策が大幅に強化されるでしょう。

このように、社内で徹底できるセキュリティ対策に関しては、積極的に行うことが大切です。

クラウド型のセキュリティツールを検討する

中小企業のセキュリティ対策においても、ウイルス対策ソフトやファイアウォールなど基本的なセキュリティツールだけでなく、多様なセキュリティツールを導入しサイバー攻撃を防御することが大切です。しかし、インストール型のセキュリティツールでは導入コストが多くかかり、運用負担もあります。

そこで、クラウド型セキュリティツールの検討をおすすめします。

クラウド型セキュリティツールは、これまで社内環境にインストールしていたセキュリティツールをインターネット上で利用するもので、ユーザー企業はソフトウェアをインストールすることなく、セキュリティ対策を強化できます。

つまり、導入コストを削減しつつ、かつ運用負荷の少ないセキュリティ対策を講じることができます。

このクラウド型セキュリティツールの登場により、中小企業のセキュリティ対策はグッと身近なものになりました。

まとめ

セキュリティ対策は「保険」のようなものなので、導入効果を実感できないと、対策を弱める企業も少なくありません。しかし、いざサイバー攻撃によるセキュリティ事件が発生すると、セキュリティ対策費用の何十倍何百倍もの損失が生じます。サイバー攻撃一つで、順調だった経営が傾いてしまう事例も多数あるのです。そうしたリスクを避けるためにも、今一度自社のセキュリティ対策について再考してください。

シマンテックでは、セキュリティ診断サービスWebアプリケーションファイヤーウォール(WAF)の無償トライアルをご用意しています。セキュリティ対策を検討されている方は是非ご検討ください。