東穂芳乃

1.はじめに
 IT化の進展に伴い、企業活動において情報セキュリティ対策の必要性はますます高まっています。企業の情報資産を狙ったサイバー攻撃・犯罪は巧妙化・悪質化しており、ターゲットは大企業や政府機関だけでなく、中小企業にも拡大しています。IPA(独立行政法人 情報処理推進機構)によれば、2017年には身代金要求型ウイルスのランサムウェアによる被害が深刻化、2018年にかけてはビジネスメール詐欺の被害が増加するなど、脅威は刻々と進化しており、セキュリティ対策は組織として取り組むべき喫緊の課題といえます。
 とはいえ、セキュリティ対策の重要性は認識しているものの、具体的に何から始めてよいか分からない、対策のための人材やコストをかけられない、といった企業も多いのが実情です。「情報セキュリティ白書2018」(独立行政法人 情報処理推進機構、以下IPA)に、大阪商工会議所が2017年6月に公開した「中小企業におけるサイバー攻撃に関するアンケート調査」が紹介されています。この調査は大阪商工会議所などの会員企業や団体などの中小企業315社を対象に行われました。

「次のようなサイバー攻撃を受けたことがありますか ※複数回答可」という設問に対しては、「標的型攻撃メールの受信」18%、「ランサムウェアによる感染(第三者によるファイルの暗号化)」7%、「自社ホームページの改ざん」3%、「自社ホームページアクセス不能」2%など、攻撃を受けていることを示しました(図1)。

図1 「次のようなサイバー攻撃を受けたことがありますか」※複数回答可

graph1

大阪商工会議所「中小企業におけるサイバー攻撃対策に関するアンケート調査結果」をもとに筆者作成

また、「現在実施している情報セキュリティで十分と思われますか」という設問に対しては、68%が「いいえ」と回答しています(図2)。

図2 「現在実施している情報セキュリティで十分と思われますか」

graph2

大阪商工会議所「中小企業におけるサイバー攻撃対策に関するアンケート調査結果」をもとに筆者作成

さらに、現在のセキュリティ対策が「十分ではないと思っている」と回答した人に対して、「理由は、次のどれに近いですか ※複数回答可」という設問に対しては、「経費がかけられないから」41%、「専門人材がいないのでわからないから」32%、「業務多忙で時間がないから」16%、「相談する相手がいないのでわからないから」11%という結果となりました(図3)。

図3 「現在のセキュリティ対策が十分ではないと思っている理由」※複数回答可

graph3

大阪商工会議所「中小企業におけるサイバー攻撃対策に関するアンケート調査結果」をもとに筆者作成

 このようにサイバー攻撃の脅威にさらされるなかで自社の情報セキュリティ対策を十分でないと感じる企業が多い一方で、2020年の東京オリンピック・パラリンピックに向け、サイバー攻撃・犯罪は更に拡大する懸念も指摘されています。そんななか、IPAと中小企業関係団体は2017年2月「中小企業における情報セキュリティの普及促進に関する共同宣言」を行い、“自発的な情報セキュリティ対策を促す”ための核となる取り組みとして「SECURITY ACTION」を創設しました。

2.SECURITY ACTIONとは
 SECURITY ACTIONは、中小企業自らが、情報セキュリティ対策に取り組むことを自己宣言する制度です。IPAが認定するのではなく、企業自らが宣言することが特色となっています。取り組みは「一つ星」「二つ星」の2種類があり、いずれもIPAの中小企業の情報セキュリティ対策ガイドラインに準じています。
 企業はIPAに申請後、1~2週間でロゴマーク(図4)の使用ができるようになります。ロゴマークの使用は無料です。ロゴマークはWebサイトや名刺、パンフレットなどに掲載することで取り組み姿勢をアピールできます。
 2018年7月31日時点のSECURITY ACTION「自己宣言事業者」は、「一つ星」「二つ星」あわせて全国16,501社となっています。SECURITY ACTION は「平成29年度補正サービス等生産性向上IT導入支援事業(IT導入補助金)」の申請必須要件となっていることもあり、宣言する中小企業の数は拡大しています。

図4 SECURITY ACTIONロゴマーク(サンプル)一つ星、二つ星

sample1-2-
 一段階目の「一つ星」は、
 以下の「情報セキュリティ5か条」に取り組むことを宣言します。
 1.OSやソフトウェアは常に最新の状態にしよう!
 2.ウイルス対策ソフトを導入しよう!
 3.パスワードを強化しよう!
 4.共有設定を見直そう!
 5.脅威や攻撃の手口を知ろう!

 「一つ星」はまさに基本の5項目です。企業の規模や業種を問わず、これだけは守るべきという項目となっています。(各項目の解説や具体的な対策は「情報セキュリティ5か条」に記載されています。)
 SECURITY ACTIONとしてはこの5項目なのですが、取り組みを検討される際、個人的にはもう1項目「バックアップを取得しよう!」という点についても是非チェックしていただければと思います。

 二段階目の「二つ星」は、
5分でできる!情報セキュリティ自社診断」で自社の状況を把握したうえで、
情報セキュリティポリシー(基本方針)」を定め、外部に公開したことを宣言します。
「一つ星」と比べてハードルが高いですが、情報セキュリティ自社診断により現状把握ができ、セキュリティポリシーの策定においてさらに自社の情報資産やリスクを洗い出し、対策を検討することができます。これらの過程を通じて、よりセキュリティ対策を自社にあった身近なものにできるのではと考えています。

3.SECURITY ACTIONのメリット
 SECURITY ACTIONのメリットは、IPAのリーフレットVer2.0によると以下の3点が挙げられています。
 (1)情報セキュリティ対策への取組みの見える化
   ロゴマークをウェブサイトに掲出したり、名刺やパンフレットに印刷することで自らの取組み姿勢をアピール
 (2)顧客や取引先との信頼関係の構築
   既存顧客との関係性強化や、新規顧客の信頼獲得のきっかけに
 (3)公的補助・民間の支援を受けやすく
   SECURITY ACTIONを要件とする補助金の申請、普及賛同企業から提供される様々な支援策が利用可能

 上記も直接的なメリットですが、さらに大きなメリットがあります。SECURITY ACTIONの取り組みをすることで、自社の取り組み状況の現状把握ができるとともに、社長や従業員がセキュリティについて話し合う場ができ、一人ひとりのセキュリティ意識を高めることができるのです。これを機会に、セキュリティ対策を考えてみてはいかがでしょうか。

【参考文献】
・「情報セキュリティ白書2018」 IPA独立行政法人情報処理推進機構
・「中小企業向けサイバー攻撃対策支援事業の開始」ならびに「中小企業におけるサイバー攻撃対策に関するアンケート調査結果」について 大阪商工会議所 経営情報センター
  http://www.osaka.cci.or.jp/Chousa_Kenkyuu_Iken/Iken_Youbou/k290630cyb_ank.pdf

●略歴
東穂芳乃(とうぼよしの)
中小企業診断士/ITコーディネータ/ITストラテジスト/システム監査技術者
東京都中小企業診断士協会 中央支部広報部長