中小企業の情報セキュリティ対策ガイドライン 脅威・課題・すぐできる対策を解説

2023年05月17日

はじめに

近年、経済活動の様々な場面でデジタル化が進むなかで中小企業を狙ったサイバー攻撃や不審なアクセスが増加し、情報漏えいのリスクが高まっていることから、セキュリティ対策は中小企業にとっても重要な課題になっています。

サイバー攻撃を受けてしまった場合、社内システムが混乱し事業がストップしてしまったり、情報漏洩によって企業や関連会社にまで大きなダメージを受けたりする被害も発生してしまい、企業の信頼を失ったり、事業が上手くいかず企業の存続の危機にもつながる原因にもなりかねません。

そこで今回は、中小企業の情報セキュリティ対策について、そのリスクと課題、企業がすぐに行えるセキュリティ対策についてご紹介していきます。今できることからセキュリティを強化し、企業や取引先、関係する全ての人が信頼できるセキュリティ体制を確立するためにお役立てください。
出典:中小企業のサイバーセキュリティ対策,経済産業省(2023/04/27更新)

中小企業の情報セキュリティ対策ガイドライン

中小企業の情報セキュリティ対策ガイドラインは、経済産業省所管の独立行政法人情報処理推進機構(IPA)が、「経営者が情報セキュリティについて認識し、自らどのような方針でセキュリティ対策をするべきか」、また「社内でセキュリティ対策に取り組む手順や対策方法」を個人事業主や中小企業の利用を想定して具体的に対策を行えるようにまとめたものです。

IPAによる情報セキュリティ10大脅威2023

毎年、IPAから社会的に影響の大きかったと考えられる情報セキュリティの脅威をランキング形式でまとめたレポートを発表しています。以下は、2022年に発生した「組織に対する情報セキュリティの脅威」についてです。

情報セキュリティ10大脅威2023(組織)
1位 ランサムウェアによる被害
2位 サプライチェーンの弱点を悪用した攻撃
3位 標的型攻撃による機密情報の窃取
4位 内部不正による情報漏えい
5位 テレワーク等の ニューノーマルな働き方を狙った攻撃
6位 修正プログラムの公開前を狙う攻撃(ゼロディ攻撃)
7位 ビジネスメール詐欺による金銭被害
8位 脆弱性対策の公開に伴う悪用増加
9位 不注意による情報漏えい等の被害
10位 犯罪のビジネス化(アンダーグラウンドサービス)

1位の「ランサムウェアによる被害 」は、3年連続1位にランクインしています。その被害は、年々増加しているので早急に対策をとる必要があります。

また、2位の「サプライチェーンの弱点を悪用した攻撃」では、中小企業が狙われやすくなっており、自社だけではなく取引先のセキュリティ対策も重要になってきていることを示しています。

5位の「テレワーク等の ニューノーマルな働き方を狙った攻撃」は、近年コロナ渦によるテレワーク普及によって多様な働き方が広がるなかで生まれた新たな課題といえるでしょう。

企業に大きなダメージを与えるこうした脅威に対して、中小企業がすぐに導入できるセキュリティ対策にはどのようなものがあるのでしょうか。次の章で解説します。
出典:情報セキュリティ10大脅威2023,独立行政法人情報処理推進機構(2023/03/29更新)

今すぐ実施すべき中小企業の情報セキュリティ対策

前章でご紹介した脅威に対して、中小企業が今すぐ取り組めるセキュリティ対策がいくつかあります。どれも企業にとって大きな負担や大規模な投資がかかるものではないので、できるだけ早めに以下の対策を進めることをおすすめします。

中小企業がすぐ実施すべき情報セキュリティ対策

    1)定期的なOSやソフトウェアのアップデート
    2)ウイルス対策ソフトを導入し定期的にアップデート
    3)従業員のPW設定の見直しやマルウェア対策、離席時のPC画面ロックの意識付け
    4)従業員のセキュリティ教育を行う体制作り
    5)オフィスに出入りする人の入退室管理と鍵の管理


1〜3までは従業員が日常的に実施すべき事項なので、企業のセキュリティ担当者は従業員1人ひとりがこれらを実施できるようにソフトのアップデートなど更新すべき内容/期間を社内周知したり、全従業員がマルウェア対策を行っているのか定期的に確認する必要があります。

また、4のセキュリティ教育は、従業員1人ひとりのセキュリティに対する知識や理解度を向上させるために定期的に勉強会や研修/テストなどを設けることで、従業員のセキュリティに対する意識が高まり 、結果として社内のセキュリティ強化にも繋がります。

5の使用している社内システム・ツールは、十分なセキュリティ要件を満たしているか、システムに脅威にさらされている穴(セキュリティホール)はないかを見直す必要があります。特にアクセス権限が適切に設定されているのか確認することで、機密情報や社外秘情報などの情報漏えいの防止に繋がります。

また5は、ニューノーマルな働き方のなかで出社人数が減ったり、出退勤する時間が人によって異なる機会が増えたりしているオフィスに対するセキュリティ対策です。これらは、入退室管理システムなどを導入することで対策できます。

オフィスセキュリティと管理を強化するスマートロック

情報セキュリティ10大脅威2023で5位にランクインした「テレワーク等のニューノーマルな働き方を狙った攻撃」は、テレワークのほか、フリーアドレスや時短勤務など多様化する働き方を狙った脅威です。また4位の「内部不正による情報漏えい」もこうした環境の変化によって情報セキュリティ管理が十分行き届いていない状況で起こるリスクが高まります。

これらの脅威に対し、セキュリティを強化できると同時に、鍵の管理、入退室管理や勤怠管理を解決したいなら、手軽に導入できるスマートロックを活用した入退室管理システムの導入がおすすめです。

セキュリティの強化

スマートロックとは、入室権限を付与されたICカードやスマホのアプリなどを使用して、オフィスの鍵を解錠できるドアのセキュリティシステムです。事前に解錠権限を登録されたICカードやスマホのアプリを持っている人のみが入退室できるので、外部/内部からの不正な侵入を防ぐことができます。

また、ドアが閉まると自動で鍵が施錠されるオートロック機能を搭載しているものも多いため、侵入窃盗で最も多いとされている「鍵の閉め忘れ」を防ぐことができます。

スマートロックでできる対策
  • セキュリティの強化
  • オフィスの入退室の正確な記録・管理
  • 従業員の勤怠管理

オフィスの入退室の正確な記録・管理

スマートロックは、クラウド上に入退室の記録/ログを残すことができます。近年、ニューノーマルな働き方が促進されるなか、オフィスへの出入りを正確に管理することはセキュリティ対策や情報管理の面からも非常に有効なセキュリティ対策になるでしょう。

従業員の勤怠管理

スマートロックは、従業員がオフィスに入退室する際にICカードやスマホアプリをカードリーダーにかざして入退室した際に、入退室の記録/ログをそのまま勤怠管理システムと自動連携させることができるため、正確な勤怠状況を把握すことができます。

これにより、従業員の動静なども把握できるなど、内部の不審な動きを察知できたり、万が一、内部からの情報漏えいが発生した際などの原因究明に勤怠情報を活用することも可能になります。

スマートロックは、オフィスドアに後付けで簡単に導入することが可能です。しかし、スマートロックには取付け方法や解錠方法など製品によってさまざまなため、どれを選べばよいか悩まれることでしょう。そこで取り付けは簡単なのに、金融機関並みのセキュリティを初期費用を抑えて導入できるスマートロックを次の章でご紹介します。

定期的にアップデートされる安全なオフィスセキュリティにAkerun

すぐに導入できるセキュリティ対策として「設置が簡単」で「費用も抑えて導入できる」スマートロックがあります。そのひとつがAkerun入退室管理システムです。

Akerunは、業務用の強力な両面テープでサムターン(つまみ)を覆うように貼り付けるだけなので、工事が不要で設置できます。また、オフィスのドアが自動ドア、電気錠、電磁錠だった場合でも簡易工事だけで後付けできるスマートロックです。Akerunはその企業の課題に合わせた柔軟な使い方が可能なことから、累計7,000社以上の企業から選ばれています。

Akerunがセキュリティ対策としておすすめできるポイントは以下の通りです。

金融機関並みのセキュリティを実現

Akerunは、金融機関などで使用されている「AES256(Advanced Encryption Standard)」「SSL通信」といった高度な通信暗号化システムを使用しており、高いセキュリティを実現しています。

また、ドアの開閉時に一度使用した通信信号は二度と使用しないなどの高度なセキュリティを実現する特許も取得するなど、オフィス環境で利用されるシステムとしての安全性を高めています。

API連携で勤怠管理システムと連動可能

Akerunは、API連携で入退室の際に記録したログを勤怠管理システムに利用することができます。ニューノーマルな働き方を取り入れている企業でも「誰が」「いつ」「どこから」出勤したかを正確に把握できます。

鍵の管理、入退室管理、勤怠管理を一元化し、労務管理業務などのバックオフィス業務の効率化になるため、労務担当者の負担が軽減されるだけでなく、勤怠管理情報などから内部からの情報漏えいの兆候を察知したり、万が一セキュリティ事故が発生した場合に勤怠情報や入退室記録を参照するなどなど、情報セキュリティに活用することもできます。

定期的な第三者機関のチェックの実施

Akerunはクラウドサービス(SaaS)であるため、提供企業側で常にソフトウェアのメンテナンスやアップデートをして最新の状態で使用することができます。さらに第三者機関による定期的なセキュリティチェックを行っているからこそセキュリティレベルを維持できることから、ISMSやPマークの取得にも役立つセキュリティ対策の一つといえるでしょう。

まとめ

中小企業を狙ったサイバー攻撃は年々増加しており、その手口やターゲットも多様化しています。サイバーリスクは、金銭的な損害だけでなく、信用の毀損など企業や関係者に大きなダメージを与える恐れがあるためすぐに対策をする必要があります。また、近年、ニューノーマルな働き方が一般化し、こうした環境を狙ったサイバー攻撃にも対策をする必要があります。

このような環境でセキュリティオフィスの入退室を正確に把握し、セキュリティを強化できるスマートロックの導入がおすすめです。スマートロックを導入する際は、セキュリティレベルがしっかり確保されること、それらが常に最新のバージョンである製品を選びましょう。

問題が起こってから後悔しても企業の損害や信頼を取り戻すことは困難です。ぜひ今できることからセキュリティ対策を行い、サイバー攻撃に負けない企業づくりを進めてください。


関連記事 この記事を読んだ方へおすすめ








「akerun(アケルン)入退室管理システム」に関する資料

資料ダウンロード

「Akerun入退室管理システム」導入を検討されているお客様に
製品・サービスの特長をご紹介します。

3分でわかる!
資料ダウンロード