どのような規模の会社であっても、サイバー攻撃被害が無縁とは言い切れない時代に入りつつある。とはいえ、中小規模企業であれば、セキュリティ専門のスタッフを雇うことは不可能に近い。
アウトソーシングやクラウドサービス活用は基本路線ともいえるが、まずは社内でできることからやれるはず。例えば、「情報セキュリティ脅威に強い社風作り」がその1つだろう。Open Forumが記事「Create a Culture of Cybersecurity at Your Small Business」でいくつかのステップを紹介している。
中小企業であってもセキュリティに意識を持とう
サイバー攻撃が広まった原因の1つが、SNSの普及だ。SNSでは、少なからず個人情報を明かしていることだろう。クレジットカードの番号といった機密情報ではないにせよ、「あなたの友達が誰か」がわかれば、友人を装ったフィッシングメールを作成して送ることは容易だろう。
友達から気になるタイトルのついたメールが送られ、本文にある危険なサイトへのリンク、あるいはマクロを含む添付ファイルをクリックした瞬間に、あなたのPCはマルウェアに感染し、社内ネットワークにダメージを与える。
実際、どんな高価なセキュリティ技術でもかなわないのが、このような「ソーシャルエンジニアリング」だ。この手法に引っかかってしまえば、セキュリティ対策は一歩後退する。データ漏洩の元をたどると最も多いのが、このような従業員側のセキュリティ意識の低さだと、記事では指摘している。2014年末に大きな話題となったソニーのハッキング事件もこのケースに入る。
では、どのように対処すれば良いのか。それは、組織全体のセキュリティ意識を一段レベルの高いものへと引き上げることだ。そこで最も低コストな方法が、「トレーニング」となる。だが、「情報セキュリティの脅威と個々がとるべき対策について延々と話をして終わり」では不十分だ。
効果を生むためには、トレーニング中に現実世界の例を紹介して実感をもってもらうことが大切だという。
もう1つのポイントが「繰り返し」と「継続」だ。一定の周期でトレーニングを行い、自社のセキュリティ対策や手順について思い出してもらおう。
もちろん、社風以外のセキュリティ対策についても、「私用のモバイル端末を業務で利用する際には、Wi-Fiが変な場所に接続していないか」「認証基盤が古いシステムではないか」「機密情報には暗号化処理を施す」といった対策を、専門家を交えて定期的に見直すことが必要だ。
また、社内でインシデントが起こった際にどうするのかの手順を示すインシデントレスポンスプランを作り、周知徹底しておこう。悪意あるプログラムが含まれた添付ファイルをクリックしてしまったら、「最初に何をすべきか」などを定めておくことで、万が一の場合でも、迅速に対応できる。
