中小企業の情報セキュリティ

　コロナ禍でテレワークを導入したけれど、情報セキュリティ対策は後回しになっている。そのような中小企業が多くいらっしゃるのではないかと懸念しています。
　今回は、デジタル化が避けられない状況下で避けて通れない、情報セキュリティについて考えます。

1.テレワークとセキュリティ

　急いでテレワークを導入し、ここ何か月かは何とか乗り切ったが、そのとき社内で利用していたデータはどのように扱ったでしょうか。
　 営業情報をUSBメモリに入れて持ち出し、自宅のPCでそのまま作業しているとしたら、一般的に問題です。落してしまったり、盗難にあったり、ウイルス感染したりとセキュリティリスクは多数考えられます。
　会社のイントラネットにリモートでアクセスして、”持ち出さない”情報環境を構築していたとしても安心できません。一例として、「国内38社がVPNで不正接続被害」というニュースが流れていました。
　これらのリスクを把握し、従業員の方々に浸透させないうちに、テレワークを推し進めてきたとしたら、早々にリスクマネジメントを図るべきです。

2.中小企業の情報セキュリティマネジメント

　実際に、情報システムのセキュリティはどう考えれば良いのか。
　先ずは、IPA（独立行政法人情報処理推進機構）がリリースしている「5分でできる！情報セキュリティ自社診断」を実施してみることはおすすめです。
　その上で、「中小企業の情報セキュリティ対策ガイドライン」に沿って、下記のように進めます。

①情報資産の洗い出し	社内で保有している情報資産をリストアップします。 このとき、細かく分類するとキリがありませんので、大まかに数10項目程度にまとめると良いでしょう。
②リスク評価	リストアップした情報資産ごとに、漏洩した場合に会社に与える影響を大・中・小で評価し、次に情報漏洩の発生頻度を加味して、リスクの高・中・低を定めます。
③対策の検討	リスクの高い部分に対する対策を検討します。 具体的には、システムの改善、社内規定の策定、従業員教育などが考えられます。 一度に完璧を目指すのではなく、できる範囲から計画的に進めることがポイントです。

3.実施に向けて

　情報セキュリティは、成果が見えにくいため、従業員の方々からボトムアップで進んでゆくことはなかなかありません。
　つまり、経営層がリーダーシップを執ってトップダウンで進めるのが一般的です。

　当事務所では、ISMSやPマークの取得支援・公的機関による情報セキュリティマネジメント支援に多数対応しています。
　ご興味がございましたら、こちらからお願いします。