オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

中小企業のセキュリティ事故は、即「致命的な事態」に発展する。これを「どのように」捉えるかが分かれ道

»

日本は99%が中小企業です。業種により人数や規模の定義は異なりますが、中小企業が頑張らなければ、日本はどうなってしまうのだろう・・・と思います。

IT専任の担当者を置くのが難しいとされる中小企業のセキュリティ対策の実態はどのようになっているのか――シマンテックがこのほど実施した調査で、100人未満と100人以上の企業で大きな違いがあることが分かった。

これらの結果について、同社では100人未満の企業のセキュリティ対策は従業員個人に任せているケースが多く、100人以上の企業ではIT部門による集中管理の仕組みが普及していると分析。個人任せの場合、個人が独自にセキュリティ対策製品を無効してしまう危険性や定義ファイルの更新などが遅れる可能性が高まり、セキュリティ事故が起きた場合の調査が難しいといった弊害を生む恐れがあると指摘した。

 小規模企業では人材面や予算面などの制約から、セキュリティ対策を専門的に担当する体制を構築しづらいという実情もあり、効果的なセキュリティ対策の運用をいかにして確立していくかという課題を抱える。

先日、IPA中小企業における情報セキュリティ対策の実施状況等調査にも、「中小企業の65%は情報セキュリティ対策の入門レベルにも不合格」という調査結果があります。

私が見てきた多くのケースでは、社内で一番詳しい人が「担当者」になっています。これは担当者の人も可哀想なことです。セキュリティに詳しいわけでもなく、単にコンピュータやインターネットに、社内の中でも詳しいだけです。

2つのパターンがあり、1つ目は責任感を感じて「わからない」ことでも、わかったように振る舞ってしまうことです。これが最悪なケースを招いてしまったことが多くあります。責任感から来る真面目な一面なのですが、すべてを知ることは「不可能」に近いことです。

2つ目は、完全依存してしまうことで、後継者が育たず、単に詳しかっただけの担当者が「最大の情報」を握ってしまうことです。風邪を引いて休めば、それらは止まってしまいます。退職時に状態がわからないことになっているケースも多くあります。トラブルで辞めた場合は、さらにわからなくなっています。

これは、担当者に責任があるわけではありません。担当者に任命した管理者に責任があります。「セキュリティ」が軽視されていることが多くあります。

大丈夫!うちは何もないから。。。それはそうです。事故は起きるまで何もありません。

しかし、どんなことが起こりうるのか? 可能性のリスクだけは把握しなければなりません。業務全体のリスクの把握はするのに、セキュリティのリスクを把握しません。

これは、セキュリティのリスクが及ぼす影響を知らないだけ。単にそれだけです。知っていれば、放置できないことは十分に理解出来ます。

セキュリティは、社内だけで完結するのが安全と思われている節もありますが、昨今の人材流動化や雇用情勢を考えた場合、社外の専門家を利用することも選択肢の1つになります。

セキュリティ以外の場合でも、どの立場の、どの視点でモノを見るか?により、結果は大きく変わります。経営の視点で考えなければ、大局的に見ることができません。リスクマネジメントでもあります。

ニュースになるセキュリティ事故は、大企業だけの問題ではありません。中小企業のが余程ヤバイと思います。

まずは知ってみる現状把握から、はじめてみませんか?

お手伝いします。お問い合せ下さい

関連ブログエントリー

金融機関が懸念するセキュリティリスクは従業員:食物連鎖と同じプロセスはどこも一緒

機密情報をIT管理者の88%が解雇されれば持ち出し、35%は無断アクセスする(米国調査)

そもそも情報セキュリティを「性善と性悪」の2つで考えるのが間違いのはじまり

続:三菱UFJ証券の情報漏洩に「情けなさ」を感じた。犯行報酬30万円の代償

退職社員のが「情報を持ち出す」ならば、突然の解雇よりも準備が出来た?みたいです

不況がトリガーに←企業情報漏洩リスク増大の調査結果

Comment(0)