「情報漏えい、当社に関係なし」の嘘（第1回）小さな企業こそ狙われる！IT管理の不備が餌食に

公開日：2016.07.27

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　「情報漏えい対策の強化と言われても、狙われるのは大企業なのでは？うちは事業規模が小さいから大丈夫だろう」

　こう考える経営者は多いのではないだろうか。今やサイバー攻撃は企業規模に関係ない。小さな企業は「大丈夫」どころか、むしろ「非常に危険」というのが実情だ。近年、大企業は情報セキュリティー対策を強化し、攻撃されにくくなっている分、対策が手薄な中堅・中小企業が狙われるのは想像に難くない。

　攻撃者はガードの弱い企業のパソコンを乗っ取り、攻撃の踏み台にして、その取引先である大企業の機密情報を盗み取る。その結果、踏み台とされた企業はサイバー攻撃の被害者になるのでなく、意図せずに加害者になる恐れがある。

　セキュリティー対策を怠った企業としてイメージダウンは免れない。取引停止によるビジネス機会の逸失や、売り上げの減少にもつながる可能性も否定できない。長年築き上げてきた社会的信用を一気に失うことを、経営者は肝に銘じる必要があるだろう。

USBメモリーでの感染…

　情報セキュリティーのリスクは外部からの攻撃だけではない。企業内部のIT管理体制の不備に起因することもある。例えば、パソコンに挿入するUSBメモリーやSDカードの取り扱いについて、社内できちんとルールを決めているだろうか。

　USBメモリーはデータの持ち運びに便利なものの、制限なく利用を認めていると、紛失・盗難や、不正な持ち出しによる情報漏えいのリスクがある。情報漏えいの経路として、紙、インターネット、電子メールに次いでUSBメモリーなどの記録媒体が多いという調査報告もある（NPO 日本ネットワークセキュリティ協会「2013年情報セキュリティインシデントに関する調査報告書　第1.2版」から)。

　情報漏えいのリスクに加え、USBメモリーを経由してウイルス感染する危険性もある。自宅で仕事をして、USBメモリーにデータを保存する。もし、家族が共用する自宅のパソコンがウイルスに感染していた場合、USBメモリーを介して会社のパソコンが感染することもある。1台のパソコンがウイルスに感染すると、社内ネットワークを介して他のパソコンにウイルスをまき散らす危険性が生じる。

　IT担当者のいる本社でセキュリティー対策を行っていても、営業所や工場などのリモート拠点で管理の不備があれば、そこから被害が広がることもあるので注意が必要だ。

専門家にIT管理を任せる

　USBメモリーに限ったことではないが、ウイルス感染のリスクを低減するためには、ウイルス対策ソフトを常に最新の状態にしておくことに加えて、USBメモリーの使用を制限するといった「IT管理体制」の見直しも必要になる。

　人材面、コスト面で専任のIT管理者を配置できないという企業もあるだろう。パソコンに少し詳しい人がIT管理を兼務し、ウイルス対策などさまざまな対策を自力で行っているケースも見受けられる。IT管理者の負荷が大きくなるだけでなく、技術革新に合わせてITやセキュリティーのスキルを維持・向上するには、「兼務」では対応が難しい。

　むしろ、外部の専門家にIT管理を任せ、情報セキュリティー対策を強化するほうが有効な場合もある。自社の社員をコア業務に専念させる環境を整えて、事業の継続と発展を促すのが経営者本来の責務といえる。USBメモリーの利用制限などの運用を含め、中堅・中小企業のセキュリティー対策をサポートするサービスもあるので、検討してみてはどうだろうか。