今年3月に発覚したトヨタ自動車取引先のランサムウェア(組織が保有する情報を暗号化して人質に取り、身代金として金銭を要求する攻撃)被害による国内工場の稼働停止事件や、6月に発覚した尼崎市USBメモリー紛失事件、徳島県のクリニックに対するランサムウェア攻撃等、企業や団体等が関わる情報セキュリティ事件・事故のニュースが後を絶ちません。特に、ランサムウェア攻撃は情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の組織に対する脅威の部門で2021年・2022年と2年連続1位になっており、注意が必要です(https://www.ipa.go.jp/security/vuln/10threats2022.html)。
以前のランサムウェア攻撃では、大手企業が直接標的とされることが多く(2017年日立製作所、2020年カプコンなど)、一般的に大企業が注意すべき攻撃であると捉えられていました。しかし、これらの事件を受け大企業では情報セキュリティ対策が進み、今日では容易に攻撃者が侵入できない状況となっています。そこで、攻撃者は標的である大企業そのものではなく、情報セキュリティ対策が比較的進んでいないと思われる下請け企業を攻撃し、そこを起点としてサプライチェーン全体への攻撃を行うようになってきました。3月のトヨタ自動車取引先への攻撃がこのパターンの攻撃です。
このように、サプライチェーン全体の防衛という視点からは、企業規模にかかわらず情報セキュリティ対策を行う必要性が高まっています。では、情報セキュリティ対策とは何をすればよいのでしょうか。
すぐにできることとしては、①OSの適時アップデート、②セキュリティ対策ソフトの導入が挙げられます。加えて、③社内ルールの策定も重要です。パソコンやインターネットの知識や経験に個人差が大きい現状では、どんなにハード面の対策を行っても思わぬところにリスクが残ってしまいがちです。まずはパソコンやデータの取り扱いに関するセキュリティ上の基本的なルールを定め、そのルールを文書化し社内で周知しましょう。
どのようなルールを定めれば良いのか迷われる場合には、IPAの公開している「中小企業の情報セキュリティ対策ガイドライン(https://www.ipa.go.jp/security/keihatsu/sme/guideline/)」を参照されてはいかがでしょうか。サンプル規程の紹介などもあり、情報セキュリティ対策の参考になります。自社の情報セキュリティ対策が有効なものになっているか心配な場合には、同じくIPAによる「5分でできる!情報セキュリティ自社診断(https://www.ipa.go.jp/files/000055848.pdf)」を実施してみるのも良いでしょう。
また、経済産業省では「IT導入補助金」に新たに「セキュリティ対策推進枠」を設け、IPAが公表している「サイバーセキュリティお助け隊サービス(https://www.ipa.go.jp/security/keihatsu/sme/otasuketai/index.html)」の利用料に対して補助金が支給されるようになっています(https://www.it-hojo.jp/security/)。情報セキュリティ対策には金銭的負担も生じますので、このような補助金を利用するのもお勧めです。
私たちあがたグローバル税理士法人及びあがたグローバル社労士事務所では、ISOによる情報セキュリティマネジメントシステムに関する国際規格(ISO/IEC 27001:2013/JIS Q 27001:2014)認証を取得し、組織としてお客様の情報等に対してセキュリティ対策を行っています。このような国際規格の認証を取得することも、情報セキュリティ対策の有効性を確認する目安となります。
情報技術の発展とともに、情報セキュリティ対策の重要性は今後も増していくばかりです。公的支援等も活用し、是非自社の状況に適した情報セキュリティ対策を行ってみてください。
(2022年8月あがたグローバル経営情報マガジンvol.58
「今月の経営KEYWORD」に掲載)
