【今さら聞けない!?(後編)】中小企業に求められる「セキュリティインシデント」とは?
こんにちは。先日の記事「【今さら聞けない!?】中小企業に求められる事業継続計画とセキュリティ対策」は、ご確認頂けましたでしょうか。
最近、事業継続計画(BCP:Business Continuity Plan)に関しては、話題が増えてきましたが、中小企業においても対応が求められている「セキュリティインシデント」に関してはあまり語られていないのが実情です。
では、本題に入りますが、私たち中小企業においては、どのようなセキュリティ対策を行っておく必要があるのでしょうか?
その詳細についてみていきたいと思います。
まずはこちらの経済産業省からの資料の引用をご覧ください。
―――――
近年、ソフトウェアの脆弱性21を悪用した不正アクセス、コンピュータウイルス感染やWeb 改ざんの発生件数が増加しており、それにより業務の停止・低下、個人情報の漏えいや情報の改ざんなどのセキュリティインシデントが多発している。
これらの問題は、企業にとって顧客・協力会社や社会から信頼を失うことにつながり、経営に重大な影響を及ぼしうる。
セキュリティインシデントへの対応は、24 時間365 日続く、見えない敵との闘いと言ってもよい。セキュリティインシデントの発生抑止、発生時の拡大防止と被害低減化、早期復旧のためには最新情報の把握や、最適な防護設備の装備、組織や個人の啓発、さらに社外との信頼をベースとした迅速な連携等が必要になる。(引用:経済産業省)
―――――
ここに書かれているセキュリティインシデントですが、
「インシデント」とは簡単にいうと、「アクシデント」の一歩手前の段階。俗にいう、ヒヤリハットと言うこともできます。
セキュリティ対策においては、重大なアクシデントが起こった場合、企業は存続にかかわる大きな損失を被ってしまいます。
つまり、ここに書かれていることは、アクシデントが起こる前の予備軍から防いでいきましょうということが書かれています。
それがセキュリティインシデントという言葉の意味です。
ここが災害時の対策とは定義が変わってくるところですが、セキュリティインシデントは、前回の記事の通り、災害よりも数倍発生リスクが大きい事象ですが、災害よりも未然防止ができる領域が大きいともいえます。
そのため、経済産業省では、中小企業においてもセキュリティのアクシデントが起こる一歩手前の、インシデントから防いでいこうということを推奨しています。
では、具体的にどのような対策を行うことが望ましいのか、経済産業省の資料では、二つの対策手段を説明しています。
一つ目の対応策は、社内の体制整備によって実現する方法です。
以下、経済産業省からの資料の引用を引き続きご紹介いたします。
―――
可能であれば自社内に、(a) 脆弱性対策並びに(b)インシデント対応の対外的な調整を積極的に実施することを専門に行なうインシデント対応体制(IRT)の整備と、社内組織に対応した専門家・協力者を配置するのが望ましい。
このようなセキュリティ専門家を企業内で維持することが困難である場合には、セキュリティ維持のアウトソーシングサービスを受けることも考慮すべきである。(引用:経済産業省)
―――
これらの内容をまとめたのが以下の表です。
(引用:経済産業省)
簡単にポイントをお伝えすると、インシデントに対応するために、社内の体制整備と社内に専門家(担当者)を設けることを推奨しています。
その条件に求められることとしては、日々、狙われるセキュリティホール(脆弱性)について可能性を把握し、知識を有して対策を講じていかなければならないという点と、
アクシデントの一歩手前の状況が発生した際に把握し、回避する対策を講じなければならない点が求められています。
それらの準備が難しい場合は、当社のような専門家に相談することを推奨しています。
そして、二つ目の方法は、前述した通り、業者に対応策をお願いするケースです。
この場合、セキュリティインシデント対策を行うために、
・不正パケットの発生の監視
・ウィルス発生時の対策の検討
・情報漏洩発生時の対策の提案
・未知ウィルス発生時の対策
の4点を常に監視&意識しておかなくてはなりません。
この業務を行うために、社内のメンバーで対応する場合は、それ相応知識の習得と、教育、業務時間の確保が必要ですが、当社であれば、それらの人件費に係わるコストの十分の一以下の費用で対応することが可能です。
前回に引き続き2回に渡り、事業継続計画遂行にあたる情報と、セキュリティインシデントについてお伝えしましたがいかがでしたでしょうか?
当社では、納入実績が豊富な、人気のセキュリティインシデント対策商品をご用意させて頂いております。詳細に関しては、一度当社までお問い合わせ頂けましたら幸いです。