協会活動のご案内

  1. HOME
  2. ブログ
  3. 会報
  4. (連載企画)矛と盾 – DXと情報セキュリティ 第3回

会報

(連載企画)矛と盾 – DXと情報セキュリティ 第3回

経営を戦いに例えるならば、常に攻め(矛)と守り(盾)のバランスを取り、限られた経営資源を配分していく、まさに“矛盾”を抱えながらも前へと進む営みです。IT・デジタルの分野で言えば、矛となる活動がDX、盾となる活動が情報セキュリティ対策となりましょう。本連載では、4回にわたり、小さな会社(※)のDX・情報セキュリティ対策支援について、考察していきます。
(※)本連載では、従業員20名以下の事業者さんを「小さな会社」と呼ばせていただきます。

連載3回目の今回からは、“盾”編として、情報セキュリティ対策のお話です。

●情報セキュリティ対策は、儲からない

残念ながら、情報セキュリティ対策をいくら頑張ったところで、本業の売上や利益に直結することはほとんど無いでしょう。長期的には企業の信頼やブランド価値の向上につながる活動とはいえ、短期的に売上を拡大する効果はありません。むしろ対策に手間がかかり、利益が減ると感じられることの方が多いかと思います。特に経営資源の余力が乏しい小さな会社では、この傾向は顕著に表れます。これが、情報セキュリティ対策が進みにくい、問題の本質です。

そこで支援者として大切になるのは、いかに楽をして効果的な対策を実施して頂くか、という意識だと思います。

●楽をするには、真似をするべき

情報セキュリティ対策に限ったことではありませんが、なるべく楽に早く効果を得ようとするならば、実績のあるやり方を真似ることが近道です。そこで筆者がぜひお勧めしたいのが、IPAより公開されている「中小企業の情報セキュリティ対策ガイドライン」です。(https://www.ipa.go.jp/security/guide/sme/about.html)

こちらのガイドラインは、情報セキュリティ対策として必要なことが網羅的に掲載されており、また数年ごとに社会情勢に合わせアップデートもされています。ガイドラインに沿って進めていけば十分な対策が行えるよう、とても工夫されています。

2023年11月23日現在、ガイドラインの文書構成は以下の通りです。

・本編(第3.1版)70ページ
・付録1:情報セキュリティ5か条 
・付録2:情報セキュリティ基本方針(サンプル)
・付録3:5分でできる!情報セキュリティ自社診断
・付録4:情報セキュリティハンドブック(ひな形)
・付録5:情報セキュリティ関連規定(サンプル)
・付録6:中小企業のためのクラウドサービス安全利用の手引き
・付録7:リスク分析シート 
・付録8:中小企業のためのセキュリティインシデント対応手引き

ご覧のように、単なる読み物にとどまらず、すぐに使えるサンプルやひな形が充実している点もお勧めする理由です。ただ、ここに文書名を列挙しただけでも察しが付くかと思いますが、よくまとまっているガイドラインとはいえ、実はかなりのボリュームがあります。ITリテラシーに自信がある筆者でも、実際に活用するつもりでじっくり読みこむと、かなりの時間と労力を要します。そのため、このガイドラインを丸投げしても、小さな会社では有効活用できない可能性があり、効率的で効果的なガイドラインの使い方を助言していくことが支援者には求められていると考えます。

●100%の対策は出来ないから・・・

情報セキュリティ対策においては、いたちごっこのように日々新たな脅威が現れ、対策が確立される前の脆弱性を狙った攻撃も珍しくはなく、どんなに時間や労力を費やしたとて100%の対策を行うことは出来ません。そのため、どこまでの時間や労力をかけて対策を行うのか、裏を返せば、どこまでの事件や事故であれば許容できるのか、を会社の経営方針の一部として決めておくことが求められます。つまり、情報セキュリティ対策は必ず経営者の判断が求められる活動なのです。

従って、支援者においても、情報セキュリティ対策はつまるところ経営判断となる、という認識を持ち、まずは経営者に働き掛けることが求められるでしょう。ガイドラインにおいても、本編の冒頭は「経営者の皆様へ」という呼びかけで始まっています。

●判断をはしょるのはダメ

情報セキュリティ対策製品・サービスの中には、「よくわからなければ、コレさえ入れておけば大丈夫!」といった売り文句を付けているものもあります。ですが、いくら楽をするべきと言っても、本当に何もわからずに導入してしまうと、当該製品・サービスの効用と当社が必要とするセキュリティ対策が合致せず、無駄な費用となってしまう可能性もあります。そうならない為には、判断するための最低限の知識と考え方を学ぶ必要があり、その教材としてもこのガイドラインは最適です。ガイドラインを熟読することは難しくても、その骨子を理解し上手に活用していくことは、経営者およびその支援者にとっては、大変重要であると考えます。

次回は、「中小企業の情報セキュリティ対策ガイドライン」の具体的な内容について触れていきたいと思います。

【若杉 廣】

(連載企画)矛と盾 – DXと情報セキュリティ 第1回

  • コメント ( 0 )

  • トラックバックは利用できません。

  1. この記事へのコメントはありません。

関連記事

活動のご報告

イベントカレンダー