本稿では、一般的に中小企業者の経営者が持つセキュリティ対策についての憂いとその対応策についてご紹介します。

直近の大企業における情報漏洩事件

2020年1月20日、三菱電機はサイバー攻撃を受けていたことを認め、「当社のネットワークが第三者による不正アクセスを受け、個人情報と企業機密が外部に流出した可能性があることを確認している」と発表しました。人事関係等の個人情報が約8000人分漏洩した模様です。同社で不正アクセスに気づいたのは2019年6月28日のことで、国内拠点のサーバーで不審なファイルの動作を検知し、その後、同様のファイルが中国など複数国の拠点で見つかったため、大規模なサイバー攻撃を受けた可能性があるとしています。

また1月31日、こんどはNECが防衛事業部門に保存された27,000件余のファイルに外部から不正アクセスされていたことを公表しました。同社は、未知のマルウェア検出システムなどによる対策を実施していますが、2016年12月以降に行われた攻撃の初期侵入および早期の内部感染拡大を検知できなかったと説明しています。

一般にこれらのような大企業では、それなりのセキュリティ対策が講じられているはずですが、それでもこのようにサイバー攻撃により情報漏洩事件が発生する訳であり、事程左様にセキュリティ対策は難しい作業と言えます。

ましてや中小企業などにおいては、慢性的にリソースや人材が不足しているので、非公表のセキュリティ事故・情報漏洩事故は多々あるものと想像されます。上記例のようにセキュリティ侵入に気付いていない企業もたくさんあるものと思われます。

企業におけるセキュリティ対策としては下図のように、守るべき情報資産の棚卸しにはじまり、規程の策定、脆弱性対策や標的型攻撃対策、機密情報管理、インシデント対応訓練、CSIRTの構築・運用、インシデント発生時等有事の対応手順策定＆実施など、やることは山のようにあります。

→ご参考：詳しくは筆者拙文「ビッグデータビジネスにおけるセキュリティ強化とプライバシー保護の必要性」を参照ください。

中小企業経営者の憂い

セキュリティの重要性についての理解はさておき、現実には、中小企業にそのためのリソースや人材を確保する余裕がありません。
しかしセキュリティは企業の免疫機能とも言うべきもので、これがなければ企業はサイバー空間で生きていけません。従って、セキュリティ統制システムを整備し、その履行を監視することは経営者（取締役）の法定責任（善管注意義務および忠実義務）であり、そしてそれはコーポレートガバナンスの一環でもあるのです。

よって悩める経営者の発想としては次のようになります。

■経営者の発想

・専門家を雇うのは費用が高い。
・セキュリティ専門業者と契約するコストもなかなか捻出できない。
・CISO（最高情報セキュリティ責任者）を雇用する人件費が捻出できないし、CISOの配置はそもそも自社にとって過剰投資の感がある。
・CISOの設置が法的に義務付けられているわけでもない。

結局、なるべく予算を抑えたい経営者の希望としては以下のような考えに至ります。

■経営者の希望

・必要に応じて相談に応じて欲しい。
・スポットでアドバイスを貰いたい。
・適当なインターバルでセキュリティ教育をして欲しい。
・短期間のセキュリティ支援をして欲しい。

中小企業の経営者としては、このあたりがやっと、というところでしょうか。

当事務所では、以上のような中小企業経営者様のご要望にもお応えしますので、まずは問い合わせまでご相談ください。