中小企業はどこまで情報セキュリティにコストかけるべきか。情報リスクアセスメントについて。

情報漏洩だとか不正アクセスだとかなりすましだとか…情報セキュリティに関する事件や問題は日常的に、本当によく耳にします。大企業のみならず、中小企業の立場からしても、顧客情報をはじめ情報漏洩のリスクはもはや考えないわけにはいかない時代です。ただ専門的な知識もないし、何をどれくらいやるべきなのかわからないというケースも多いかと思います。
そこでネットで調べてみても、何やら色々なツールを導入するべきだという記事があり試しに見積もりを取ってみたらとんでもなく高額だった、なんてこともあるかもしれません。
ネットの記事はセキュリティ・システムを売っている会社が書いているケースも多いので、導入しましょうという結論になっているケースも多いように思います。しかし実際には導入すればいいというものでもないのが情報セキュリティ対策です。そこで本日は、同じ中小企業である弊社がどのような考え方で情報セキュリティの取り組みやシステム等への投資を行なっているか、ということについてご紹介します。

システム導入よりも先に、まずは情報リスクアセスメントを。

情報セキュリティのことを考える際に、デジタルデバイスの話なのだから対策できるセキュリティソフトとかシステムを導入すれば解決するだろうと考えてしまうケースがあります。もちろんそれらのセキュリティソフトやシステム自体はしっかりとした機能を持っているので、対策するべき範囲に対しては有効に動作してくれることでしょう。しかし問題は、導入するそれらのセキュリティソフトやシステムが、自社にとって必要な対策を施してくれるものであるのかということです。

そこで、情報セキュリティの対策を行うときにまず実施して欲しいのが、情報リスクアセスメントです。簡単に言うと、情報事故が発生する危険性のあるポイントの洗い出しを行い、リスクの大きさを測る作業を行うということです。

情報セキュリティのリスクとしてイメージしやすいところだと、コンピューターウイルス(情報セキュリティの分野ではマルウェアと呼びます)への感染による情報漏洩などがあるかと思います。これももちろんリスクの一つです。しかしこれ以外にも、例えば従業員の方が悪意を持って情報を漏洩させるという人的な情報事故もリスクとしては考えられます。外部の人間が社内に侵入して情報を盗み出すという可能性もあるかもしれません。あるいは協力会社を挟む場合には、協力会社内で同様にマルウェア感染や故意の流出などのリスクもあり得ます。

このような形で、自社の事業を行なっていく上でどこのポイントで情報事故が発生するリスクが高いのかをまずしっかり洗い出すことが重要です。重要な情報を書面で保管していることの方が多いのならば、セキュリティソフトで対策するよりも、保管場所の鍵の管理体制を強化した方がずっと情報リスク対策には効果的なんだという判断ができるわけです。

そしてリスクを洗い出したら対策を立てて、情報リスクを低減することが重要です。例えば弊社の場合は、印刷物という製品の特性を考慮し、廃棄方法の徹底。協力会社様が入る場合に紛失等のリスクを防ぐため、協力会社様へのリスクアセスメント。もちろん人的要因による情報リスクはどの企業にも共通して考えられるため、従業員への教育。デジタル方面では特にメール経由でのマルウェア感染が脅威であるためセキュリティソフトの導入など、情報リスクアセスメントの結果に基づいた個別の対策を実施しています。

多額のコストをかける必要性は?

情報リスクアセスメントの結果に基づき、それぞれのリスクに対して対策を講じていった結果、弊社の場合は外部サービスへの投資はそこまで大きくかけずに済んでいる現状です。もちろんやろうと思えばどこまででも対策することはできますが、リスクの内容や大きさに対して、そこまでやらなくても大丈夫だということが情報リスクアセスメントの結果明らかになったのです。

しかしもちろん、どうしても払わなければいけないコストもあるのは確かです。例えば弊社の場合は直接的にお金はかけていなくても、教育や協力会社様へのリスクアセスメントで、人的資本を投入しています。
また例えば業種によっては、ホームページ上で決済等の処理を行なっていれば、そこへの情報セキュリティ対策は必須なものとなります。専門知識がなければこの部分は外部にお金を払ってやってもらう必要があるでしょう。

ただ、自社の情報セキュリティリスクを正確に把握し、どこに対策を講じるべきなのか、それが明らかになるというだけでも情報リスクアセスメントを講じる価値はあるでしょう。

この投稿は役に立ちましたか?
送信
2人の方がこの投稿は役に立ったと言っています。