この時代において何も施していないというのは論外ですが、セキュリティは一概に何をするのが正しいという答えはありません。

それぞれの企業にあったセキュリティ対策があります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

よく、『うちのような零細企業は狙われるはずがないから大丈夫ですよ！』と仰られる社長もおられますが、その考え方は間違っています。

ターゲットとなっているのは大企業や行政機関だけではありません。

ハッカーも中小・零細企業を狙う

メディアで報道される被害は行政機関や大手企業ばかりですが、実際のところは中小・零細企業が狙われるケースもあります。

ハッカーにはタイプがあり、自身を誇示するために大規模な組織を狙うケースとそうではないタイプが存在します。

後者の場合、いきなり大規模な組織を狙うには労力や時間などがかかるため、そこに関連する企業の一番ハードルの低いところから狙っていくケースがあります。

つまり、最終的には何らかの形で大規模組織にたどりつくようなケースにおいては小規模な零細企業もターゲットになるということです。

例えば、零細企業A社は中小企業B社と取引があり、中小企業B社は大企業C社と取引があるようなケースです。

これ、大半の零細企業が当てはまると言っても良いでしょう。

もちろん、途中に他の企業が存在しているケースもありますし、クライアントが個人を対象としているところであっても、仕入においてつながっていることもありますから。

上記のケースの場合、零細企業は踏み台として真っ先に攻撃を受ける可能性を秘めています。

情報資産などのリスク分析をする

セキュリティ対策は、○○をすれば絶対安全であるというものは存在しません。

過去にもあったように、DoD アメリカ国防総省もハッカーによる攻撃を受けます。

では、どういったセキュリティ対策をすれば良いのか？

これらに関しては、自社内における業務運用などを洗い出し、それに対して想定されるリスクにはどのようなものがあるのか？を洗い出すことと、自社内にてどれくらいの情報資産を抱え、それが被害にあった場合にどれくらいの対応コストがかかるのか？を洗い出します。

そして、洗い出しを行った結果から、行うべきセキュリティ対策にかかるコストと、被害にあった時の対応コストとを比較します。

その結果として、被害にあった時のコストがセキュリティ対策にかかるコストを上回るのであればそのセキュリティ対策は必須であると認識していただいた方が良いでしょう。

セキュリティ対策に関して小規模事業者が確保できる予算は多くはないですが、どうしても予算を確保できない部分においては運用形態などを見直すことも含めて検討しなければいけません。