専門的な知識がないと適切なセキュリティ対策を施すことは難しい…確かにそういう面はあるのだが、テクニカルな面にだけフォーカスするのではなく、中小企業の経営者なら自社の立場に合った“身の丈”に合う対策を知っておくことも大事な要素だ。私はセキュリティ対策のアドバイザー的なこともしているが、対策手法だけではなく「もしもの備え」としてのリスクマネジメントという視点で、今できること、経営的な視点で対策を施すことを助言している。本稿ではその概要について解説する。
✔️ 信頼できるセキュリティアドバイザー
✔️ “もしもの備え” 8つのリスク管理
✔️ まとめ:IT関連まるごと相談できる側近を…
信頼できるセキュリティアドバイザー
経営者が自らITセキュリティを勉強して知識をつけなければ…と、考える必要もないし、そんな時間もないであろう。困った時や、判断に悩んだ時に気軽に相談できる窓口(相手)として、貴方のそばにセキュリティアドバイザーが存在すれば重宝するのではないか。
セキュリティコンサルタントやITアドバイザーというサービス提供する事業者やフリーランスなど様々な選択肢があるだろうが、どのような立場や助言が信頼できるアドバイザーになるのだろうか。
長年IT業界に従事していた経験から助言させていただく。
アドバイザーの立ち位置
利害関係がない第三者が適切である。第三者とは、IT関連製品の販売をしていない、開発を請け負わないなど問題解決の手段・手法として“何かを販売する”という立ち位置にいない者を指す。ITベンダーが相談窓口となっている場合、どうしても解決手段としては、製品販売を勧めることになる。これがベンダーの目的でもあるのでやむを得ないのだが、相談者としては適切とは言えない。
客観的に中小企業の経営者の立場で、一緒に考えてくれるような存在が安心できて信頼できるアドバイザーと言える。
アドバイザーにいては、こちらに詳細解説の記事にありますので参照ください。
機能よりも持続的な運用の助言を聞くこと
どのような対策を講じるか…と、思案すると、インターネットの出入口は?PCの持ち出しは?アクセス制御はできているか?…等々…機能面にフォーカスされてしまう傾向にある。これはこれで重要なことであるが、結果として何らかの製品を導入しなければならない。ということになる。
製品は導入すると必ずメンテナンスが必要になる。適切な設定で稼働させることも重要なポイントになる。IT人材が不足している中小企業にとっては、製品の機能が効果的に発揮するかどうかは、製品を運用する体制があるかどうかが成否を左右する重要なポイントになるのだ。
価格も手頃で操作もそれほど難しくないという製品を選定し、導入を促すアドバイスは、そのまま素直に受け入れるのではなく、うちの会社で使いこなせるものなのか?使いこなせるとしたら、その根拠は?どのようなメンテナンスが必要でどのくらいのリソース(要員と時間)が必要になるのかを聞いておくべきだ。
運用面から…誰が使うことになるのか?定期的にメンテナンスをするという時間をとれる要員がいるのか?など、最初に、このようなことを確認してくれるアドバイザーであれば信頼度は高いと言えるのではないか。なぜ、運用面を強調するのかは経験から得た中小企業の実態が物語っている。必要だと思って導入した製品が、入れっ放しで、ただ稼働しているだけで何もメンテナンスをしていないということがあまりに多いからだ。
実際に見させてもらって、導入から5年経っているが一度もアップデートしていない。表示される文字が全て赤になっており、何らかのアラートが出ているのだがそのまま放置しているなど…専門家としてアドバイスをするのであれば、そういう事態にならないような助言をするべきであり、自社運用ではなくサービスを活用するなど多少コストはかかったとしても、実効性のある対策を提言しなければ専門家としての価値は半減することになる。
8つのリスクマネジメント(セキュリティ不安の払拭)
ツールの導入による対策は、運用やコスト面でも負担になるという事情は中小企業にはありがちな傾向である。どうにかして安全な環境を構築したいとの想いは理解できるが、絶対の安全は存在しない。だとしたら、確実な安心という体制を作ったらどうかと、私は提案している。
それが“もしもの備え”である。体制の構築なので、大きなコストがかかるわけではない。だが、このような備えをしている中小企業は極めて少ないのである。私の会社では【PIT-Sec】というIT・DX セキュリティのサービスを提供しているのだが、その中の「リスクマネジメント」という視点では、以下の8つの項目について整備するよう助言し支援をしている。各項目について概要説明を以下にさせていただく。
BCP対策
Business Continuity Plan の略で、事業継続計画と訳されるものだ。これがリスクマネジメントの総称的なものにはなるのだが、地震、台風などITインフラを起因としないことも含め緊急事態に備えあらかじめ策定しておく計画のことである。従業員の安全確保など、事業の継続を考慮した内容にする。
サイバー保険
不正アクセスや情報漏洩など事件の当事者になった時に備えて保険に加入しておくということである。サイバー保険はあまり認知度が高くないという印象があるのだが、事業規模にもよるがそれほど高額な保険料が必要となるわけでもないので、加入を検討するよう推奨している。
サイバー保険がサポートしてくれる範囲等については以下の記事をご参照ください。
通信不良
インターネットが使えなくなった時に、どう対処するか。導入時のサポート窓口があるとは思うが、すぐに連絡できる体制になっているか。誰がそれを実施するかなどあらかじめ決めておくことが重要となる。
通信不良が事業(売上など)に与えるインパクトが大きいのであれば、回線を冗長化して通信不良を回避できるような環境を準備しておくことも大事な視点である。
データ破損
サーバのDISKの故障や、ランサムウェアの被害を考慮しデータが使えなくなった時にどのような備えが必要となるかを検討し対策をしておく必要がある。一般的にはバックアップをするということになるが、環境や事業内容等によってどのようなバックアップシステムを選択するのが適切なのかは専門家の助言を参考にすることを推奨する。
バックアップを取得しても、ランサムウェアの場合は感染データをバックアップしているため意味を為さないという仕組みになっていることもある。単にデータをコピーするだけがバックアップではなく、復元できることが重要な視点である。
緊急連絡網
緊急事態が発生した場合に、どこに連絡をするのかあらかじめ決めておくことを指す。
決裁継承順位
中小企業の場合は基本、社長が決裁権を有しているだろうが、緊急時に社長が不在、連絡がとれないような事態に陥った時に、次は誰か?…を決めておくことで、緊急時の対応が滞ることがないようあらかじめ策定しておくことを指す。
ITリカバリー
セキュリティインシデントの発生や、天災によってITシステムが使えなくなった時にどのようなリカバリーをするのかあらかじめ決めておくことを指す。依頼先を決めておいて、すぐに対応してもらえる体制にしておくなど。ランサムウェアの被害の場合は、調査やフォレンジックなど特殊な技術を要するので、出入りのITベンダーでは対応できないことも考えられる。対応可否を確認しておき、不可となれば別の依頼先を決めておくことが重要だ。
社外対応
なにかあった時に、社外の専門家に相談できるパイプがあるかどうかである。本稿の主旨そのものを指すことになる。聞いても対応範囲外であるとか、無理ですね…という回答は、なんら対策を施す助言にはならない。どこの誰に、何を聞くべきか?などを気にせずに、答えを導いてくれる窓口を用意しておくことはリスクマネジメントでは重要であろう。
まとめ:IT関連まるごと相談できる側近を…
リスクマネジメントの各項目については、概要レベルでの解説とさせていただいたが、なにかあった時に、その場にいる従業員が個々の判断で動いてしまうと収拾がつかなくなってしまい事態を悪化させることになるかもしれない。事態を見極め、それぞれが適切に行動できるようにしておくことで早期解決、復旧に繋がることになる。
セキュリティアドバイザーという第三者は、社内で考えるとやるべきことよりもできそうなことを選択しがちになる方向性を修正してくれる信頼できる存在となるのではなかろうか。経営者のIT関連を相談する側近として、探してみてはいかがだろうか。
最後までお付き合いいただきありがとうございます。
また、お会いしましょ。
