中小企業はお金や人が潤沢で豊富ってことではありません。が、セキュリティ対策の必要性というかやらねばならない!ということについては企業の規模は関係なくその意義はわかりますよね。
IPAから「中小企業の情報セキュリティ対策ガイドライン」が発行されており、その付録に「情報セキュリティ5か条」というのがあるのです。中小企業の実情を考慮した実践的かつ効果的な対策なので、まずはここから始めてみましょう。というものです。が、これって…
✔️ 5か条って5つの対策が必要ってこと?
✔️ お金も人もないけど実施できること?
✔️ サイバー攻撃は巧妙化しているって聞くけど5つで大丈夫?
などなど…できそうだけど、実際にできるのか?ホントに効果あるのか?などなど疑問が出てくるのではないでしょうか。セキュリティ対策ではやらなければならないことや、やるべきことの情報が氾濫しており、なんでたったの5つで対策できるの?と思われても不思議ではなく、むしろ当然の疑問です。
本記事では以下3つのポイントを解説します。
・5か条が低コストで専門知識がなくても実践できる理由
・【事例で検証】5か条はホントに効果的な対策なのか?…その答え
・実践する時に注意しなければならない大事な視点3つ!
5か条が低コストで専門知識がなくても実践できる理由
まずは5か条とはどういうものなのかを説明します。○○○○をしよう!と5つのやるべき対策が明記されています
情報セキュリティ5か条とは?
❶ OSやソフトウェアは常に最新の状態にしよう!
❷ ウイルス対策ソフトを導入しよう!
❸ パスワードを強化しよう!
❹共有設定を見直そう!
❺脅威や攻撃の手口を知ろう!
情報セキュリティ対策5か条は、IPA(独立行政法人 情報処理産業推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」の「付録1」で公開されているものです。
引用元:IPA 独立行政法人 情報処理推進機構
どれも聞いたことがあるかと思いますし、難しいことではないんです。が、なぜ5か条として提言されているのか?…それはできていない。やっていない企業が多いからなんです。なぜそうなるのかは後述しますが…
この中でコストがかかるのは2項のウイルス対策の導入くらいです。OSやソフトのアップデートやパスワード管理を自動化しようとすれば、ツールがあるのでそれを導入するとコストは発生します。が、今やっていないことをツール導入で補えるということはありません。
しっかりと対策をしているけど、手間がかかるとか、あまり時間をかけられないからツールで補う。というのが適切な導入理由です。ツールを導入しても勝手にやってくれるということにはなりません。
ウイルス対策ソフトだけは導入した方がいいです。ウイルスは新旧、様々なものが存在します。感染すると厄介なことになりますしウイルス付きのファイルを顧客に送ってしまったなんてことがあると、それくらい対策しておくのは常識だろ…と、思われてしまいます。
専門知識が不要で簡単です!
この5か条を実践するにあたっては専門知識は不要です。そもそも専門知識とはどういうことなのか…いろいろな視点と要素がありますがこの場合で言いますと
システム全体を俯瞰的に捉え、このソフトを動かすにはここの設定変更が必要になる。とか、これを入れておかないと稼働させることができないとか、この順序で操作しないとエラーになって面倒なことになる…など、ネットワーク全体やPC、ソフトについて知見がありそこから適切な判断を導くスキルです。
が、この5か条にはそれを必要とする場面はありません。
操作も基本、画面上でクリックをしていけば完了します。ソフトがナビゲートしてくれますのでそれに従っていればできます。アップデートのタイミングもソフトウェアが促してくれるものがありますし、ソフトウェアベンダーからの案内があり手順も解説してくれるかと思います。できるかどうかではなく、やるかやらないかということでありやれば普通にPC操作をしている方ならできます。
パスワード強化については、誕生日や人物名や何かの名称など単語として成立するものはNGです。文字数等も考慮が必要です。これも基本、専門知識は不要です。やるかやらないかだけのことです。パスワードの強化方法と、なぜ強化する必要があるのか?具体的にパスワードってどうやって生成したらいいのか?それを詳しく解説した記事がありますので、合わせてご一読ください。
共有設定の見直しは、ソフトのアップデートのあとで「共有」という設定があるものについては確認して共有をオフにする。必要に応じて設定変更をしてください。操作は簡単にできるのですが「共有」の意味や範囲がソフトによって異なることがありますので、マニュアル等で確認することをオススメしますが、もし理解できない。ということでしたら詳しい人に聞くかベンダーに問い合わせてください。(これは場合によっては少しだけですが多少の知識は必要かもしれません…まぁ…ほんの少しのレベルですぐに理解できるかと思います)
脅威や攻撃の手口を知る手段はいろいろありますが、半年か時間があれば3ヶ月に1度くらいベンダーのセミナー等に参加してみると良いかと思います。メールニュース等でも知ることができますが、講師の解説があった方がより理解できるかと思います。
専門知識が必要か?について総括すると、結論は不要です。知ってるかどうか、ではなくやるかやらないか。ということです。
【事例で検証】5か条はホントに効果的な対策なのか?…その答え
忙しい業務の合間になんとか5か条を実践したとして…果たしてそれはどのくらいの効果があるのか?これを事例から検証してみましょう。
IPAのセキュリティ対策5か条で防御できた過去の事例
サイバー攻撃被害の事例はネット上でも多々あるのですが…本稿に合う事例の視点として
・メディアでもまぁまぁ話題になった
・国内の中小企業(サプライチェーンを狙った攻撃)
・記憶に新しい(聞けば…あ…ありましたよね。というレベルのもの)
海外の事例は参考になりませんし、ITベンダーのコラムとかブログにも事例は多々あるのですが自社製品の導入誘導になっているのがほとんどなので参考にするには…と、思いながら以下をピックアップしました。
・小島プレス(トヨタ自動車のサプライチェーン) → 2022年3月
・徳島県 半田病院 → 2022年11月
・大阪急性期・総合医療センター → 2022年10月
✅ どんな被害?:ランサムウェア
✅ 感染経路:取引先の会社
✅ どこから侵入された:VPN装置
✅ なんで入れた?:VPN機器の脆弱性を突かれた
共通しているのです。そういう事例をピックアップしたのではないのですが話題になったこの3事例は実害に違いはあるもののITセキュリティ目線ではだいたい同じなんです。
小島プレスは取引先の会社、半田病院は取引しているITベンダー、大阪の医療センターは取引先の給食事業社と、どれもサプライチェーンの中で被害にあったということで、インターネット上で特定の事業者や人と安全に通信するために仮想的に専用(個別)の線を引いて通信するため(あくまでもイメージです)の機器がVPM装置というもので、その装置のファームウェアがアップデートされていなかったために脆弱性が放置されそこを突かれて侵入されたということです。
これは3事例とも共通しています。2022年はコロナもあってテレワークがありVPNを使った通信が多く利用されたいたこともあって、VPNに脆弱性があることは広くアナウンスされていました。にもかかわらず…こういうことになったのです。
つまり、どういうことか?5か条の1項目の「OSやソフトウェアは常に最新の状態にしよう!」をやっていれば防げた可能性が大なのです。絶対とは言い切れませんが、ほぼ防止できたと言えます。アップデートされて脆弱性がなければ、攻撃者はそう簡単に侵入できませんのでそこをターゲットとせずに他を探したはずです。
攻撃者はビジネスとしてやっているので時間をかけて侵入を試みることはせず、とにかく多くに侵入しランサムウェアでファイル暗号化し身代金を要求するということをしたいのです。確実に支払ってくれる保証はないのですから、数打ちあたる戦法をとるのは当然です。入りやすいところに入る…これは攻撃者からすれば当たり前なのです。
そう考えると、この3事例はいずれもターゲットから外れた可能性が大なのです。つまり、5か条の実践で防止できたということになり単純な対策ですが効果は絶大。ということが言えるのです。
テクニカルな問題というよりも攻撃者側に立って考えると常に、ソフトウェアが常に最新になっている環境は今までの侵入手段を使えないので、新たな手法を編み出さないといけません。そんなことを1件、1件やっている暇はない。非効率であると考えます。なので、この対策は効果的なんです。
そんなことなんですか…?って思われる方がいらっしゃるかもしれませんが、これはこれで一つの現実でもあり、事例からはこの対策は効果があると実証されている。それが答えなんです。
ですから、この5か条はぜひとも実践していただきたい!
ただ、簡単でお金もかけずにできることなのになぜこの3事例の事業者はそれをやらなかったのだろうか?知らなかったのか?(それはないと思われます)自社だけが聖域にいると思ったのか?不思議に思いませんか?
それは、5か条を実践する前に考慮しなければいけないことがあるんです。そこを疎かにして「やるぞ!」と言ってもそう上手くはいかないのが現実なんです
実践する時に注意しなければならない大事な視点3つ!
ちょっとやっておけば大きな被害に合わずメディアに報道されることもなかったのになぜそれができていなかったのか?何をすればいいかわかっていたけどやっていない。なぜそうなるのか?そこをしっかり把握して落とし穴にハマらないように事前に知っておくべきことがある。私が中小企業事業者やその他、多くのお客様を見てきて思うことです。
その①:できそうでもなかなかできない。その理由を把握すること
「簡単=短時間ですぐにできる」 ということではないのです。アップデートを例にあげると、再起動が必要になります。今すぐ何かしたい時にPCの再起動を待つ時間は数分であっても長く感じられイライラしすることがあります。だったら、あとでやるか。となって、結果、放置されます。
VPN装置についても再起動をするとなれば、その間はネットワークは遮断されます。業務中に「ネットワークを一時、遮断しまーす」なんて言えば、声の大きい営業部長なんかが「なにしとんねん!仕事中やないけ!あとでせーや!」って(関西弁とは限りませんが)言われて躊躇することになり、業務時間内は不可で18時以降でも中小企業の場合、残って仕事をしている人も多いのでなかなかできない。
じゃー、休日にやるしかいないなぁ..と、休日出勤の申請をしても「それってどのくらいの時間かかる作業なんだ?1日もかかるのか?」と問われると「1時間もあれば終わります」と回答になってしまうので、「だったら、そんなもん日中のどこかのタイミングでちゃちゃっとやってくれよ。わざわざ休日出勤までせんでええやろ!」ってことになり、これもまた放置される。ということになります。こういった事例は上記の3事例以上に多々あることです。
経営トップが自らのミッションであると認識して実行させることが重要です。
その②:自社内で完結・完遂しようとしない
5か条を実施の担当者は誰にするか?その人はどういう業務をしているのか?ちょっとPCに詳しい人なんかを担当者にするケースが多いのですが、本業ではなく兼務だしまぁ…片手間になってしまいます。
アップデート情報の入手や自社への適用可否の判断、パスワード変更のタイミング..等々…5か条…5つとはいえ、対象となるものは5つではありません。PCが30台がって5種類のアプリがあれば150回のアップデートとなりますし、パスワードも30個。従業員数に依存してるならその人数分ということになり、兼務として管理しながらなんてことは現実的に不可能なんです。
やる人がいないから自分(社長)がやるしかないか…とか、考える責任感の強い経営者もいるのですが、社長にもそんな時間はありませんしこれも現実的に不可能です。会計事務所と契約して月次決算とか定期で実行する業務は専門家に委託することが多いと思われますが、ITの運営管理も同様の位置付けにすることを推奨します。
自社内完結はかなり高いハードルになります。総務系の方の定型業務の一部として給与振込などのように、「5か条実行日」などを規定して実行する体制を構築して実作業で手が足りないのであれば、アルバイトを採用するなど定型化してください。担当者の力量に依存する業務となっていると、結果としてだいたい片手間となり放置された状態になってしまうかと思います。
その③:運用管理にはITスキル以外に必要とされるものがある
ここまで5か条は簡単であるし、対策効果も期待できることは述べてきました。ただ、そう簡単にはできないということも合わせて述べてきました。言ってることに矛盾があるのでは…と。そうではないんです。
この5か条が簡単というのは操作するということについては簡単なのです。簡単という意味は専門的な知識や知見がなくてもできる。ということです。今、やってみてください。と言えば、ほとんどの人ができると思いますので簡単ではあるのですが、ITインフラの運用管理は決められた手順を実行するだけということではありません。
作業や操作はできても…
・いつ?どのタイミングでやるか?
・それをやる必要があるのか?
・やった場合にどんな影響があるか?
・作業時間(工数)はどの程度かかるか?
・リカバリー方法は?
…等々…
これらのことを理解、把握しておかなければやってしまったあとで動かないとかエラーでおかしなことなってどうしようもない…など、簡単な操作・作業でも何も起こらないということはありません。
とくに、どのタイミングでやる必要があって、その影響と効果はどうなのか?これについては、ある程度の経験と知見がないと判断できないと思います。5か条はこれを知っておかないと、やる!と決断できないんです。
なぜ今やる必要があって、やらなえければどのようなリスクがあって、どのくらいの工数がかかるかと事前に把握し理解していれば経営者も判断できるので指示を出せます。やらないといけない。というだけでは経営者の自信を持って適切な判断ができません。ここが中小企業における5か条を含めセキュリティマネジメントが上手く機能していかない大きな要因だと私は思っています。(経験値からほとんどの企業が該当するかと思っています)
この5か条は自分たちでもできることなので、最低限ここまではやりましょう!という意味で発行されているガイドラインであり、やろうと思えば専門業者に依頼しなくても自分たちでできる作業範囲であることは否定しません。が、運用(定期的かつ最適なタイミングと処置を施す)していくということは別の話です。
最新にしよう!は、1回やればいいというものではなく、継続して(定期的)やるものであるし、ウイルスソフトもパターンファイルの更新は必須ですしパスワード強化も定期的に変更しなければならないと言ってますし、共有設定も見直そう!ですから1回限りではありません。脅威や攻撃の手口は巧妙化し変化するので、その都度情報収集をしなければならない。
要は続けていかないとダメですよ。という対策なんです。他の仕事をやりながら兼務は厳しいと思われますし、自社に必要な情報の精査や処置を判断するには、場合によっては知識が必要となります。ITインフラの運用管理は、簡単ではないんです。従業員が多くなる専門部署ができるのはそのためですし、大手企業になると専門の子会社を保有しています。それだけ専門的で特化した業務です。中小企業においては規模が小さいので専門的な業務ではありません。とは言えないのです。
決算書は企業の規模を問わずに提出しないといけませんよね。適用される法律やそのボリュームは規模に依存しますが、ベースとなるものは同じです。社内のメンバーで「がんばるぞー!」というやる気だけでは困難なことも出てくることが想定される業務になるということは認識しておくべきかと思います。
それに対する私の答えは、IT運用管理についても、法律関連=弁護士、財務・会計=税理士・会計士 労務関連=社労士 など、専門家に委託してるかと思いますが同等の扱いをするべきかと思います。
IT関連・運用管理=IT顧問(IT士という称号がありませんので)を採用されるのが適切な選択だと推奨します。なぜIT顧問という視点について拙著:「IT顧問のススメ」を是非、ご一読ください。
「IT顧問のススメ」是非、ご一読ください。
画像をクリックしてダウンロードしてください。
ちょっと長くなりました。
最後まで読んでくださってありがとうございます。
また、お会いしましょ。
