もう悩まない!IT担当者がいなくても安心のセキュリティ戦略

Security

中小企業の多くが直面する課題、それは「IT担当者がいない中で、どのように情報セキュリティを確保するか」だ。幸い、ITの知識がなくても、安心して事業を運営できるセキュリティ戦略を構築することは不可能ではない。本記事では、その具体的な対策を解説し、IT知識が不足しているので難しいと考えるのではなく、経営者自身が自信を持ってセキュリティを強化できる方法を解説する。

IT担当者がいなくてもセキュリティ対策は可能か?

中小企業の経営者がよく抱える悩みの一つに、「IT担当者がいないからセキュリティ対策が十分にできないのではないか」というものがある。だが、実際にはセキュリティは「信頼できるベンダーさんにお任せして、提案されたことを実施している」こういう現実があるのではなかろうか。ベンダーの勧めらるままにセキュリティ対策を実施し、それで十分であると考えること自体が、結果としてリスクを高める原因となることがある。ITの深い知識がなくても、適切なツールやサービスを活用すれば、経営者でも効率的なセキュリティ対策が可能だ。

 セキュリティ対策の分業化

セキュリティ対策は大きく分けて、技術的な設定と運用、そしてポリシーの管理に分かれる。たとえば、技術的な部分はセキュリティベンダーが提供するツールで対応し、ポリシーやルール設定は経営者が従業員に向けてリードする形が効果的だ。

中小企業の経営者はこの多様なタスクを全て自社内で完結させるためにどうするかを考える必要はない。ITに詳しくなくても問題解決のための手段や手法を選定する知見は経営者なら持ち合わせているであろうし、自社に合致する適切な手段を選択するという判断ができたら効率的に取り組むことができる。

例えば、セキュリティベンダーが提供するツールを活用して、システムの保護や脆弱性の検出は外部の専門家に任せつつ、経営者や従業員はポリシーの実行や日常の業務の中で「何をして大丈夫か」「どのような行動が危険か」といった基本的なことをルールとして周知させるだけでも、セキュリティリスクを大幅に軽減できる。

外部サービスの活用

外部のセキュリティサービスを利用することは、IT担当者がいない中小企業にとって効果的な解決策だ。 サイバー攻撃の防御やシステムの脆弱性スキャン、データのバックアップなどの専門的な作業は、社内で専門知識を持ったスタッフがいなくても、信頼できる外部のサービスプロバイダーに委託できる

24時間365日体制でシステムを監視する「セキュリティオペレーションセンター(SOC)」を提供するサービスは、大企業向けの高額なサービスがほとんどであったが、昨今は、企業規模に関係なく利用できる安価なサービスもリリースされている。SOCでは、常にサイバー攻撃や不正アクセスを監視する。これにより、自社で監視体制を持つことが困難な企業でも、専門家の手による高度なセキュリティ対策が実現できる。ただ、24時間365日体制と言ってもツールの監視のみで有人監視は行なっていないなど、様々な形態があるので導入を検討する場合は、監視センターの運用体制を細かく確認することは欠かせない

中小企業に最適なSOC 必要性とオススメのSOCサービス
専門知識を持ったIT人材が不在の中小企業において、安心できる運用環境を手に入れるための選択肢の一つにSOCサービスがある。大手企業向けが多いのだが、中小企業向けに熟考された低価格なSOCサービスについて解説する。
blog.info-flag.com
2024.07.15

継続的な教育と意識向上

セキュリティ対策は技術的な側面だけに頼るのではなく、人間の行動や意識改革も必要だ。 特にフィッシング攻撃やソーシャルエンジニアリングなど、人の心の隙間を突いた攻撃は、いかなる高度な技術的な対策をしていても完全に防ぐことは難しい。

セキュリティ専門家による講習会やオンライン学習ツールを活用し、従業員に注意すべき行動を学ばせる。社内での模擬フィッシング攻撃などのトレーニングを実施することで、実際の攻撃に対する耐性を高めることもできる。とは言え、実務に直結せず成果が見込めない間接的な業務に時間を割くことは中小企業の従業員にとっては容易なことではないだろう。講習..研修..教育…言うだけなら簡単だが、現実的には年間で1回程度実施できたら良い方だと言えるのではないか。効率的に実施するためにも年次のイベントなどがある時に、多少の時間を割いて講習を受けるということを決めておく(イベントに組み込んで恒例行事にする)ことをお勧めする。

最も重要だが置き去りにされてしまう【運用】

ツールがあれば、ある程度自動化される。教育に関しても経営者がリーダーシップを発揮してポリシーに応じた行動を促すことで、技術的なことや、そうするべき理由まで完全に把握されないとしても重要性の認識を高めることはできるだろう。

だが、運用はそれほど簡単に解決できることではない。セキュリティツールは導入するだけでは十分ではなく、ツールの運用が非常に重要な役割を担っている。運用とは具体的に何をするべきなのかが見えにくいし、導入時にも説明を受けることが少ないようである。少なくともこれと、これはやっておかなければならないということを理解し、継続して実行できるかどうかが、中小企業にとってセキュリティの成功を判断する重要なポイントとなる。

運用とは何かを明確に定義することは難しいのだが、わかりやすい 運用の具体的な要素 としては以下がある。

1)ツールのメンテナンス:ファイアウォールやウイルス対策ソフトの設定が正しく更新されアップデートされ常に最新の状態を維持すること。

2)アップデートのタイミングを判断する:今すぐ必要なのか、もう少し先でいいのか…これを判断するにはITの知識が必要不可欠である。

3)事前検証:アップデートをすると既存システムに影響することがあるので、それを事前に検証しなければアップデート終了時に通信不可となってしまうこともある。

ここでは3つほどしか述べていないが、これをやるだけでも手間がかかりPCやその他のデバイスの数量によっては専任業務としてもいいくらいのボリュームになることもある。また、IT知識と経験が必要となる事案も多く発生する。監視サービスなどの一部の機能的な部分だけを専門家、または外部のサービスに委託するのではなく運用面も含めたサービスが受けられる委託先を探すことが賢明であろう。IT担当者は必ずしも社内に抱えて置く必要はないのだから。

人間の心理を活用したセキュリティ意識の向上

セキュリティの脆弱性は、技術的な問題だけでなく、人間の心理にも起因することが多い。行動経済学を活用したアプローチは、無意識のリスクを低減するために効果的だ。工夫次第で余計にコストをかけずに意識向上の環境を構築することも可能だ。

ハロー効果を利用したセキュリティ教育

経営者自身が率先してセキュリティに取り組む姿勢を示すことで、従業員にもその重要性が浸透する。人はリーダーの行動を模範とする傾向があるため、経営者がセキュリティ対策に真剣に取り組む姿勢を示すことが重要だ。朝礼やちょっとした会話や何かを指示した時など「最近、PCに何かおかしなこととかないか…?」など声かけをして、セキュリティについて意識させる何気ない言動を自然にやっていくことで、従業員も気にかけるようになってくるだろう。

ハロー効果とは?

ある対象を評価する際、その一部の特徴的な印象に引きずられて、全体の評価をしてしまう効果のこと。

例えば

  • 容姿の良い人が、性格も良いだろうと判断してしまう
  • 有名なブランドの製品は、高品質だろうと判断してしまう
  • 一度良い印象を持った人は、その後どんなことをしても良い印象を持ち続ける

このように、ある特定の要素(容姿、ブランド、最初の印象など)が、他の要素の評価に大きく影響してしまうことを指す。

フレーミング効果を活用したリスク認識

セキュリティ対策の説明には、リスクを強調するだけでなく、成功事例を用いたポジティブなフレーミングも有効だ。たとえば、「この対策で〇〇万円の損失を防げた」という具体的な利益を示すことで、対策を講じる動機が生まれる。ちょっと確認を怠っただけで、詐欺メールが指定した口座に数億円、振り込んでしまったなどという事例もある。具体例は「えっ?そんなことで…」と思えるようなインパクトのある事件、事故を選定すると良いだろう。

フレーミング効果とは?

同じ情報でも、伝え方(フレーミング)によって、人々の判断や行動が大きく変わってしまうという心理現象のこと。

例えば

  • 「この商品は90%の確率で効果があります」 と言われるよりも、「この商品は10%の確率で効果がありません」 と言われた方が、効果がないという印象が強く残ってしまう。
  • 「手術をすれば、90%の確率で生存できます」 と言われるよりも、「手術をすれば、10%の確率で死亡する可能性があります」 と言われた方が、手術に対して不安を感じる。

このように、同じ内容でも、表現の仕方によって、人々の受け止め方が大きく変わってしまう。

デフォルト効果によるルール定着

セキュリティのルールを「オプトイン」形式ではなく、「デフォルトで設定された状態」にすることが推奨される。たとえば、パスワードポリシーや自動更新の設定など、ユーザーが特に意識せずともセキュリティが高まる状態をデフォルトにするのも効果的だ。

デフォルト効果とは?

簡単に言うと、選択肢がある場合、特に何も考えずに、最初から設定されている選択肢(デフォルト)を選んでしまうという心理的な傾向のこと。

なぜデフォルト効果が起きるのか?

  • 判断を避ける: 複数の選択肢から選ぶのは面倒だと感じ、デフォルトを選ぶことで判断を避ける
  • 変更が面倒: デフォルト設定を変更するには、手間や時間がかかるため、そのままにしてしまう
  • デフォルト=推奨: デフォルトが選ばれているということは、それが推奨されていると解釈してしまう

デフォルト効果の例

  • オンラインショッピング: 配送方法がデフォルトで「通常配送」になっている場合、特に考えずに「通常配送」を選んでしまう。
  • アンケート: 回答の選択肢で、最初の選択肢がデフォルトで選ばれている場合、その選択肢を選びがち。

契約: 契約書で、ある項目がデフォルトで「同意する」になっている場合、特に確認せずに「同意する」にチェックを入れてしまう。

サイバー攻撃は「見えない泥棒」から守る

物理的な泥棒と違い、サイバー攻撃は目に見えない。そのため、従業員の多くが「危険性を感じにくい」という課題がある。さらに、電子データは盗まれたとしてもその場に存在している(コピーされると無くなりはしない)ため、盗難や紛失が見た目にはわからない。しかし、まさにその「見えない危険性」を直感的に理解させる方法がある。

見えないものを見える化する

物理的な鍵やセキュリティカメラがあると安心できるように、サイバーセキュリティでも「可視化」が重要だ。たとえば、定期的にセキュリティログのレポートを経営陣や従業員に共有することで、攻撃が防がれた事実や危険なアクセスがブロックされた実績を示すことができる。

ログレポートを出力するツールは多々あるし、SOCなどサービス事業者からも定期的に送られてくる。それを一部の従業員や経営者だけが確認するのではなく、全従業員が閲覧できるようにしておくことで、自社の運用を全員に可視化することができる。ただ、レポートだけ見えるようにしても、何を意味しているかを理解できない従業員がほとんどであろうから、ある程度の解説を添えておく必要がある。SOCサービスの選定時も定型レポート+α(解説コメント付)が提供されるかどうかも運用体制によっては確認しておくべきことになる。

シンプルな手順で攻撃を回避する

複雑な手順ではなく、シンプルかつ効果的な対策が従業員に定着しやすい。たとえば、「毎回パスワードを変更する」のではなく、二要素認証を必ず有効化することで、パスワード漏洩のリスクを大幅に減らすことができる。

パスワードの危険性とその解決策:二要素認証を使う理由
「パスワードさえしっかり設定すれば大丈夫」と思っている方は要注意だ。実は、パスワードだけでは、あなたの大切なアカウントが乗っ取られるリスクがあるのだ。
blog.info-flag.com
2024.09.10

 IT業界の経験を活かした具体的なアドバイス

筆者はIT業界に35年以上従事し、多くの中小企業が直面するセキュリティ問題に対して効果的な解決策を提供してきた。特にクライアント管理ツールの市場を開拓してきた経験から、経営者目線でまずはこれはやった方がいいということを提案する。

クライアント管理ツールで一元管理

従業員が利用するPCやスマートフォンを一元管理できるクライアント管理ツールは、セキュリティの観点から非常に有効だ。各デバイスのセキュリティ状態を可視化し、必要な対策をすぐに講じることができる。と言えば、クライアント管理ツールの営業トークみたいになってしまうが、各PCの現状がどうなっているかを把握するには目視や聞き取りでは限界がある。1拠点、1フロア、10名程度(PCが10台くらい)と限定的な範囲であれば、わざわざツールにコストをかける必要はない。

だが、20台…30台となってくれば話は別である。セキュリティ対策に限らず、何かをしようとする時には、今はどうなっているのかを把握することからスタートするであろう。ダイエットする時も最初に体重を計測して、半年で**キロ!とか目標設定をするはずだ。今の体重を計測するヘルスメーターとなるのが、クライアント管理ツールなのだ。詳細については「SKYSEA Clinet View」推奨する理由と導入すべき理由についても述べているので参考にしていただきたい。

SKYSEAとは?...実績・知名度が急上昇している理由を解説
SKYSEAはTVのCMでも見るので知名度が高くなっている。クライアント管理ツールとして実質的に国内No.1の導入実績であろう。SKYSEAが選ばれる理由を客観的に、かつIT事業者に従事していた者の視点から丁寧に解説をさせていただく。
blog.info-flag.com
2024.07.15

自動化ツールで人手不足を補う

パッチ適用やウイルススキャンなど、定期的なセキュリティタスクを自動化することで、IT担当者が不在でも問題なく運用ができるようになる。この自動化もクライアント管理ツールで実行できる。導入・稼働しているOS、ソフトウェアのバージョンを把握し、最新の状態を維持するにはクライアント管理ツールは必須と言ってもいいだろう。

サポートを受けやすいベンダーを選ぶ

ツールを選定する際は、サポート体制が整っているベンダーを選ぶことが肝要だ。導入後もトラブルが発生した際に迅速に対応してもらえる環境を整えることがリスク回避に繋がる。具体的には

✅ Webサイトの情報量が多いこと(LPしかないようだとそのプロダクトに従事している要員が少ない可能性が高い)
✅ マニュアルなどドキュメントが丁寧で充実している
✅ 定期的にメジャーバージョンアップが実施され、アップデートパッチも適切なタイミングで提供されていること

大きくはこの3点が選定ポイントになる。国内メーカーであれば安心だが、海外製品の場合は日本の代理店がメーカーの役割をしていることがよくあるが、多くの製品を取り扱っているベンダーは、プロダクトを担当する要員が一人とか二人という場合も決して少なくないのだ。(大手ベンダーでもそのような実態はよくある)

まとめ

IT担当者がいない中小企業でも、セキュリティ対策は視点を変えることで十分に講じることができる。重要なのは、複雑な技術的な知識に頼らず、シンプルで実行可能な対策を取ることだ。外部サービスの活用、クラウドセキュリティの導入、従業員教育の強化など、経営者自身がリードできる形でのセキュリティ戦略が求められる。

また、技術的な防御だけでなく、心理的なアプローチも効果的だ。経営者がセキュリティに対する姿勢を示すことで、従業員の行動も変わる。そして、日々の業務の中で「セキュリティを守る」という意識を自然に定着させることが、中小企業において最も現実的で持続可能なセキュリティ対策となる。

筆者が35年にわたるIT業界の経験をもとに提案するこれらの対策は、リソースが限られている中小企業でも実行可能なものであり、効果的な防御策を講じる一助となるだろう。大切なのは、一歩を踏み出し、少しずつでもセキュリティの強化を始めること。そうすることで、企業の安心・安全な運営を実現できると考える。

最後までお付き合いいただきありがとうございました。
また、お会いしましょ。