中小企業の情報セキュリティ対策 - ガイドラインと実態について

情報セキュリティの必要性とは

昨今において、情報セキュリティの必要性が高まりつつあります。とくに機密情報や顧客データなど重要な資産となる情報を扱う企業では、セキュリティ意識を高く持ち、対策を実践していくことが重要です。

もし企業においてセキュリティ対策がなされていなければ、これらの機密情報や顧客データといった重要な情報が漏えいしてしまうリスクが大いにあります。そのほか、近年ではマルウェアなどのウイルス感染も巧妙化しており、企業を狙った被害も相次いでいます。

このように情報セキュリティは、企業活動において欠かせない課題であり、情報セキュリティに対する意識を高めておかなければ、情報漏えいにつながり信用失墜の要因になり得ることも十分認識しておく必要があるでしょう。

中小企業こそ情報セキュリティ対策が必要

情報セキュリティへの意識は、大企業だけでなく中小企業においても高めておくことが重要です。とくに中小企業は大企業と比較すると、セキュリティにかける予算が少なく、ITリテラシーの高い人材自体も不足しやすい傾向にあります。 そのため、セキュリティ対策を強化している中小企業も少なく、従来から使用しているような古いセキュリティシステムを使用しているというケースも少なくありません。

このようなことから、悪意のあるサイバー攻撃者は、あえて中小企業を標的として狙うこともあります。情報漏えいやサイト改ざんなどのトラブルを防止するためにも中小企業こそ情報セキュリティ対策が必要と言えるのです。 次項より、中小企業が情報セキュリティ対策を講じる上で、有効活用できるセキュリティガイドラインについて詳しく紹介していきます。

中小企業の情報セキュリティ対策ガイドライン

情報セキュリティガイドラインとひと口に言っても、その種類は複数あり、いくつかの情報処理関連団体が作成しています。どのガイドラインも企業が情報セキュリティを強化する上で参考になるものばかりですが、ここではIPAが公開している「中小企業の情報セキュリティ対策ガイドライン」をピックアップしてご紹介します。

参照：中小企業の情報セキュリティ対策ガイドライン：IPA 独立行政法人 情報処理推進機構

中小企業の情報セキュリティ対策ガイドラインとは

「中小企業の情報セキュリティ対策ガイドライン（以下、本ガイドライン）」とは、IPA（独立行政法人情報処理推進機構）が作成する、中小企業の情報セキュリティ対策について、より具体的な対策を実践する際の手順や手法をまとめたものです。 本ガイドラインでは、おもに個人事業主をはじめ、小規模事業者を含む中小企業が対象となっており、以下のように実施すべき事項として経営者編と管理実践編の２つに分類されています。

■経営者編
中小企業向けに経営者が対応すべき事項として、サイバーセキュリティ経営ガイドラインの内容

■管理実践編
重要な情報を扱う管理者などが実施する事項を、企業の能力に合わせて段階的にステップアップできるような内容

なお本ガイドラインは、2016年11月に公開された第2版から大幅に改定されており、現在公開されている第3版が最新のものとなっています。 改訂ポイントとして「サイバーセキュリティ経営ガイドライン」の改訂をはじめ、近年普及の広まるクラウドサービスの利用増加などに伴い、クラウドサービスを安全に利用するための留意事項などが記載された手引きなども付録として追加されています。さらに、従来のガイドラインと比べると、専門用語の使用が抑えられており、IT分野に関して知見の浅い中小企業の経営者でも理解しやすい内容となっています。

サプライチェーン攻撃への対策

近年、ビジネスにおけるITの利活用が進む一方で、サプライチェーン攻撃による被害も増加しています。サプライチェーン攻撃とは、組織間の業務上の一連のつながりを悪用し、次なる攻撃の踏み台とするサイバー攻撃手法のことを指します。 サプライチェーンを構成する中小企業では、発注元の企業への標的型攻撃の足掛かりとされるリスクも挙げられているため、早急な対策が必要とされています。本ガイドラインでは、基本的な情報セキュリティ対策だけでなく、このような事業に影響を及ぼすリスクのあるサプライチェーン攻撃への対策などについても詳しく記されています。

中小企業のセキュリティ対策の実態

年々巧妙化するサイバー攻撃が増加する中、中小企業ではどのようなセキュリティ対策を講じているのでしょうか。ここでは、2022年1月に公開された日本公庫総研レポートをもとに、中小企業におけるセキュリティ対策の実施状況をご紹介します。

ソフトウェアのアップデート

まずサイバーセキュリティ対策の一つに、社内で使用しているソフトウェアのアップデートを行い、常に最新の状態に保つという方法が挙げられます。 日本公庫総研レポートのアンケート調査（以下、本アンケート）によると、中小企業でPC、タブレット、スマートフォンのいずれも「すべてアップデートしている」と回答した企業は、全体の8割に満たない結果となっています。

出典：日本政策金融公庫（2022）「日本公庫総研レポート_中小企業に求められるサイバーセキュリティ対策の強化」【図－12　OSのアップデート状況】

アップデートをしていない企業の理由としては、OSを更新すると使用していたソフト ウエアが動かなくなったり、データが紛失するといった不具合いが生じることがあるため、自動更新を無効するという意見が挙がっていました。そのほかPCの場合であれば「使い勝手が変わるのが嫌」「買い替える費用がもったいない」といった理由で、サポートが終了した古いOSを使い続ける企業もいるようです。

セキュリティソフトの導入

サイバーセキュリティ対策として、セキュリティソフトの導入も基本的な方法の一つでしょう。本アンケート調査では「すべてにインストールしている」と回答した企業は、PCが73.6％、タブレットが41.7％、スマートフォンが48.1％という割合になっています。

出典：日本政策金融公庫（2022）「日本公庫総研レポート_中小企業に求められるサイバーセキュリティ対策の強化」【図－13　セキュリティソフトのインストール】

より強固なサイバーセキュリティ対策を講じるには、すべての情報機器にセキュリティソフトをインストールし、最新の状態を保つことが望ましいと言えるでしょう。 ちなみにセキュリティソフトを導入する場合の費用相場は、1ユーザーあたり年額3,000円から5,000円ほどになります。

社内ネットワークの不正アクセス対策

社内ネットワークの不正アクセス対策も欠かせないサイバーセキュリティ対策の一つです。本アンケートでは、社内ネットワークを構築している企業が352社、そのうち329社は社内ネットワークをインターネットに接続していると回答しています。

このような状況下では、社員それぞれの情報機器のみならず、外部からの不正アクセスを防止するようなネットワークのセキュリティ対策を講じることが重要と言えます。 本アンケートでは、社内ネットワークをインターネットに接続していると答えた企業のうち、サーバーにファイアウォールをインストールしたり、UTM機器の設置を行い、不正アクセス対策しているのは全体で51.1％という結果が出ています。

なお不正アクセス対策していない企業の割合は、使用する情報機器の数が少ないほど多くなる傾向にあります。このようなデータから情報機器を使用していない企業ほどサイバーセキュリティへの関心が薄いことが分かります。

中小企業のセキュリティ対策の事例

ここでは、実際に中小企業において実施しているセキュリティ対策の事例を業種別にいくつかご紹介します。

事例１．農業・林業

◆会社所在地：北海道
◆従業員：21～50名
◆対策：
・従業員の PC にデータを残さないための環境構築を実施
・日次でのデータバックアップの実施

北海道で林業を営んでいる企業では、従来からファイアウォールの設定やセキュリティ対策ソフトの導入をしていたものの、セキュリティパッチの適用等に関しては、十分な対策がとられていませんでした。

しかし、情報技術者の資格を有する従業員が入社したことをきっかけに、情報セキュリティ対策の強化を図ることに成功しています。 たとえば、従業員のPC内にデータを残さないようにするために、1台のPCを用意しファイルストレージとして活用する環境を構築しています。そのほか、万が一データが全損するリスクも考慮し、日次でデータのバックアップを取得し、有事の際でも早く復旧できる体制を整えています。

事例２．建設業

◆会社所在地：徳島県
◆従業員数：21～50名
◆対策：
・情報セキュリティ対策の導入では、業務効率化につなげることも意識して実施

徳島で工事やメンテナンス等を行う建設業の事例では、業務において多額の金額を扱うインターネットバンキングの利用機会が増えたことで、情報セキュリティ対策の強化を図っています。VPNの導入をはじめ、情報セキュリティ対策に必要な機能を備えたセキュリティゲートウェイ端末の導入、古いサーバの入れ替えを実施しました。

なおサーバの入れ替え時には、業務効率化につながることを意識し、従業員に貸与するタブレット端末を用いて出先で撮影した画像などの情報管理を実施。これには経営層の理解も得ることができたことで、投資金額は高額になったもののスムーズに導入決定を行うことに成功しています。

事例３．鉱業・採石業・砂利採取業

◆会社所在地：宮城県
◆従業員数：６～20名
◆対策 ：
・関連会社と連携して各種対策や有事の対応を実施
・セキュリティ意識向上を最大の課題としてとらえ従業員教育を実施

宮城県で鉱業・採石業・砂利採取業を営む企業では、関連会社との連携による各種対応の実施などの取り組みを行っています。有事の際の対応・報告に関しても、スピーディに関連会社へ報告し連携して対処する方針を掲げています。

対策については、Web サイトへのアクセス制限をはじめ、情報端末の持ち出し管理やデータのバックアップなどの基本的な対策を実施。そのほか関連会社からの支援も受けていることもあり、セキュリティ監視サービスの活用や、ぜい弱性診断ツールなどの活用といった高度な対策なども講じています。

中小企業のセキュリティ対策に使える補助金・助成金

最後に、中小企業がセキュリティ対策を講じる上で活用できる補助金や助成金情報をご紹介します。

IT導入補助金2022（セキュリティ対策推進枠）

IT導入補助金とは、おもに中小企業・個人事業主がITツール（主にソフトウェア）を導入する際に活用できる補助金ですが、2022年度において「セキュリティ対策推進枠」が設けられています。 中小企業・小規模事業者等がサイバー攻撃などのセキュリティリスクを回避するために導入したサービス費用の一部が補助されます。

なお、サービス利用料の補助対象は、独立行政法人情報処理推進機構が公表する「サイバーセキュリティお助け隊サービスリスト」に掲載のあるサービスのうち、IT導入支援事業者が提供し、かつ事務局に事前に登録済みのサービスを利用した場合に補助対象となります。 IT導入補助金2022のセキュリティ対策推進枠の概要は以下のとおりです。

項目	セキュリティ対策推進枠の助成内容
助成率	1/2以内
助成額	5万〜100万円
機能要件	独立行政法人情報処理推進機構が公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されているいずれかのサービス
補助対象	サービス利用料（最大2年分）
交付申請期間	7次締切分（※最終締切）：2023年2月16日（木）17:00（予定）

IT導入補助金2022の詳細については、公式サイトをご参照ください。
公式サイト： IT導入補助金2022について | IT導入補助金

サイバーセキュリティ対策促進助成金

東京都中小企業振興公社が実施する「サイバーセキュリティ対策促進助成金」は、中小企業・小規模企業者等が、サイバーセキュリティ対策を実施するために必要となる機材等の導入やクラウド利用に係る経費の一部を助成してくれる支援策です。 中小企業等が自社の企業秘密や個人情報等を保護する観点から構築されており、企業のセキュリティの向上がおもな目的とされています。

令和4年度の申請受付は2023年1月19日をもって終了いたしました。令和5年度の募集について、詳細は明かされていませんが、公式サイトのお知らせページに、国が提供する電子申請システム「Jグランツ」にて受付予定であることが公表されています。

助成金の詳細については、公式サイトをご参照ください。
公式サイト：令和4年度 サイバーセキュリティ対策促進助成金 申請案内 | 東京都中小企業振興公社

まとめ

今回は、中小企業における情報セキュリティ対策について詳しく解説しました。近年サイバー攻撃の高度化・巧妙化が進む中、機密情報や顧客データといった重要な情報を保持する中小企業において、情報セキュリティ対策は欠かせません。これから対策を検討している企業は、ご紹介した中小企業向けガイドラインや中小企業が活用できる補助金・助成金などを活用し、企業に合った必要な対策を講じていきましょう。

▼関連記事
情報セキュリティポリシーとは？基本方針の策定と雛形を解説！
内部不正の実態、5つの重大事例と7つの防止対策ポイント
医療業界の情報管理対策とは？医療情報システムのガイドラインを解説！
防衛省の新セキュリティー基準から見る中小企業のセキュリティ対策の始め方