中小企業の情報セキュリティ対策で必要なことは:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > 中小企業の情報セキュリティ対策で必要なこととは
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

岡田浩一 明治大学経営学部教授に聞く
中小企業の情報セキュリティ対策で必要なこととは

明治大学経営学部教授
岡田浩一
中小企業の情報セキュリティ対策で必要なこととは

物理的対策からステップアップ

―中小企業の多くは経営体力が弱く、景気の現状も踏まえれば、いきなり万全の対策というのは難しいと思います。知識に乏しい経営者も多い中で、どういった部分から具体的な対策を進めれば良いのでしょうか。

岡田氏 例えば、情報処理推進機構(IPA)が作成し、普及をはかっている「5分でできる自社診断シート」というチェックシートでは、物理的な対策から問いかけています。いきなり「情報資産管理」や「組織的対策」と言ってしまうと、わけがわからなくなってしまう恐れがあるからです。重要書類はロッカーに片づけ、鍵は特定の人だけが管理するようにしているか。見知らぬ人が入ってきたらしっかりと声を掛けるようにしているか。まずは物理的な対策をしようということなら、入りやすいと思います。

物理的な対策から着手すれば取り組みやすいと話す岡田氏
物理的な対策から着手すれば取り組みやすいと話す岡田氏
 次は情報管理です。会社の重要情報といっても例えば資本金や従業員数、場合によって売上高などは外部に知られてもいいものです。情報資産の仕分けができているかどうか、できていないなら分類し、適切な場所へ保管します。もちろんここでも、鍵やパスワードで管理し、それを持っているのは特定の人でなければなりません。また、万が一の自然災害で大事な情報が消滅したり、流出したりしてしまう恐れもありますから、バックアップもきちんとしなければなりません。それも地理的に離しておいたほうが良いということです。

 そこまでできたら今度は会社全体です。全社員に対策を指示し、組織的な対応に進んでもらいます。このように「物理」「情報」「組織」の3段階に分けて考えれば、対策を取りやすいと思います。

―ノートPCを片づけるといった物理的な対応からであれば、入りやすそうですね。

岡田氏 入口は簡単なのです。例えば紙の書類なら、机が整理されず重要書類が混在していても目で見てわかるかもしれませんが、データベース上で重要ファイルが混在していたら大変です。物理的対策がデータベース上の仕分けにつながるように意識を持ってもらおうということです。普段から練習していないと、本番に上手くいかないようなもので、普段を物理的対策ととらえれば、それがITに進んだ時に、意識が反映されてくるのです。

セキュリティ意識を広めるには

―そういった対策に取り組んでもらうためにも、意識を高めるにはどうすればいいのでしょうか。

岡田氏 IPAでは情報セキュリティセミナーを年に30ヶ所ほど開催しています。各地の商工団体なども協賛で、中小企業向けセミナーや勉強会を行っています。民間でもベンダーやソフトウェア会社、業界団体などが啓発に取り組んでいます。

 ただ、今までの実態をみると、まだまだ参加される方が少ないように思えますし、広くセキュリティ対策の意識が高まっていないように思えます。セミナーの回数を増やすことに加え、何より多くの方に参加してもらえるように、いろいろとアイデアを出している段階です。

 また、過日、NHKの番組でボットウイルス*3の特集が組まれた際、放送終了後からサイバークリーンセンター*4のホームページへ、視聴者からのアクセスが集中したということがありました。ホラー効果(適切な対策を取らせるために不安をあおること)が良いかどうかはわかりませんが、30分の番組で意識を高めたといえます。これはとても良かったのですが、意識はすぐに下がってしまうので、定期的な注意喚起をメディア側からも行ってほしいと思います。

 情報セキュリティは今日最善を尽くしても、明日は最善ではなくなってしまう、本来は「1か、ゼロか」の世界です。この意識を常に持つことが必要なのです。

―政府や地方自治体に期待することはありますか。

岡田氏 政府はITの普及を重要な国家戦略に位置付け、情報セキュリティ対策の普及にも力を入れています。例えば、電子政府や電子自治体といわれる形でIT化を進めていますし、企業社会のIT化推進やセキュリティ対策に国や地方自治体もそれぞれ力を注いでいます。

地方自治体にも啓発の努力を求める岡田氏
地方自治体にも啓発の努力を求める岡田氏
 しかしながら、情報セキュリティ対策への取り組みに関して、地域による温度差があると思います。一概には言えませんが、地方ほどセキュリティ対策への意識が薄いような印象があります。それぞれの自治体では、地元の商工団体などと連携して情報セキュリティ対策のセミナーを共催するなど、いろいろな取り組みをされていると思いますが、もっと自治体が表に出ても良いのではないでしょうか。
 例えば、IPAが自治体の中で情報セキュリティ対策に指導的役割を果たせる人材を育成するセミナーを行っていますが、こうした活動で、人材育成が進めば、自治体が情報セキュリティ対策に向けて、さらに力を発揮できるようになると思います。担当者に情報セキュリティ対策を分かりやすく伝え、それを伝播できる人材を育てることで、自治体が中心になってセキュリティ向上をはかっていく道が広がると思います。ぜひ頑張ってもらいたいですね。


※このインタビューとセキュリティプラットフォームは一切関係ありません。



注釈

*1:IT経営力指標
IT 経営力の高さをITツールの活用状況に応じて4段階のステージで判定する指標。経済産業省が2006年に提唱した。

*2:コーポレートレピュテーション(Corporate Reputation)
会社の経営者や従業員が過去に行ってきたことの結果を基に、顧客や取引先、株主、マスコミなど様々なステークホルダー(企業活動にからむ利害関係者)が抱く企業イメージの集積。直訳すれば「会社の評判」。

*3:ボットウイルス
PCを悪用することを目的に作られた悪性プログラムで、感染するとインターネットを通じて悪意を持った攻撃者が外部から遠隔操作し、感染したPCから迷惑メールの大量送信、特定サイトへの攻撃といった迷惑行為を行ったり、PC内の情報を盗み出す「スパイ活動」などで深刻な被害を与えたりする。PCが外部から操られる動作がロボット(Robot)に似ていることから、ボット(BOT)ウイルスと呼ばれる。

*4:サイバークリーンセンター(CCC)
ボットウイルスの特徴を解析し、PCから駆除するための情報提供を行うプロジェクト。総務省や経済産業省が2006年12月に共同で立ち上げ、プロバイダやベンダーと連携して活動を行っている。



【岡田 浩一(おかだ こういち)氏 プロフィール】

【現職】
明治大学経営学部教授

【略歴】
1981年 新潟県立三条高等学校卒業
1982~1986年 明治大学経営学部
1986~1991年 明治大学大学院経営学研究科博士課程
1991年~ 明治大学経営学部専任助手、専任講師、助教授を経て、2001年より教授
2001~2003年 ロンドン大学ロイヤルホロウェイ校 客員研究員
2006年~ 日本中小企業学会理事、経済産業省「IT経営百選」審査委員
2007年~ 経済産業省「中小企業IT経営力大賞」選考作業部会長
2008年~ IPA「中小企業の情報セキュリティ対策に関する研究会」委員WG3主査

【主な研究分野】
中小企業論、中小企業経営論

(掲載日:2009年9月4日)

Back


お問い合わせ

  コラムトップページへ▲