皆様初めまして澄川工作所の齋藤です。高性能林業機械を扱っており北海道で林業関係者と仕事をしています。以前IIJで情報セキュリティの業務に従事しており、その時の経験と今まさに取引先である北海道の中小企業から見聞きする事実から中小企業経営者に向けて情報セキュリティの必要性を伝えたいと思います。

企業の経営者にとって一番重要なのは事業継続です。特に中小企業の場合、日々の売り上げや回収が資金繰りに直結しやすいため、経営者は情報セキュリティまで手がまわりません。かといって情報セキュリティ専任の人員を雇用するほどの余裕はなく、総務や経理担当者が片手間で行っているのが現状です。

しかし、昨今の情報化社会において情報セキュリティは事業継続の重要な要素となります。以下の4つの視点から中小企業の経営者は情報セキュリティを理解している必要があると私は考えます。

お客様や取引先を守る

会社のWebサイトが改ざんされて、それを見たお客様のPCがウィルス感染したらどうでしょう？自社のPCが遠隔操作され取引先へスパムメールが送信されたらどうでしょう？自社の信用が失墜するだけでなく関係者へも多大な迷惑がかかります。外部とのやり取りはどんなシステムがあり、どんなリスクがあるのかを把握する必要があります。

従業員を守る

従業員がフィッシング詐欺やワンクリック詐欺にひっかかり、生産性が下がることはないでしょうか？「従業員個人の問題」とは言っても、中小企業の場合は家族同様に相談に乗らなければならないこともあります。また個人のPCを会社の業務に使っていたり会社のデータを家のPCで使用していたりする事も多々あります。社外でのリスクを低減するためにも従業員には経営者が率先して情報セキュリティについて教育する必要があります。

経営情報を守る

「うちには重要な情報なんてない」と言う経営者がいますが、例えば会計ソフトを使用して経営データは管理していないのでしょうか？またファクタリングなどで銀行口座をPCから使用することはないでしょうか？ 不正に口座情報を操作され運転資金が無くなってしまえば企業は倒産します。口座情報を管理するPCの面倒まで銀行は見てくれません。経営者自身が経営情報を把握しPCのセキュリティを適切に管理する必要があります。

社内システムを守る

工場の生産ラインや運送の管理などをPCで行っている場合は当然それらを守るために情報セキュリティを理解する必要はあります。それ以上に危険なのが開発ベンダーに丸投げしている場合です。ベンダーが倒産してしまった場合、システムの管理情報へアクセスできますか？パスワードがわからない、またはパスワードすらかかっていなかった、などのリスクを無くすためにもベンダーの仕様書を理解できるレベルの情報セキュリティの知識は必要です。

情報セキュリティで守るのは個人情報だけではありません。企業活動においては様々な情報を扱うためまとめるのは大変です。まずはJNSA西日本支部が作成した出社してから退社するまで中小企業の情報セキュリティ対策実践手引き( http://www.jnsa.org/result/2013/chusho_sec/index.html)等を参考に情報を整理してみてはいかがでしょうか。

 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。