小規模企業のセキュリティ対策は、できることが限られています。それは予算の面で対策が限定的になるためだと一般的に認識されていますが、当社が普段、小規模企業の経営者や各責任者と接する中で、小規模企業のセキュリティ対策については、一定の法則があることに気付きました。

それは、中堅・大企業の経営者や責任者(実際に大企業の責任者や経営者に話を聞いた訳ではありませんが)と比較して小規模企業の責任者は、情報セキュリティに対する意識そのものが低いということです。

これは、予算を確保できるできないの問題ではありません。

そもそもの意識面において圧倒的な差があるということです。

知識や背景については、コストをかけずに吸収することは可能です。セキュリティ対策に対する意識を高めることにコストは関係ありません。

例えば、よくあるセリフとして、

「うちの会社には漏洩して困るようなデータや情報はない」

このような言葉は、何度も耳にしました。

このような発言が出ること自体、個人情報の扱いに対する意識が極端に低いと言わざるを得ません。

真っ先に守らなければならないのは、従業員の個人情報であり、取引先の情報(メールアドレスや携帯電話番号)になります。

最近では、様々な感染経路を通じてBotウイルスが組織のネットワーク内の端末への侵入を試みています。Botが組織ネットワーク内にある端末に入ると、一定期間、息を潜ませるように潜伏しネットワーク内にある別の端末に感染していきます。

Botウイルスが潜んでいる端末は、外部の命令者(C&Cサーバ)の司令によって活動を開始するのです。Botウイルスは単独では何の意味も持ちませんし脅威もありません。司令によって活動を開始します。

例えば、キーボードの入力履歴の記録によって、ログイン情報を不正に入手したり、メールの設定情報を入手したり、連絡先を入手することもでいます。さらに、社内ネットワークから取引先や知り合いに向かって攻撃を仕掛けることもできます。これがいわゆる「踏み台攻撃」というものです。

自身の端末から送られているとはいえ、このような「踏み台攻撃」に使われている時点で、既に端末のデータは乗っ取られているのと同然です。

ここで重要なのは、現在の状態を把握することだと私は考えています。

小規模企業(中小企業)にといて重要なことは、このようにウイルスの感染状況や活動状況、ネットワーク内の端末の状況が「把握できる環境下にある」ことになります。

アンチウイルスソフトの導入やUTMを設置する。このような最低限のウイルス対策を実施することでウイルスの活動を検知することができ、その後の対策を検討することができます。

一方で現実的な話をすると、小規模(中小)企業が、全てのサイバー攻撃をブロックするような対策を取ることは不可能です。もちろん常時監視するような仕組みもできません。

私は小規模企業(中小企業)におけるセキュリティ対策は、ウイルスの侵入や活動を検知することが、必要条件だと考えています。全ての攻撃をブロックし監視するような十分な対策はできませんが、ウイルスの侵入やBot通信などの挙動を検知することで、その後の対策を実施することが小規模(中小)企業の十分な対策と言えるでしょう。