中小企業のセキュリティ対策の重要性
ふて寝するほど話したい。この番組は、システム開発25年の株式会社プラムザが、赤坂より開発現場の今と本音をざっくばらんに話していこうという番組になります。進行は私、鴨志田と、
代表の島田と、
賑やかし役、辰巳です。お願いします。
よろしくお願いします。
さて今回のタイトルなんですが、中小企業のセキュリティ対策はどうあるべきかということで、いつもより勉強会に近いと言いますか、真面目な話になるのかなと思っておりますが、
これやりましょうと言ってくださった島田さん、今回はセキュリティ対策のことをやっていくという感じになるんですかね。
そうですね。うちの会社は一応システム開発をやってるんですけども、どこの会社もセキュリティ対策っていうのは多少なりともやってると思うんですよね。
システム作るときにもですね、やっぱりその辺はよく考えて作っていく必要がありますので、割と比較的うちの会社はそういうところによく接することがあるので、一回これ勉強会みたいにしてお話ししてみようかなと思いまして。
ありがとうございます。セキュリティ対策というと、結構やろうと思うと制限がないみたいなことを聞いたことがある中で、例えば前島田さんがおっしゃっていたのは地震とか。
戦争とか。そういったことまで考えるともう本当にキリがないから、程よいところにしないといけないという中で、やっぱりはっきりと見えないものに対してどこまでお金や時間をかけるのかっていうところとか、
中小企業さんであればそこらへん特に制限があるのかなっていうふうには思っていたりもするんですが、クライアントさんも正直そこまでお金や時間をかけたくないっていうのがやっぱり多いっていうところになるんでしょうか。
そうですね。やっぱり基本的には会社の方としてはお金が儲かる方法であって売上を伸ばしたいと、それからコストをなるべく下げていきたいというふうに思っていると思うんですけど、
セキュリティとかで考えると逆行するんですよね。いわゆるトレードオフの関係にあるってやつなんですけど、システムなんかだとセキュリティ考えると使い勝手、利便性とかは失われていきますし、
体制とかも結構しっかり考えなきゃいけなかったり、マニュアルとかをしっかりすると柔軟性が損なわれてするんで、その辺がすごく経営者としては嫌なところだと思うんですよね。
極論あれですよね。セキュリティを最大限に重視したいんだったら、紙とペンと金庫さえあればいいじゃないですか。
紙も持てるんだけどね。
本当に。だから、一個人の脳みその中に留めておけばいいんじゃないかっていうぐらい。
一番いいのは何もしないっていうのが一番いいんですよね。新しいことは何もしない。情報も集めないし。それほど堅いものがないんでね。
何かやろうとして、別の商売やろうとして、ECサイト作ったりですね。
お客さんの情報を集めて何かやろうと。マーケティングやろうとかって思うから、すごいリスクが生まれていくんですよね。
本当に何もしないのが一番いいんだけど、そういうわけにはいかないんでね。セキュリティを考えていかなきゃいけないという感じですね。
法律と規制の理解
ある種のガイドラインと言いますか、大手さんとかであれば結構ニュースになったり目立つものっていうものは目につくんですけど、
やっぱり中小企業さんとかでもやってないと、本当に全くやってないと、そういったリスクとか事件って結構あるものなんですか?
それめちゃめちゃあると思うんですよ。中小企業だとニュースに出してもページビューが増えないから大手を取り上げがちですけど、
例えばセキュリティインシデントの報告をまとめたサイトみたいなところだと、日常茶飯事としてハッキングに遭いましたよとか、
ウイルス仕込まれて個人情報流出しましたよとか、USBを落としちゃいましたよみたいなことは結構よく起こっていると思います。
島田さんも先ほど、とはいえ何もやらないわけにもいかないというふうにおっしゃっていましたが、何かしらはやはりしていかないということなんですが、
これって法律の規制とかって今決まっていたりとかするんですか?
法律がちゃんとありまして、小さい会社だといいんじゃないかみたいな経営者の方が、
うちは小さい会社だからそういう法律には関係ないんじゃないかって思っている社長さんとかもいるかもしれないですけど、
基本的に個人情報の保護法はどんな会社でも一人の会社でも対象になりますので、
うちの会社は小さいから大丈夫とかいうことはなくて、必ず守らなきゃいけない刑事罰もあるような法律がありますね。
刑事罰もあるんですね。会社に対する刑事罰になるんですか?
そうですね。経営者に対して刑事罰がありますね。罰金とか。
明らかに犯罪的な行為であれば個人にもかかるけれども、
セキュリティ対策をしっかりしていないと、個人の代表者さんにもかかってくるという感じなんですか?
そうですね。上場企業だったら定期的に監査が入って業務の棚下ろしとかすると思うんですけど、
セキュリティ周りにもすごいガイドラインがあって、そこを問われるっていうのは全然よくあるので、
中小企業もそこまでではないけれども、それに近いというかできるところからやっていくっていうのは重要なんじゃないかなと思うんですね。
IPAガイドラインの活用
正直あまりトレードオフといいますか、費用をかけたくないというところになると思うんですけども、
これはそれこそある程度ネットとかで調べて何とかかんとかやってる会社さんも多いんですかね?
社長さんが一生懸命調べて自己流で出るところってあると思うんですよね。
ただ皆さんパスワードを予測しがたいやつに変えてとか言ったりするんですけど、
12345とかダメだよとか、qwertyみたいなやつはダメですよみたいなことを言うんですけど、
そういうレベルじゃなくて、ちゃんとやろうと思うとどこまでやればいいのかっていうのはみんな曖昧だったりするんですよね。
なのでやっぱり権威のあるところから出しているような、そういう資料に従ってやるっていうのが一番安全だし、
対外的にもね、うちはこれに基づいてやってるんで文句ないでしょって言いやすいんで、
そういう意味ではですね、権威に頼るっていうのはこういうところがあるときにはいいかもしれないですよ。
なるほど、それを頼るべき対象と言いますか、サイトとか情報っていうものはどういったものがあるんですか?
そうですね、一番有名なところはこのIPAっていうところが出しているですね、
中小企業の情報セキュリティ対策ガイドラインっていうのがあるんですよね。
今日の一番のテーマはそこなんですけど、IPAっていうのはビールじゃなくてですね、
独立行政法人情報処理推進機構って覚えられないんで今読んだんですけど、
それが出しているガイドラインですね。これが一番有名で、これに沿ってやっておくとですね、
ちゃんとやってるねっていうことになるんで、さっき言った刑事罰みたいなのっていうのはね、
それに則ってやっている限りはですね、免責されるんじゃないかなと思いますね。
それを乗り越えてですね、情報漏洩されるっていうことは相当悪意があった。
人にやられちゃったなってことで、一応会社としてはしっかりやったんだなっていう意味では、
このガイドラインに乗っておくっていうのは非常にいいと思いますね。
インディアンペールエールではない。
そう、それじゃない。
独立行政法人情報処理推進機構セキュリティセンター、今丸々読みましたが、
今調べたんですけど、これPDFでガイドラインが落とせるんですね、これ。
そうなんですよ。
これを誰でも見れるので、よくこういう資料って、
会員登録してるとかの名前とメールアドレスを入れたら落とせるとか、
そういうのがよくあるんですけど、これは完全に無償で何の会員登録もなく落とせるので、
誰でも見えますよね。
いいですね。独立行政法人はあくまでもやっぱり公共機関なんで、
リスト取りにこれ使ってたらちょっと嫌ですね。
確かに何かあった際にこれに乗っ取ってますっていうある人を頼れるところとしては、
うまく活用していきたいところですね、このIPAのガイドライン。
そうですね。企業のですね、うちもPマークって取ってるんですけど、
Pマークとですね、資格を取ろうと思ったらPマーク、認証資格ですね、
取ろうと思ったらPマークっていうパターンとISMSっていうパターンと、
そんなのがあるんですけど、それを取得するのってすごい大変なんですよね。
基本的にはですね、PマークだったらPマークの要件っていうのがちゃんと決まっていて、
IPAガイドラインの重要性
そのルールをね、運用ルール作って、体制作って、ちゃんと監査のですね、
仕組みも作ったりして、全部揃わないとPマークとか取れないんですよね。
だけどこのガイドラインの方がですね、とりあえず全く何もないところからですね、
少しずつでも始めていきましょうみたいな、そういうスタンスなので、
非常に取っつきやすいんですよ。
今ちょっとパーッと読んでみてるんですけど、確かにネットとかに詳しくない人でも
読みやすいような形に書いてあると思うんですけど、結構分量はありますね。
そうですね。
60ページありますね。
ただですね、後半は非常に細かい話だったり、業界別にですね、
ECサイトをやってる方はこれが当てはまるみたいなやつとかですね、
業界ごとに分かれてするんで、自分の会社に関係ないっていうところも結構あったりするので、
そこは全然読み飛ばしていいようなものですね。
このIPAガイドラインの中身については結構追うのも大変だと思いますので、
来週ですね、次回に主に島田さんに要約していただきながら、
大事なところをかいつまんでお伝えしていければというふうに思っておりますので、
ぜひ来週も次回もお聞きいただけると大変嬉しいですというところなんですが、
おそらくこのガイドラインに沿っていけば結構しっかりした
セキュリティ対策ということができていくと思うんですけども、
具体的なセキュリティ対策
今すぐ何か対策したいっていうことがあった場合、
例えばどんなことができたりするんですかね。
辰巳さんをお伺いしてもよろしいですか。
さっきのパスワードの話の以外で言うと、
例えばですけど、パソコンにアンチウイルスソフト、
NOTEとか、ウイルスバスターとか、マカフィーとかありますけど、
そこら辺をまずちょっとお金かかるプランもあると思うんですけど、
それを入れていただいたりだとか、あるいはですね、
ちょっと専門的な話で言うとソーシャルハッキングって言って、
例えばカフェとか電車とか、人がたくさんいる場所で
パソコンの画面を開いたりするとですね、
重要な情報を映している状態ですと、
他の人に見られてしまったら結構それ危ないですよね。
例えばそれこそパスワードの情報だったりだとか、
個人情報を取り扱っていて、それを悪意のある人が写真で
パシャリでも撮ってしまったらアウトなんで、
そういった部分は気をつけるために、まずそういった場所では開かない。
開くのであれば、自分の真後ろに立ったとき以外に
人に見られないように保護シートを画面につけるなどですね、
そういったとこからまず始めていただくというのは重要かもしれないですね。
なるほど。確かにイメージはつくんですけど、
それが本当に事件とかってあったりするもんなんですか?
それでいうと、まさに過去お付き合いがあった会社さんのシステムで起こりまして、
プライベートの教育機関の会社さんで教室を全国に持ってますと、
その中の教室の一つがですね、生徒さんが先生の作業を
パソコンでこう作業してるのを後ろから見てました。
ログインのパスワードも見えてしまって、
先生がいない間に、いわゆるソーシャルハッキングですけど、
それこそ勝手にログインしてデータ書き換えて、
確か名前かどっかに先生の名前プラスハッキングしたって書いて保存して、
翌日先生が教室に来て見てみたら、あれこれどうなってるのみたいな。
ちゃんとIPアドレスをたどったら、そういった形成にも確認できて、
本当にウイルスとか変なアタックとかだったらやばいなと思ったんですけど、
そういったいたずら、子供のいたずらで済んだけれども、
いわゆるヒヤリハットだよねっていうようなことはありましたね。
確かにそういう具体的に身近にあったことを聞くと、
さすがにちゃんとしていかないとなっていうのが改めて気が引き締まると言いますか。
それは完全に子供のいたずらだからまだよかったんですけどね。
それが同じことが本当に犯罪者がやった場合はですね、
えらいゆすりとか受けるかもしれないですしね。
そうですね。
危ないですよね。
やっぱりこうセキュリティ対策が必要ということで、
次回このIPA対策ガイドラインを一緒に読み進めたり、
要約お伝えしていけたらなというふうに思っておりますので、
よろしくお願いします。
よろしくお願いします。
今回のこのIPA独立行政法人情報処理推進機構セキュリティセンターのガイドラインについては、
URLをわかりやすいところに貼っておきますので、
ぜひご活用いただければと思います。
本日はいかがでしたでしょうか。
楽しんでいただけましたらフォローや評価をお願いします。
また、Xでも最新情報を随時発信していますので、よろしくお願いします。
システム開発に関するご相談がございましたら、
公式ホームページからお気軽にお問い合わせください。
それではまた次回お会いしましょう。
ありがとうございました。
ありがとうございました。
