【中小企業向け】いまサプライチェーンに求められるセキュリティ対策とは | akeruto_ はたらく未来のカギになる

Akeruto はたらく未来のカギになる

MANAGEMENT

【中小企業向け】いまサプライチェーンに求められるセキュリティ対策とは

2020.07.10

新型コロナウイルス感染症(COVID-19)の感染対策として「新しい生活様式」に沿った企業活動が推奨される今、オフィスの移転を検討している企業も増えていますが、移転は一方で、自社のセキュリティ体制を見直すチャンスでもあります。

昨今、国内外でセキュリティ管理の甘い中小企業を狙ったサイバー攻撃が増加しており、対策を実施しなければ、事業にも大きな影響を与える可能性があります。

 

今回は、中小企業にセキュリティ対策が求められている背景や具体的な対策、そしてその効果を解説します。

なぜ、中小企業のセキュリティ強化が必要なのか

いまサプライチェーンに求められるセキュリティ対策を紹介しています。
近年、サプライチェーンのセキュリティ対策不足を突いたサイバー攻撃が増加しており、大企業の委託先である中小企業から情報が漏えいするリスクが高まっています。

 

経済産業省所管の独立行政法人「IPA」が毎年発表している「情報セキュリティ10大脅威(組織編)」の2020年版では、「サプライチェーンの弱点を悪用した攻撃の高まり」が2019年に続き4位にランクインしました。

 

多くの大企業は相応のセキュリティ対策を実施済みで、サイバー攻撃の直接のターゲットとなりにくいと言えます。

一方、原材料や部品の調達、製造、販売などのサプライチェーン(供給網)にある中小零細企業の多くは、専門知識やリソースの不足などが理由でセキュリティ対策が不十分であることがあります。

 

セキュリティ対策が甘く、管理が行き届いていない中小企業への攻撃を足がかりに、サプライチェーンの内部から大企業の保持する情報を窃取するケースが増加しています。

このため、大手企業は取引先や関連企業を含むサプライチェーンにも適切なセキュリティ管理を要求するようになり、各中小企業も早急な対応が必要となっています。

中小企業のセキュリティ強化の際に必要な対策

サイバー攻撃による情報漏えいを未然に防ぐため、移転の際に見直さなければならないのがオフィスセキュリティの両輪となる「物理セキュリティ」と「情報セキュリティ」の対策です。

セキュリティを万全にするためには、この2つの対策が相互補完的に実施されている必要があります。

 

ここでは、主に物理セキュリティと情報セキュリティの対策の内容について紹介します。

中小企業に求められるセキュリティ①:物理セキュリティ対策のポイント

物理セキュリティとして、重要なエリアや特定のエリアに関係者以外が勝手に立ち入ることができないようにしたり、重要な書類などを持ち出されないように鍵をかけた金庫や部屋などに保管することなどが挙げられます。

 

物理セキュリティ対策の1つの有効な手段として推奨できるのが、入退室管理システムの導入です。
入退室管理システムとは、出入りを制限したいエリアの扉に機器を設置し、入退室した人のID情報や時刻をリアルタイムで管理、記録することができるものです。

 

権限がない人の入室を制御できるほか、権限を持った人でも誰が・いつ・どこにいたのかを正確に把握することで、機密漏えいのリスクを未然に減らす効果が見込めるだけでなく、漏えい事案が発生した際に「誰が出入りしたか」の特定にも役立ちます。

中小企業に求められるセキュリティ②:情報セキュリティ対策のポイント

情報セキュリティとは、情報の「機密性」、「完全性」、「可用性」の3つを確保することです。

 

この情報セキュリティのための対策とは、コンピューターやネットワーク全体での情報漏えい、ウイルスによるデータ破損、あるいはサービス利用の停止などを防ぐために必要なことを指します。

1つずつ見ていきましょう。

情報の「機密性」の確保

1つ目の「機密性」の保持には、権限を持つ人だけが社内の情報にアクセスできるような措置が必要です。

管理者がユーザーの権限を制限する、ファイルにパスワードをかけ関係者以外の閲覧を禁止する、といった管理を行います。

「機密性」保持の具体的対策は、「社内でのIDやパスワード管理の徹底」や「適切なアクセス権限管理」などです。

情報の「完全性」の確保

2つ目の「完全性」の保持には、システム上の情報の内容が正しい状態であることが必要です。

自社Webサイトへの外部からの情報改ざんがあったり、顧客情報が一定期間更新されていない場合などは、情報の「完全性」が失われており、役に立たない情報になってしまっていたり、間違った情報となってしまいます。

「完全性」の保持の具体的対策は、「悪意のあるアクセスを防ぐことで、データの改ざんなどを防ぐ方策」や「バックアップシステムの用意」などです。

情報の「可用性」の確保

3つ目の「可用性」は、必要な人が必要な時に情報を使える状態であることを指します。

必要な時にすぐ情報を使えるよう、データのバックアップが適正になされた状態を保つ管理が必要となります。

「可用性」の保持の具体的対策は、「テレワーク勤務者が社内ネットワークと即接続できるようあらかじめ整備しておく」や「災害でシステムがダウンしたときに備えて復旧前でも利用が継続できるようシステムを二重化しておく」などです。

物理・情報セキュリティを強化し、新たなビジネスチャンスをつかむ

サプライチェーンのセキュリティ強化が喫緊で求められる今、中小企業は早急に適切なセキュリティ対策を取る必要があります。

特に、物理セキュリティ対策と情報セキュリティ対策と合わせることで、大幅にオフィスセキュリティの質を向上させることができるでしょう。

 

物理・情報セキュリティの両面について遜色ない企業だとアピールできれば、情報漏えいリスクを減らしたい大企業との取り引きの幅が広がる可能があります。

新たなビジネスチャンスをつかむための投資と捉え、移転に伴うオフィスのセキュリティ対策を実施しましょう。

関連記事