IT化が高度に進展したことで利便性は向上しましたが、同時に情報漏洩のリスクが出てきたことも事実でしょう。セキュリティ対策は費用がかかりますが、リスクを抑えるための投資と考え、積極的に行うべきです。今回はセキュリティ対策ごとの費用を紹介します。
↓PCトラブルなど社内IT環境にお困りなら↓
セキュリティ対策不足が原因の情報漏洩が多発
2021年に上場企業および子会社における個人情報の漏洩事故の件数は137件にものぼり、2012年以降の調査で最多を記録しました。
2021年に起きた大規模な事故には、ネットマーケティングの事例が挙げられます。同社が運営する婚活・恋活マッチングアプリのサーバーが不正アクセスを受け、顧客情報が流出したそうです。
運転免許証や健康保険証の画像データを含む、重要な個人情報が外部に漏れた可能性があり、大きな問題となりました。
攻撃者は年齢確認書類の画像データへアクセスする情報を不正取得し、リクエストを大量に生成することで不正アクセスを成功させたと考えられています。
デジタル機器の活用により業務の効率化が進む一方、今まで見過ごされがちだったセキュリティリスクが顕在化するケースが目立っています。
近年はクラウドサービスの利用機会が増え、保護する情報が外部に存在する場合も珍しくありません。情報漏洩の可能性が高まる中で登場した考え方が「ゼロトラスト」です。
ゼロトラストは直訳で「何も信頼しない」を意味し、全ての通信を信頼しないことを前提にさまざまな対策を講じることをさします。
↓PCトラブルなど社内IT環境にお困りなら↓
考えられる情報漏洩リスク
情報漏洩の発生によって多大なる金銭的な被害を受け、事業存続の危機に陥ることは考えられます。中小企業だからといって、悪質なマルウェアやハッカー集団に狙われないとは限りません。
起こりうるリスクを網羅的に把握し、それぞれの対処法を押さえておくことが重要です。ここでは、考えられる情報漏洩リスクを4つ紹介します。
端末や記録媒体の紛失によるデータ流出
USBメモリをはじめ小さくて持ち運びしやすい記録媒体は、特に盗難や紛失の危険が高いです。紛失や盗難による情報流出を防ぐための有効な対策は次の3つが挙げられます。
- 外部に持ち出す端末や記録媒体は組織や企業が管理するものに制限する
- パスワード設定に加え、生体認証やリモートロックサービスへの登録も合わせて行う
- 外部に持ち出す端末や記録媒体には重要データを入れない。またこまめにデータを削除する
パソコンの場合、BIOSの設定によってUSB端子を使用不可にする、CD・DVDドライブを取り除いて外部記録媒体との接続を不可能にするなどの方法も有効です。
サイバー攻撃やウイルスへの感染
従来型のコンピュータウイルスを使ってシステムを破壊するサイバー攻撃にとどまらず、近年はその手法が複雑化しています。例えば標的型メールを用いた特定の組織に対する諜報活動や、クレジットカードやインターネットバンキングの不正利用などです。
技術が進歩し攻撃の足跡が残らないようになったため、発信源を特定できずに被害者が泣き寝入りするケースも見受けられます。
外部からの攻撃を防ぐには、ウイルス対策ソフトの導入や通信の暗号化、不正アクセスをシャットアウトするツールの導入などを検討しましょう。
人為的なミス
情報漏洩は悪意によらない人為的なミスが原因で起きる場合もあります。人為的ミスによる情報漏洩の代表例はメールの誤送信です。宛先や添付ファイルを誤ってしまったため、機密情報や個人情報が外部に漏れる事例がいくつも見受けられます。
人為的なミスが発生する可能性は完全にゼロにはできませんが、会社が対策を施すことでリスクを低下させられます。
ケアレスミスの直接的な要因は、業務に対する集中力の低下です。そして、集中力の低下を引き起こす大きな原因となるのが長時間労働です。仕事の効率性を重視し長時間労働を是正する働き方改革の普及は、セキュリティ対策上も重要だといえます。
不正アクセスによるWEBページの改ざん
そのほか、ウイルスによる攻撃の一種で、インターネットを通じて組織や企業のサーバーやシステムに侵入した攻撃者が、WEBページを勝手に書き換えたり、ファイルを削除したりしてしまうものもあります。
また、ファイルやリンクの内容を不正に変更し、アクセスした利用者をウイルスに感染させる場合も。運営のWEBページが改ざんの被害を受けると、たとえ顧客情報や機密情報の漏洩がないとしても、企業に対する信頼が失墜する可能性が高いです。
↓PCトラブルなど社内IT環境にお困りなら↓
基本的なセキュリティ対策と費用
法人なら無償よりセキュリティ対策機能が厚い、有償のウイルス対策ソフトやクラウドストレージの導入を検討すべきでしょう。
またできるだけコストをかけずにセキュリティ対策を施したいなら、UTM(統合脅威管理)の活用をおすすめします。ここでは中小企業が最低限行うべき基本的なセキュリティ対策とその費用を紹介します。
ウイルス対策ソフトの導入
ウイルス対策ソフトの導入に要する費用は、1台当たり概ね3,000円〜5,000円程度(年間)です。インストールの必要がある端末は何台か、何年単位で契約を行うべきなのか、計画を定めた上で導入コストの総額を把握しましょう。
ソフトを選ぶに当たって価格は重要な要素ですが、既存の脅威に対する対策性能や動作の軽さ、新たな脅威に対する修正の迅速性なども考慮できるとよいでしょう。
日々出現する新たなウイルスに対して、いち早く解析を終え、有効な対策を構築できるかという部分は重要性が高いです。
クラウドストレージの導入
インターネットに接続しない形でクラウドストレージを運用すれば、サイバー攻撃の被害を受けるリスクを防げます。低価格の商品ならユーザー当たり、月額1,000円未満で使用可能です。
オンラインストレージを扱う場合は多要素認証の設定が可能か、確認することが大切でしょう。二段階認証が可能なら、万一パスワードやIDが外部に漏れたとしても、不正アクセスの脅威から逃れられます。
もう一つ重要なポイントがバックアップ体制です。サービスの不具合が原因でデータが消失しても業務に支障を生じさせないために、バックアップ体制の措置が取られているか確認しましょう。
UTM(統合脅威管理)の活用
ファイアウォールやアンチウイルス、アンチスパムなどさまざまな情報漏洩対策機能を統合したUTM。UTMの価格は接続可能なPC台数によって変動し、小規模オフィス(10台〜30台)の場合は15万円〜20万円程度で購入可能です。
ファイアウォールとUTMの違いは、出口対策に対応しているかという点だといえます。出口対策とは不正侵入したウイルスによる外部感染を防ぐものです。
感染を防ぐにとどまらず、感染後の被害拡大にも寄与するUTMは費用対効果に優れた対策だといえるでしょう。
↓PCトラブルなど社内IT環境にお困りなら↓
WEBサイトに特化したセキュリティ対策と費用
今は中小企業でもWEBサイトを構築し、人材採用や広告宣伝を行うのが一般的です。マルウェアをはじめ、外部からの脅威を除去するにはWEBサイトを守るための特化した対策が必要です。
ここでは使用ソフトウェアのアップデート、WEBサイト改ざん防止ツールの導入、脆弱性診断の実施という3つの対策とその費用を紹介します。
使用ソフトウェアのアップデート
ウイルスによる攻撃は使用しているソフトの種類で対象を判別し、条件に適合する環境のサイトに対して無差別に影響を及ぼします。
使用するソフトウェアの種類にもよりますが、アップデートは無料で行える場合が多いです。セキュリティアップデートが出たら確実に更新することが重要です。
セキュリティアップデートが出されたのは、脆弱性が発見されたため。作られた時点で完璧なソフトウェアは存在しないので、新たな脅威を防ぐには修正の対応が必要です。
WEBサイト改ざん防止ツールの導入
サイト構成を記憶し、変化があった時に検知して教えてくれるのがWEBサイト改ざん防止ツールです。
WEBサイト改ざん防止ツールの導入費用は、チェックするページ数に応じて金額が変わります。50ページの場合は月額2,000円、100ページでは6,000円〜9,000円、250ページでは1万5,000円〜20,000円が相場です。
商品選びの際は、商品の利用形態(ソフトウェア型orクラウドサービス型)にも着目しましょう。
脆弱性診断の実施
脆弱性診断の費用はリクエスト数を根拠に、「1リクエスト当たりの単価×リクエスト数」で算出する場合が多いです。1リクエスト当たりの相場は数万円程度を想定してもらうとよいでしょう。
脆弱性診断の方法は「ツール診断」と「手動診断」の2つに分かれています。ツール診断は一度に大量の項目をチェックできるので費用対効果が優れている傾向があります。一方、手動診断は時間と手間がかかりますが、高い調査精度を期待できるところがメリットです。
↓PCトラブルなど社内IT環境にお困りなら↓
セキュリティ対策はコストではなく投資
原料の仕入れや広告宣伝費などに費用を投じたいという理由から、セキュリティ対策に要するコストを節約したいと考える人はいるかもしれません。
しかし、IT化が高度に進展した昨今、セキュリティ対策を軽視するのは危険です。費用ではなく投資だと捉え、積極的にリソースを投じる必要があります。ここではセキュリティ対策の重要性や対策上のポイントを紹介します。
セキュリティ漏洩による被害は甚大
企業にとって情報はヒトやモノ、カネと並ぶ重要な経営資源の一つです。個人情報や機密情報が漏洩すれば、営業活動の中断、クレームの頻発、ブランドイメージ失墜など大打撃を受ける可能性があります。
被害者から損害賠償請求を提起される危険もあり、経済的損失の程度は計り知れません。被害を防ぐための消極的なコストと捉えるとどうしても削減の方向に意識が向いてしまうので、将来の利益を守る「攻めの投資」と考えることをおすすめします。
まずはセキュリティ対策の担当者決めから
セキュリティ対策を行う上ではじめに検討すべきことは、運営責任者の決定です。セキュリティ上の課題を把握した上で必要な対策をリスト化し、効果的なシステムの構築を目指す重要な役回りといえます。
責任者に求められる能力は専門家のヒアリングを受けながら、対策プランをまとめて遂行していく力です。
運営者自身が専門的な知識を持っていれば望ましいですが、そのような人材がいなくてもプロジェクト管理の能力があれば効果的な対策を打てるでしょう。
リスク評価を行い対策の優先順位を決めよう
リソースに限りがある中、想定しうる全ての脅威に対して有効な策を講じるのは不可能だと言えるでしょう。この難題の有効な対処方法となり得るのが、リスク評価と優先順位の設定です。
まず各リスクにおいて顕在化した場合の被害を想定します。次にリスクの需要水準を定め、上回ったものに対してのみ対策を施します。IPA(情報処理推進機構)がリスク評価や分析に使用するツールを提供しているので、こちらの利用を検討してもよいでしょう。
↓PCトラブルなど社内IT環境にお困りなら↓
セキュリティ対策は費用を投じてでもやる価値あり
情報漏洩による被害は甚大になる可能性が高いため、セキュリティ対策は企業にとって必須です。将来の利益を守るための投資だと捉え、費用を投じてでも実施する価値があります。
「PCやネットワークの知識がなく、どのように対策を施せば良いか分からない」という方は、弊社にご相談してはいかがでしょうか。親切丁寧なサポート体制を整えているため、困ったことがあっても気軽にお問合せください。
セキュリティ関連記事
どうしてもうまくいかない時は
インターネットで検索して色々な方法を試してみた、それでもやっぱり上手くいかない場合は
とげおネットまでお気軽にご相談ください。
とげおねっとでは出張サポートにてお力になることが可能です。
下記の電話番号、もしくはメール(フォーム)からお問い合わせいただくことが可能です。