コスト削減優先時における中堅・中小企業の情報セキュリティ対策

コラムカテゴリー:

 景気低迷に伴い、各企業がコスト削減に取組んでいる話題を数多く耳にします。当然、企業経営を支えているITの領域においてもさまざまなコスト削減の取組みが行われています。一方で、情報漏えい等、情報セキュリティ事故が度々報道されていることは皆さんもご存知のことと思います。コスト削減が優先される中では、どのように情報セキュリティ対策に取り組むべきでしょうか。

 企業における一般的な情報セキュリティ対策は「企業外部からの脅威に対する対策」と「企業内部に存在する脅威に対する対策」に分ける事ができます。

企業外部からの脅威に対する対策の例としては、
・不正アクセスを防ぐためのファイアウォールや不正侵入防止システム
(IPS:Intrusion Prevention System)の導入
・定期的なネットワーク脆弱性検査の実施
・ネットワーク経由での情報漏えいを防ぐためのサーバー堅牢化
・ウイルスやスパイウェアを駆除するためのウイルス対策ソフトの導入
など・・・

企業内部に存在する脅威に対する対策の例としては、
・情報の持ち出しを防ぐためのUSB等外部デバイスの利用制限
・メールによる情報漏洩を防ぐためのメールフィルタリングの導入
・業務に不要なwebサイトの閲覧を防ぐためのURLフィルタリングの導入
・ノートPCの紛失や盗難による情報漏洩を防ぐためのハードディクスの暗号化
・許可しないIT機器のネットワーク接続を検知するためのIT資産管理ツールの導入
・操作ログの取得及びモニタリング
・セキュリティ教育
等々・・・

一言でセキュリティ対策と言っても対策は多岐に及びます。特に“企業内部に存在する脅威”への対策は、言わば“身内に対する対策”とも言えるので、どこまで踏みこんで対策を講じれば良いか判断が難しいという話をよく耳にします。

昨今のようなコスト削減が優先される状況下における、中堅・中小企業の情報セキュリティ対策のポイントを以下に4つ挙げてみました。

(1) 製品コストを削減する
上記に例を挙げた通り、情報セキュリティ対策は多岐に及んでいますが、複数の対策を講じるのであれば、それぞれ個別製品を組み合わせて使うのではなく、統合化された製品やサービスを使う事によりコスト削減ができる場合があります。製品ライセンス購入時のコスト削減の他、一般的な製品であれば導入後も保守・サポート費が継続的に発生するため、既に導入している企業であっても統合化された製品・サービスに置き換えることによりコスト削減できる場合があるので検討してみる価値があるのではないでしょうか。

(2) 強みを妨げない身の丈にあった対策を講じる
自社のセキュリティ対策のせいで顧客満足度が低下していませんか?
基幹システムの導入支援を行なっていると、お客様から「うちの会社はセキュリティ対策のためノートPCの社外持ち出しを禁止している」といった話をよく耳にします。持ち出しPCの禁止はPCの紛失や盗難からの情報漏えいを防止する有効な対策の一つです。また、禁止するだけなので費用も一切かかりません。ところが、詳しく話を聞いてみると「以前に比べてタイムリーな顧客対応が困難になった」・「営業担当者は見積作成や日報作成のためだけにオフィスに戻らなければならなくなり残業時間が増加した」という声も耳に入ってきます。
ノートPCを社外への持ち出すことにより、どのくらいビジネス上でメリットがあるかにもよりますが、ハードディスクの暗号化やユーザ認証等のセキュリティ対策を講じた上で持ち出しを許可したほうが、外出が多い営業社員にはメリットが多いように感じます。特に中堅・中小企業の場合は、機動力の高さが強みの一つであり、そのためにはITは大きな武器といえます。大企業が講じるようなセキュリティ対策をそのままあてはめたり、コスト削減だけを優先させた結果、いつの間にか自社の強みまで失ってしまう可能性があるため注意が必要です。

(3) 信頼関係を築くのもセキュリティ対策
一般的に中堅・中小企業の場合は、大企業に比べて経営者の目が会社全体に行き届いているのではないでしょうか。また、協力会社スタッフ等の不特定多数の人が自社の情報システムを利用する頻度も大企業に比べると圧倒的に少ないはずです。社員同士のつながりが深い場合や経営者の目が会社全体に行き届いているのであれば、必要以上の費用を掛け対策を講じるのではなく、時にはリスクを許容するのも選択の一つではないでしょうか。製品やサービスの導入によるセキュリティ水準の向上も大切ではありますが、従業員との信頼関係を築く、向上させるのも大切なセキュリティ対策の一つです。

(4) プラスαの投資効果を得る
情報セキュリティ対策への投資は、従業員の不正による情報漏えい等から企業の情報資産を守るために必要ではありますが、決して売上や利益を増やしてくれる投資ではありません。脅威が現実になった時に初めて効果が発揮されるものであり、投資対効果が非常に見えにくいものです。
そんな“守り”のための情報セキュリティ対策ですが、せっかくお金をかけて自社のセキュリティ水準を向上させたのでしたら、それをうまく顧客にアピールしてみてはいかがでしょうか。最近では自社のホームページや事例掲載サイト等で講じた情報セキュリティ対策をうまくアピールし、信頼度の向上に活かしている企業が多数見受けられます。情報資産を守るための情報セキュリティ対策ですが、顧客信頼度を高める事で売上や利益の増加といったプラスαの効果を得ることができるのではないでしょうか。

セキュリティ対策は、対策を講じた後に見直しが行なわれていない企業が多く見受けられますが、現在のようにコスト削減が課題となる時期は見直しを行なう好機とも言えます。既にさまざまな対策を講じている場合は、一度棚卸し・見直しをしてはいかがでしょうか。また、これから対策を講じる場合は、上述の“4つのポイント”に留意いただけると宜しいのではないでしょうか。

関連サービス

2009年06月16日 (火)

青山システムコンサルティング株式会社

その他