中小企業診断士 佐川博樹
ほぼすべてのパソコン、スマートフォンがインターネットにつながっている時代、誰でもセキュリティリスクにさらされていると言って過言ではないだろう。って、私ごときが言うことでもないだろう。
という一方、中小企業--私も含めて--では、いわゆるセキュリティ対策への対応はコスト的課題もあって、なかなか進まない。
IPAによると
IPAという団体がある。独立行政法人 情報処理推進機構という名前である。ここの発表によると、
中小企業の6割がセキュリティ対策をしていないそうである。
さらに、その中で、サイバー攻撃を受けた企業は、419/975社だそう。
その攻撃の半分は脆弱性(セキュリティパッチ未適用)を突かれたものとのこと。
その次が、ID/パスワードをだまし取られた、というものらしい。
セキュリティパッチのことを考えるより
零細企業の場合、独自サーバを設置しているケースは減ってきていると私は思っている。
クラウドを使うほうが安全だからである。
結果、セキュリティパッチのことはクラウド事業者に任せておけばいい。
↑ただし、クラウド事業者がしっかりやっているという前提である。
ある程度の企業規模である中小企業もクラウドへ移管したほうが安全だと私は思う。
専任の担当者を置くことは難しい場合もあるだろうし、置いたとしても、この秒針分歩のIT業界で常にセキュリティパッチを当て続けるのは難しいこともあるだろう。
実は、それよりも考えておいたほうがいいのは、ID/パスワード管理のほうだと思う。
なぜなら、いわゆるソーシャルエンジニアリングなどによって、専任の担当者以外の人がだまし取られたりするからである。
借りているクラウドも場合によっては乗っ取られたりする。
最近は、SNSのアカウントを乗っ取られて詐欺に使われたりするケースも普通になってきた。
こっちのほうがセキュリティ対策としてはやるべきだし、対策もしやすいはずである。
パスワード管理をしっかりと
ということで、ID/パスワード管理をしっかりしたほうがいい。
世の中にはそういうツールもある。
また、ある程度の従業員がいる企業は、従業員にID/パスワード管理を任せないほうがいいし、定期的にID/パスワード管理についてのセキュリティ教育は絶対したほうがいい。
ちなみに、定期的な変更は最近の研究では「必要ない」ということになっている。
変更を定期的にさせることによって、かえって「メモ」することに繋がってしまい、ソーシャルエンジニアリングを受けやすくなる可能性も指摘される。
それをするぐらいなら、二段階認証やパスキーなどの導入をした方が安全だろう。
以上