Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

中小企業はセキュリティ予算の配分を考えるべき

面白そうな記事だな・・と思ったら有料記事でした。残念。

mainichi.jp

 

 中小企業は国内企業の99.7%を占め、日本のものづくりの技術力を支えている。パソコンやウェブサイトを活用した情報発信のほか、会計や調達関連のITツールの導入による生産性向上に取り組んでいる中小企業も多い。だが、中小企業のサイバーセキュリティー対策は遅れていると言わざるをえない。

 大阪商工会議所が2017年3~6月に、会員の中小企業などを対象にアンケートしたところ、セキュリティーに関して専任の担当者を置いているのはわずか4%で、担当者を決めていない会社が50%に達した。

 年間のセキュリティー予算が50万円以下という回答が8割。「セキュリティー対策が十分でない」

毎日新聞記事より引用)

 

◆キタきつねの所感

毎日新聞の有料サービスは申し込んでないので、記事の結論を見て無いのですが、、、記事にてNTTの松原氏が気にしている部分については、よく分かる気がします。

 

中小企業の年間のセキュリティ予算が50万円以下と言う回答は、2018年7月にNRIセキュアテクノロジーズ株式会社と、KDDI まとめてオフィス株式会社が中堅企業・中小企業を中心とした約1,800社の情報セキュリティ担当者へのアンケート調査でも、7割の企業が「セキュリティ対策が十分でない」、セキュリティ予算は従業員規模が100名以下の企業では8割近い企業が月額50万円以下と回答しており、500人未満の企業では、6割程度という結果が出てましたので、1年経っても傾向は同じだと思われます。

 

NRIセキュアとKDDI まとめてオフィス、中堅企業・中小企業の情報セキュリティ実態調査に関するホワイトペーパーを公開


セキュリティ予算や人員については、経営層のセキュリティの重要性に対する理解が進んでない事が大きいのかと思いますが、「自社は狙われるだけの資産は無いので攻撃を受けない」という過信も大きいかも知れません。事故・あるいは事故に近いヒヤリ・ハットでも経験しない限りは急には予算や人は増えないかと思いますので、今あるリソースをどう効果的に使うか、というのが中小企業のIT担当が考えなければならない優先課題と言えそうです。

 

個人的には、セキュリティ要求の外圧(サプライチェーン上位企業、あるいは法制度)が無いと、中小企業経営者のマインドは、なかなか変わらない気もしますが、自分がその担当であればそんな事は言えないかと思いますので、50万円(以下)で出来る事を考えていくしかないと思います。

50万円と言えば、、、アンチウィルスソフトですら全員に行きわたらない程度の予算でしかありません。もしかすると、無料で評判の良いアンチウィルスソフトや、Windows標準のDefenderに寄せてしまうのも良いかと思いますし、FW等の対策効果は高いかも知れませんが、値が張るセキュリティ機器の導入が難しいのであれば、ネットにつなぐ端末を制限してしまう事でリスク回避する事も考える余地があるかも知れません。

 

また、低予算セキュリティ対策の象徴たる存在である、パスワード管理にフォーカスを当てるのも良い事かと思います。目をつぶっているだけで、パスワードの使い回し、容易に推測できるパスワードは、個人だけでなく、会社の認証でもそこら中にウィルスの様に蔓延しているはずです。まずはここから手を付けて、「人」を教育する事から始めても良いのではないでしょうか。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 f:id:foxcafelate:20190928221200p:plain

 


 

更新履歴

  • 2019年9月28日PM(予約投稿)