第25回 中小企業が取り組める現実的なセキュリティ対策とは？：日本型セキュリティの現実と理想（4/4 ページ）

[武田一城，ITmedia]

　そして、一番大事なことに思いを巡らすことができるようになる。それは対策における最も根本的で、かつ、重要な「もし、守れなかったらどうなるのか？」という一点に尽きる。つまり、奪われてもそれほど問題がないものに対して貴重な「カネ」「ヒト」を費やす必要はない。中小企業の貴重な経営資源は、必要なものを守ることのために使ってほしい。

　その第一歩はとてもシンプルだ。まずは守りたい情報を整理する“整理整頓”から始めればいい。そうしなければ、大事な情報が盗まれても盗まれたことに気づかない“だだ漏れ”という最悪の状況が常態化してしまう。

　だからこそ情報の棚卸しをして、資金を使ってでも守るべき情報とそれほど守らなくていい情報を分離していただきたい。守るべき情報が確定すれば、それを守る方法は印鑑や通帳、現金を守るのと同じであり、金庫のようなセキュアな領域に保存すればいいということが分かる。そうすれば、セキュアな領域へのアクセスを制限し、「だれが」「いつ」アクセスしたかのを管理していこう。そして、セキュアな領域以外の場所に重要な情報を保存せず、それができない場合でもできるだけ限定しよう。

　要は守るべき情報をコントロールできるようにしておくというわけだ。これができていれば、セキュリティ対策として最低限これだけはやっておかなければいけないと言われるファイアウォールやアンチウイルスソフトといった一般的な方法策をきちんとしておくことで、一定レベルのセキュリティ対策になるだろう。

筆者の考える中小企業に求められるセキュリティ対策案

　この連載で何度も述べているように、“対策済みにすることを目的としたセキュリティ対策”が攻撃者にとって最も都合の良い状況を生み出してしまう。こうならないためには守りたい情報を確定させ、それを適切に管理できる仕組みを持つことこそが中小企業に求められるセキュリティ対策の現実的な第一歩だ。このように守るものの範囲を的確な論理で限定できれば、それだけ、それを守るためのセキュリティ対策の費用も抑えられる可能性も高い。この本質は中小企業により効果が高いが、中小企業だけに限定されるものではない。読者の皆さんも、“整理整頓”のようなごく当たり前のことから対策を見直してみてはいかがだろうか。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）