「第二波」が来たようで、連日新規感染者が多く発生している。一時期テレワークからオフィスに回帰してきた人たちも、再びテレワークに戻りかけているようだ。企業のIT部門にとっては、テレワークだとサイバーリスクが高くなるのが悩み。個人持ちのPCやスマホで企業システムにつながられると、企業内で十分な管理下に置いた機器とは違って妙なアプリなどが入っていることもあるからだ。
確かにテレワークになって、サイバー攻撃などの被害は増えたとする報告もある。経団連ではもう6年ほどサイバーセキュリティを議論する会を続け、今は専門の委員会までできた。大手企業では意識が高まり、セキュリティを担当する役員を置いたり組織を整備したりしている。それはいいのだが、中小企業だと役員や組織までは置けないところが多い。いやそもそも、IT機器をちゃんと管理下において導入できていない会社も少なくない。
技術者も予算もないから仕方ないよね・・・では済まなくなったのが昨今の状況。大手企業が自社のシステムは守っていても、取引のある中小企業経由で攻撃をうけることも珍しくなくなったからだ。例えば、
・納入部品にウイルスが入っていて、最終製品がお客さまのところで暴走する。
・取引先システムからウイルス仕込んだり、取引先のメルアドから攻撃メールを送る。
・委託先に渡した重要情報が、委託先から漏れる。
などの被害があるようだ。
そこで経済産業省では中小企業のサイバーセキュリティ強化のために、いろいろな施策を打っている。デジタルと聞くと蕁麻疹がでるような企業経営者にもわかるように、非常にシンプルなガイドを示している。
https://www.ipa.go.jp/security/keihatsu/sme/index.html
この中では、経営者がやるべきこととして、組織全体の対応方針を決め、予算や人材を確保し、緊急時対応や委託先の管理をして、最新の動向は把握することが示されている。また実践部門向けに、
・情報セキュリティ基本方針や規則のサンプル
・5分でできる情報セキュリティ自社診断
もある。初めて「サイバーセキュリティ」に係ることになった人でも、これらのガイドに沿って方針や規則を定め、自社の状況を点数で評価できるのだ。
<続く>