デジタル時代を生き抜く中小企業の知恵 - 情報セキュリティ戦略

こんにちは、アイネの渡邊です。

「セキュリティ対策は大企業だけのものではない―」
毎日のようにニュースを賑わすサイバー攻撃。その標的は、もはや大企業だけではありません。むしろ、セキュリティ対策が手薄な中小企業が格好のターゲットとなっているのです。

「でも、うちには専門家もいないし、予算もない…」
そんな声が聞こえてきそうですね。実は私たちアイネも全く同じ悩みを抱える中小企業の一つ。限られたリソースの中で、どのようにして効果的なセキュリティ対策を実現しているのか。

その答えは意外にもシンプルです。IPA（情報処理推進機構）が提供する「中小企業の情報セキュリティ対策ガイドライン」を最大限に活用し、自社の実情に合わせた独自の戦略を組み立てたのです。

中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

今回の記事では、予算や人材に制約がある中小企業でも実践できる、アイネの情報セキュリティ戦略をご紹介します。コストを抑えながらも効果的なセキュリティ対策の実現方法、その具体的なアプローチをお伝えしていきます。

サイバーセキュリティの最新動向

最初に最新のサイバーセキュリティの最新動向を紹介します。

IPA（情報処理推進機構）は1月30日に『情報セキュリティ10大脅威 2025』を発表しました。情報セキュリティ10大脅威は、約200名のセキュリティ専門家による厳選されたランキングです。組織と個人、それぞれの立場で直面する危険性を詳しく分析しています。

組織向けの脅威にはランサムウェアによる被害やサプライチェーンの弱点を悪用した攻撃などがランクインされています。一方で、個人向けの脅威にはインターネット上のサービスからの個人情報の窃取やフィッシングによる個人情報等の詐取などがあります。
順位に関わらず自身に関係のある脅威に対して対策することが期待されています。

ところで、2025年は新たに「地政学的リスクに起因するサイバー攻撃」が組織向け脅威にランクインしました。国際情勢の緊張が、デジタル空間における新たな脅威として私たちの安全を脅かしているのが時代を感じさせます。

情報セキュリティ10大脅威 2025 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

「組織」向け脅威

1. ランサム攻撃による被害

2. サプライチェーンや委託先を狙った攻撃

3. システムの脆弱性を突いた攻撃

4. 内部不正による情報漏えい等

5. 機密情報等を狙った標的型攻撃

6. リモートワーク等の環境や仕組みを狙った攻撃

7. 地政学的リスクに起因するサイバー攻撃

8. 分散型サービス妨害攻撃（DDoS攻撃）

9. ビジネスメール詐欺

10. 不注意による情報漏えい等

「個人」向け脅威（五十音順）

• インターネット上のサービスからの個人情報の窃取

• インターネット上のサービスへの不正ログイン

• クレジットカード情報の不正利用

• スマホ決済の不正利用

• 偽警告によるインターネット詐欺

• ネット上の誹謗・中傷・デマ

• フィッシングによる個人情報等の詐取

• 不正アプリによるスマートフォン利用者への被害

• メールやSMS等を使った脅迫・詐欺の手口による金銭要求

• ワンクリック請求等の不当請求による金銭被害

本note記事公開時点では、まだ解説書が公開されていませんが、順次公開される予定になっています。アイネでは、毎年この情報セキュリティ10大脅威を学び合っており、解説書公開を待って本年も学習予定です。

情報セキュリティ対策の実施とルール作り

アイネでは「中小企業の情報セキュリティ対策ガイドライン」に含まれる「５分でできる！情報セキュリティ自社診断」を利用しています。
「５分でできる！情報セキュリティ自社診断」は、シンプルで実用的な情報セキュリティ診断ツールです。このツールは以下の3つの分野で構成されています。

1. 基本的な対策

2. 従業員が実施する対策

3. 組織として実施する対策

全25項目のチェックリストを使って、自社の情報セキュリティ対策の実施状況を確認できます。これらの項目を確実に実施するため、アイネでは下記を実施しています。

• 情報セキュリティに関する規程を作成

• 組織全体での取り組みを推進

• 定期的な社内教育を実施

例えば、近年騒がれているPPAP(電子メールでPassword付きZIPファイルを添付送信、Password送信というAngoka(暗号化)Protocol(プロトコル))は禁止とし、クラウドサービスを利用してファイル連携するようにしています。
こうした取り組みを通じて、会社全体の情報セキュリティレベルの向上を図っています。

セキュアなクラウドサービスの活用とデータ保護の取り組み

アイネでは「中小企業の情報セキュリティ対策ガイドライン」の「中小企業のためのクラウドサービス安全利用の手引き」に基づき、クラウドサービスを利用しています。具体的には以下の方針で運用しています。

信頼できるクラウドサービスの利用

メールサービス、ストレージサービスなどは自社でシステムを構築・運用する代わりに、高度なセキュリティ対策を備えた信頼性の高いクラウドサービスを採用しています。クラウドサービス利用にあたっては、前述の手引書の指針に基づいて適正に選定しています。

多層的なデータ保護

ランサムウェアなどのサイバー攻撃から重要データを守るため、複数のバックアップを異なる場所に保管しています。具体的にはクラウドストレージの障害に備え、ローカル環境で日々バックアップを取得しています。またストレージ上のデータは暗号化やアクセス制御により、情報漏洩リスクを最小限に抑制しています。

これらの取り組みにより、情報セキュリティリスクの軽減とビジネス継続性の確保を実現しています。

リモートワークセキュリティへの取り組み

テクノロジーの進化とともに、アイネは「どこでも安全に働ける」リモートワーク環境づくりに挑戦しています。セキュリティと生産性の両立を実現するため、以下の対策を行っています。

安全なワークスペースの確保

自宅を作業拠点とし、公共のWi-Fiや不特定多数が利用するスペースでの業務を禁止することで、情報漏洩リスクを最小限に抑えています。

システム・データの保護

作業用PCのOS/ソフトウェアアップデートによる脆弱性対策を実施するとともに、セキュリティソフト導入と常に状態の最新化を図っています。
また重要データを暗号化し、厳格なアクセス権限管理を実施しています。

社員の意識向上

定期的にセキュリティ教育を実施し、安全を図っています。
リモートワーク中の離席時のPCロック実施、Web会議の参加者管理など基本的なセキュリティ習慣を徹底しています。

これらの取り組みにより、エンジニアの働きやすさを損なうことなく、お客様の大切な情報を確実に保護しています。アイネは今後も、最新のセキュリティ技術と運用ノウハウを活用し、安全で効率的なリモートワーク環境の活用を進めてまいります。

情報セキュリティ教育の実施

定期的社員教育プログラム

月例の全体会議で最新セキュリティに関する情報共有を図っています。この会議で共有する主な内容は、以下の通りです。

• 日常的情報セキュリティ対策への取り組みの確認

• 情報セキュリティルールの確認

• 最新の情報セキュリティ動向

• インシデント情報

• 情報セキュリティ知識の学習

上記を通じて、多角的に情報セキュリティに関する情報を共有し、全社員のセキュリティ意識向上を図っています。

基本的な日常の取り組みの確認

日常的に情報セキュリティの基本となる以下の対応を確認しています。

• 最新のセキュリティアップデート

• ウイルス対策ソフトの導入と定義情報の最新化

• パスワード強化と管理

• ファイル共有設定の見直し

最新の情報セキュリティ動向の把握

毎年発表される「情報セキュリティ10大脅威」を全社員で学習し、新たなサイバー攻撃手法への対策を強化しています。

インシデント防止の具体策の確認

• 不審メールへの適切な対応手順の確立

• 添付ファイル開封時の安全確認プロセスの徹底

• SNSでの情報発信に関する明確なガイドラインの設定と運用

このような包括的な取り組みにより、社員一人ひとりのセキュリティ意識を高め、安全な事業環境の維持に努めています。

情報セキュリティ推進体制

アイネでは、社長の久保田を筆頭に、全社を挙げて情報セキュリティの強化に取り組んでいます。日々進化するサイバー脅威に対応するため、情報セキュリティ組織体制を確立するとともに、人的リソースの強化も図っています。アイネ在籍の情報処理安全確保支援士が情報セキュリティ対策を強力にサポートしています。

人的リソース強化対策

スキル向上を図るため、日常的な情報セキュリティ教育の他、情報処理安全確保支援士、情報セキュリティマネジメント、CompTIA Security+などの情報セキュリティ関連資格取得を推進しています。
資格取得については、セミナーや通信教育、技術書購入、Udemyなどのオンライン学習の費用補助とともに、試験合格時のお祝い金制度も完備しています。詳細はこちらの記事でご確認いただけます。

セキュリティ文化の醸成

全社員が高いセキュリティ意識を持って日々の業務に取り組むため、定期的な研修や情報共有を通じて、常に最新のセキュリティ知識とベストプラクティスを学び続けています。

アイネは、今後も最新のセキュリティ技術と知見を積極的に取り入れ、お客様に安心してサービスをご利用いただける体制づくりに邁進してまいります。

SECURITY ACTION二つ星の宣言

「SECURITY ACTION」はIPA(情報処理推進機構)が創設したもので、中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度です。
アイネは、2020年９月にSECURITY ACTION二つ星を宣言しています。

二つ星宣言は「5分でできる!情報セキュリティ自社診断」を行うこと、「情報セキュリティ基本方針」を策定・公開することが求められます。
アイネでは、自社ホームページ上で情報セキュリティ基本方針を公開するとともに、「5分でできる!情報セキュリティ自社診断」に基づき前述のような対策を推進しています。

株式会社アイネ

まとめ

アイネは、「中小企業だからこそできる、スマートな情報セキュリティ対策」のモデルケースとなることを目指しています。私たちの取り組みが、同じような課題を抱える中小企業の皆様にとって、参考となれば幸いです。

---

株式会社アイネでは一緒に働く仲間を募集しています
アイネに少しでもご興味を持たれた方は、ぜひお問い合わせください。
就職までは考えていないけれど、とりあえず話だけ聞いてみたいという方も大歓迎ですので、お気軽にお問い合わせください。