中小企業のセキュリティの勘所
情報セキュリティの重要度が増しているのは周知のことかと思いますが
とはいえ中小企業にとってセキュリティになかなか投資ができない、という会社も多いはず。
ということで、今日は最近のご支援でもセキュリティ関連が増えてきているので自身の整理含めて、中小企業におけるセキュリティをどこまでやればいいのか、の勘所について考えてみようと思います。
セキュリティは多層防御
昨今のサイバー攻撃は多様化しているので、「全てを防ぐことはできない」という前提のもと対策を進めていくのがよいと言われています。
よく言われるのが以下の3つ
入口対策
内部対策
出口対策
入口対策ってのが、外からの侵入を検知したりブロックしたりするもの。
よくあるのがFWやIDS/IPSといったものですね。
最近のルーターではFW機能がついているものがあるので、最低限FWの設定は行うべきかと思います。
内部対策ってのが、侵入された場合に被害を最小限に抑えるための対策です。
よくあるのがログの取得(ログ収集のサーバー設置)とかEDRなんかがそれにあたるかと思います。
あとは社内資産(ファイルサーバーとか)のアクセス権を最小限の権限構成にしておくとかもありますね。
出口対策ってのが、機密情報などを外部に流出するのを防ぐための対策です。
よくあるのがWebフィルタリングやDNSセキュリティ、DLPなどの機能を持つサービスがそれにあたります。
これらのそれぞれで対策を施すのがベストなのですが、なかなかお金がかけられない場合の、私なりの優先順位が以下です。
FWの設定:入口対策
エンドポイント対策の強化(EPP、EDR):内部対策
UTMやSWG、CASBなどの道入:出口対策
この順番で対策を考えていくのがいいかと思います。
バランス重視で出口対策を安価なWebフィルタリング機能のみにするのも対策としてはアリかと思います。
自社内(オンプレ)に機密情報があるのか
自社にサーバーが置いてあってファイルサーバーを運用していたり
NASを置いていたり、あるいは顧客情報も含まれる基幹システムがあったり
このように自社に機密情報(流出したくないデータがある)という場合は、出口対策はしっかりしておいた方がいいかと思います。
売上高からセキュリティに投資する金額を判断する
あくまで目安にはなりますが、売上の0.5%をセキュリティに投資するのが良いと言われています。
売上高1億につき、50万円
そう見ると中小企業ではなかなか高価なUTMだとかSWGなんかは手がでなさそうです。。。
できるところから始める
中小企業の場合、できればコストはかけたくない。
けどセキュリティは何か対策をしなければ!
というところで、まずはお金をかけずにやれるところからやっていきましょう。
ざっとあげられるのは以下のような対策
PCやサーバーのOSは最新化するよう従業員へ周知
WindowsPCであれば、無料のDefenderの活用
PCログインやSaaSなどのログインパスワードの強化
怪しいメールやリンクは踏まないよう授業員への啓蒙活動
ファイルサーバーなどの機密情報へのアクセス権を最小権限とする
まずは現在あるIT資産の管理を見直すことから始めていくのが良いかと思います。
その上で、徐々に多層防御の整備を進めていく。そんな流れがいいんじゃないかなと最近思う次第であります。