画像は東京都産業労働局から引用

11/15、東京都から「中小企業向けサイバーセキュリティ対策の極意」が発表されました。190ページにも及ぶかなりのボリュームです。今回はこの冊子について触れて行きたいと思います。

「中小企業向けサイバーセキュリティ対策の極意」の概要

この冊子は"わかりやすく"をテーマにしたらしく、漫画やイラストが多用され、視覚的にアピールするようになっています。東京をサイバー攻撃から守る、「冴羽守(さいばまもる)」というキャラクターがサイバーセキュリティについて解説をしていくという構成です。

東京を守る“冴羽”というと、我々世代だとシティハンター冴羽獠を連想してしまいますね。意識的なのでしょうか。ビジュアルはハンフリー・ボガード風のトレンチコートハードボイルドスタイルなので、全く違いますが。

具体的な内容は?

内容は下記の5項目です。

  1. 知っておきたいサイバー攻撃の知識(メジャーなサイバー攻撃の紹介)
  2. すぐやろう!対サイバー攻撃アクション(対策の紹介)
  3. 経営者は事前に何を備えればよいのか?(経営者が考慮すべきことの紹介)
  4. もしもマニュアル(緊急対策マニュアル作成の推奨)
  5. やってみよう!サイバー攻撃対策シミュレーション(有事の訓練の推奨)

個々の内容は、サイバーセキュリティ経営ガイドライン、マイナンバーガイドラインの安全管理措置、ISMSの管理策等を参考に構成されているようです。個人情報保護ガイドラインは参考しきれなかったようで、いきなりの補足がwebサイトに掲載されていますが、一定の網羅性はあるように思われます。

対象とする読者層が曖昧?

ただ、"誰に読んで欲しいのか"が、少々疑問の残るところです。

中小企業のサイバーセキュリティ対策を啓蒙するなら、まず経営者の心を動かさねばなりません。この内容では、経営者が読むところまで行かないのではないか、というのが、多くの中小企業の現場を見てきた者からの感想です。

「基礎知識」のない担当者を想定していない

例えば、「はじめに」でこんな文章が出てきます。

セキュリティ対策は必要だと分かっていても直接利益を生み出すものではない、難しくてよく分からない、社内にITのことが分かる人材がいないなどの理由から、手つかずのままにしていませんか?最優先で実施すべき対策はそんなに難しいものではありません。

これを社長さんが読めば「おお、じゃあやってみようか」と思うでしょう。

ところが、「最優先で実施すべき対策」の最初に出てくるのが“OSとソフトウェアのアップデート”なのです。このコラムの読者の皆さんなら、「そりゃそこからだよね」と違和感は無いでしょう。

でもですね。それは「基礎知識」があるから、そう思えるんです。実際には、“そもそもOSって何?”“アップデート”ってどういうことを言うの?”という社長さんも多い、というのが現実なのです。

本当に"わかりやすい"とは言えない...?

また、よく狙われる製品に挙げられる「Java」「Flashplayer」などになると、「なにそれ。どんなソフトなの。ウチ使ってるの?」となります。これが中小企業の現実です。

"難しくない"と言いつつ、最初からこれでは「やっぱセキュリティは難しいなぁ、後回しにしよう」になってしまいます。

"難しくても、何とかしてやらなければならない"そう中小企業の社長さんに決意して貰う必要がある、というのが現場を見てきた者からの感想です。

「中小企業向けサイバーセキュリティ対策の極意」の利用方法

とはいえ、この冊子、ある程度の網羅性はあります。せっかく無料のツールがあるんですから、使わないのはもったいない。

ただ、社内である程度システム知識のある人なら、IPAが出している「中小企業の情報セキュリティ対策ガイドライン」の方が有用です。この冊子を使うまでもありません。

社内ミドル層に対する啓蒙活動に有効

なので、各部の部長さん等、社内ミドル層クラスの啓蒙活動に使う、というのが適しているのではないかと思われます。

結局、システム・ネットワーク以外のセキュリティ対策(社内不正や社員の規則遵守等)は、ミドル層の指導と管理が重要です。ところが、この層は自分が課せられた目標以外は関心が薄いことが多い。この層は、意外に末端の社員よりセキュリティホールになりがちなのです。

この層にもセキュリティ対策に関心を持ってもらわねばなりません。そのための啓蒙には、読みやすく網羅性のある、この冊子は適切なのではないかと思われます。

「中小企業向けサイバーセキュリティ対策の極意」作成の背景

もう一つ、この冊子が出た理由を考えていただきたいと思います。今までコラムを読んでいただいた方は、すぐピンと来たでしょう。そう、"東京オリンピックに向けてのサイバーセキュリティ対策"です。

「はじめに」でも、“2020年東京が狙われている”の見出しが入っています。残りわずかになっても、遅々として進まないサイバーセキュリティ対策、及びその啓蒙。この"焦り"が東京都にはあるのです。

国と取引があるような大手企業はかなり対策活動が活発化してきています。(それでも遅いと感じますが)中小企業は、正直、“これから”でしょう。現時点であと3年を切った現在、この状態で間に合うのか?さらに早い2019年ラグビーワールドカップは大丈夫なのか?それが東京の焦りの原因です。

最後に

中小企業にとってのサイバー攻撃は、“そこにある現実”です。また大規模攻撃も2~3年後に予定された事項です。中小企業、特に東京都内やオリンピック・ラグビーワールドカップ開催地の企業にとっては、遅れることのできない対策だということを、しっかりと認識していただきたいと思います。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。