中小企業の情報セキュリティー

中小企業に必要な情報セキュリティのスキルについて（ウェブ版）

執筆者：ATAC会員　大崎拓司　　

この記事はATAC NEWS 74号の補足説明として執筆しました。

ATACニュースからのQRコードリンク経由にてご覧いただきありがとうございます。このページは印刷版で文字制限があり割愛した内容を追加してまとめたものです。印刷版との重複部分もあり、また、若干長文となっておりますので、ご興味のある部分を選択してご覧いただければと存じます。

＜はじめに；最近の情報セキュリティに関する動き＞

情報セキュリティ対応は、特にこの数年の間に事業継続の視点において極めて重要な位置づけの項目となってきました。今までのように単に自社の情報を守るだけではなく、顧客や取引先を巻き込んだ大きなトラブルの原因に自社がなってしまうことを未然に防ぐことが強く求められています。

これまでは情報の取得を目的とした攻撃は大企業のシステムを直接狙うパターンが主流でしたが、その防衛体制のレベルが上がってきたこともあり、これらの企業と普段から取引のある会社、すなわちサプライチェーン上に位置する中小企業などをまずは「踏み台」としてアタックするという形式が増加しています。これらの企業を突破口として最終的にターゲットとしている大企業や団体などに侵入し、情報を盗んだりシステムを止めて脅迫したりという事例が増加しています。

対象となっている業界も多様化しており、製造業系では2022年に自動車業界大手の主要部品サプライヤーがランサムウェア攻撃を受けて結果的に同大手企業の国内工場が生産停止となりました。2020年には電機業界大手も使用しているクラウドサーバが攻撃を受け、取引先の金融情報の流出した件が報告されています。2025年に入ってからは金融業界大手において業務委託先の税理士事務所経由で攻撃を受けて顧客データが流出し、また、医療機器メーカーではファームウェア更新プログラムが標的となってペースメーカーなどの機器にマルウェアが埋め込まれたとの事例も出ています。

検索エンジンで「サプライチェーン攻撃被害事例リスト」と入れてクリックすると多種多様な実例がヒットし、各社が属されている分野（製造業や各業界名）をキーワードとして追加するとさらに現実感のある被害例が示されるでしょう。

このような危機に対応するために、経済産業省も「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を2025年4月に発表するなど、各界での動きが活発化しているところです。

具体的には、例えば2017年より独立行政法人情報処理推進機構（IPA）が進めている「SECURITY ACTION」では、中小企業が自ら情報セキュリティについて検討対応し、その取り組みが適切であることを宣言する仕組みが提供されています（レベルにより2段階あり）。この宣言がIT分野での補助金申請の際の条件となっている場合もあります。

（https://www.ipa.go.jp/security/security-action/ ）

これに対して前出の中間取りまとめが示している内容では、第3段階としてまずは全てのサプライチェーン企業が最低限実装すべきセキュリティ対策として、基礎的なシステム防御策と体制整備を中心に実施していることを25項目の自己評価によって示すことが提案されています。

また、さらに上位のものとして、第三者評価による「組織ガバナンス・取引先管理、システム防御・検知、インシデント対応等包括的な対策を実施」について44項目をチェックする第4段階と、国際規格等におけるリスクベースの考え方に基づき、自組織に必要な改善プロセスを整備したうえで、システムに対しては現時点でのベストプラクティスに基づく対策を実施していることを第三者によって確認する第5段階が検討されています。

重要なことは、この計画が2026年中に制度として運用することをめざしていることで、中小企業としてもこれまでとは全く違った認識で情報セキュリティ分野に取り組むことが必至となっている点です。

（https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html ）

一方、警察庁サイバー警察局が発表したアンケートに基づく報告書（不正アクセス行為対策等の実態調査アクセス制御機能に関する技術の研究開発の状況等に関する調査調査報告書 2024年12月）によると、従業員数が100人未満と100人以上300人未満の規模の企業では、個人のPCやスマホなどを業務に使用することを禁止している割合はそれぞれ32.3％、55.8％にとどまっており、5千人以上1万人未満の73.1％と開きがあります。ただし、製造業というくくりでは禁止企業は80.7％であり、意識の高さが反映されています。

（https://www.npa.go.jp/bureau/cyber/pdf/R6countermeasures.pdf ）

では、自社の営業秘密を防衛し、サプライチェーン攻撃を受けても顧客や取引先に迷惑をかけないためには、具体的にはどのような対応をしてゆけば良いのでしょうか。ここでは経営者視点で、これらの点について概要をまとめてみました。対象としては、自社の情報システム（メールシステムやファイルサーバ）を守ることと、自社が使用している外部向けシステム（外部の仕組みを使用してショッピングサイトなどを運営しているような場合）を防衛する2種類がありますが、本稿では自社の情報システムを守るところにフォーカスすることにします。

１．攻撃を受ける主なパターン
各種の事例が報告されていますが、ここではその代表的なものの概要を紹介します。

① ランサムウェア

データを暗号化し、復旧と引き換えに金銭を要求する悪意ある感染系のソフト（マルウェア）で、大規模な業務停止やデータ損失に繋がります。最近ではデータの暗号化による脅迫のみならず、盗んだデータの一部を証拠として送り付けたうえで残りのデータを広く公開するという脅しをかけてくる二重恐喝のタイプも出てきています。

② 標的型攻撃メール

特定の企業や担当者を狙い、ウイルス感染を通じて情報窃取を目的としたメールを送りつけるものです。顧客（取引先リストを含む）、個人、取引先、製品の研究開発、ビジネス戦略、価格や原価構成、各種システムへのログイン情報（IDとパスワード）などを狙ってきます。また、既存の取引先を装って偽の請求書を送りつけたり、送金先の変更を通知したり、あるいは、不正に金銭をだまし取るための足がかかりとする場合もあります。

③ フィッシング詐欺

正規のサービスを装った偽サイトへ誘導し、IDやパスワードなどの認証情報を盗み取ります。その結果、各種の外部システムにアクセスして振込先の変更、自社の経営層になりすました緊急の送金指示、機密情報の搾取、上位のネットワークシステムへの接続の足掛かりなど、企業にとって大きな損害を与えるインシデント（サイバー攻撃被害、情報漏洩事故）のきっかけとなります。

④ 内部不正

従業員や元従業員による機密情報の持ち出しや不正アクセスで、悪意の有無に関わらず発生する可能性があります。持ち出しの動機（金銭の必要性、会社への不満、承認欲求、個人的嗜好）と機会（社内の機密情報がセキュリティ的に脆弱でアクセスできる）、そして実行する従業員の自己正当化（自分の行動が仕方ない、許されるという納得感を自己解釈で得ている状態、すなわち、会社が悪い、自分だけが不当に扱われているという自己納得感）が揃うと持ち出しが始まる可能性が高まります。始めは小さなことから始まっても、次第にその程度が増してゆく傾向があります。

⑤ 脆弱性を悪用した攻撃

OS（PCなどを動作させるための基本ソフトウェア）やソフトウェアの脆弱性の放置により、不正アクセスやマルウェア（PCやその利用者に被害をもたらすことを目的とした悪意のあるソフトウェア）感染の経路となるものです。攻撃者はいろいろな形でターゲットにしている企業の情報セキュリティ上の弱みを分析し、そこを突いて”効果的に”攻撃を仕掛けてきます。古いPCを使い続けている、最新のセキュリティソフトに更新していない、パスワードの使いまわしや、使用している機器の適切な更新がおろそかになっている（サポート期限の切れたあとの継続使用）と格好の餌食となります。また、従業員の教育が十分にできていないと装置やシステム側が強化されていても人間の操作のミス（知識不足や、焦りを誘発されての判断ミス）が原因となって攻撃に負けてしまうことも起こり得ます。

⑥ サプライチェーン攻撃

＜はじめに＞の部分で触れたものです。中小企業などの取引先企業を経由して、間接的に大手企業や団体などのターゲットを攻撃する手法で、セキュリティ対策の甘い企業を「踏み台」にします。企業間のつながりも踏まえた大掛かりな攻撃といえます。

⑦ クラウドサービスの不正利用

設定ミスや認証情報の漏洩により、クラウド上に保存された企業情報が危険に晒されます。フィッシングなどによって不正に取得したIDとパスワードを使って攻撃先の従業員に成りすまして情報を盗んだり、会社として意図しない取引を行ったりします。

自社の所有している情報システムの設備内とは異なり、社外の仕組みを使用していることからインシデント発生の場合には責任所在の特定も必要です。クラウドの提供側が高度なセキュリティレベルを構築していても、使う側が適切に運用しなければリスクが大きくなってしまう可能性があります。

これらの脅威に対抗するためには、組織全体で情報セキュリティ意識を高め、適切なスキルを持った人材を投入による対策が不可欠です。しかしながら、情報セキュリティの対応力は一朝一夕での強化はなかなか難しいところです。資金を投資して仕組み側を一気にレベルアップすることは可能ですが、使いこなす従業員側の意識とスキルの向上が伴うには少し時間がかかります。

とはいうものの一日早くスタートすることで1日先を行くことができることも確かです。ランダムな攻撃は防衛側のレベルが高いと費用対効果が悪いため、攻撃者はより攻めやすいセキュリティレベルの低い他の攻略候補に向かうかもしれません。急激に変化している事業環境全体の流れの中で、経営者自らが情報セキュリティについても意識高く取り組むことを決断し、行動を起すことがまずは何よりも重要な第一歩と考えています。

では次に、防衛する側の技術的な視点で少し見てゆきたいと思います。

２．対策に必要な情報セキュリティスキル

専門のIT部門がない中小企業でも、最小限の技術的スキルをもって取り組まなければなりません。自社のみでの対応が理想ですが、一部やその多くを情報セキュリティ技術に秀でた外部事業者に委託することも可能です。ただし、何をどう依頼するのかについてはある程度理解をしておかないと、投資としての金額の妥当性も見極めができませんし、社内からの提案に対して適切な判断基準の下で実行の承認を出すこともかないません。

詳細は社内の担当部門や担当者にゆだねるとしても、その投資価値と期待できる効果について経営者として把握しておかなければ、担当している従業員が意識高く活躍していることを理解し評価できず、結果として担当者を含む社内全体の活動レベルの低下をもたらしてしまうことになりかねません。

会社として基本的なスキルが必要な事項は、以下の通りです。

① 基本的なITインフラの理解と設定スキル

(1) ネットワークセキュリティの基礎知識:

ファイアウォールの設定と運用、VPN（インターネット上に仮想の専用線ネットワークを構築する技術）の理解と安全な利用、無線LANのセキュリティ設定などを意味します。実務視点では、社内外でのデータのやり取りを行うために最低限必要な防御策ともいえます。城壁を強固にし、外部から窓を通して見える内容を把握したうえで制御し、城門における出入りのチェックレベルを上げ、不用意に内部情報が洩れず外部からも怪しい者が入らないための仕組みとその運営と例えることができます。

(2) エンドポイントセキュリティ対策:

PC、スマートフォン、タブレットなどの情報端末に対するセキュリティ対策ソフトの導入・運用・更新、OSやソフトウェアの適切なアップデート、USBメモリなど外部記憶媒体の適切な管理と利用ルールの徹底にあたります。

日頃のメールのやり取りや社内データベーへのアクセス時のセキュリティレベルの向上と確保がその対象です。城壁を強固にし、優れた門番を置いて怪しい人物に対応していても、数多く通過している荷物や食料について必要な検査活動をしていないと、城内からの不適切な財宝や情報の流出が起きたり、城外から病原菌や反乱に使われる武器などが持ち込まれたりする活動を防止できません。

(3) データサーバとOSのセキュリティ設定:

データサーバやOSの基本的なセキュリティ設定、定期的なセキュリティパッチの適用、ログの監視は防衛体制の維持に必須の項目です。

何年も前のチェックリストで門番が確認し、出入りする乗り物について経験からの感覚のみで確認を行っていては、新たに編み出された流出や持ち込みの手口を発見することはできません。

(4) クラウドセキュリティの基礎知識:

利用しているクラウドサービス（Microsoft 365、Google Workspaceなど）のセキュリティ設定、クラウドにあるストレージ（情報を記録しておく場所）上のデータの暗号化やバックアップは、自社保有の情報設備以外の情報インフラサービスを活用する際の基本事項となります。城の中だけが安全であればよいということはなく、業務を委託している城外の業務提供業者や保管庫などについてもしっかりと警備機能を付け、あるいは、信用できる外部の武将に協力を依頼するなどしなければ実効的な安全確保に至りません。

自社の情報はいろいろな形態で保管されており、これらにアクセスできる人も多種多様にわたるため、それぞれについて適切な情報セキュリティ上の対策を行わなければ、そこが即時自社の弱点となり、攻撃者が気が付くと集中的にアタックされることになりかねません。

濁流は高度が低く堤防の張り巡らされていないところに集中して流れ込み災害を引き起こします。情報セキュリティの視点での

防衛は、ある意味水害における防災と共通点があると考えています。日頃から相対的に弱い、あるいは、対応できていない部分

において不注意が重なり、災害のきっかけとなりうる原因が発生した際に、初期の段階で抑えこむ体制ができていないという条

件も重なったときに大災害につながるというイメージを持っていただけば、情報セキュリティにおける全体像をより深く把握願

えるのではと考えております。

②脅威検知とインシデント対応の基礎スキル

技術的な視点での防衛は、品質における対応と類似していると理解しています。品質確保においては、日々の確認結果や測定値を記録し、これを時系列的に理解し、異常が起きたときには発生している現象に対しての対処と同時に、記録されている内容を解析して同じようなトラブルが繰り返し発生しないためのプロセスが発動します。

(1) ログ監視・分析の初歩:

サーバやネットワーク機器、セキュリティソフトのログ確認は、情報の動きの把握と、どこからどんなアクセスがあったのかを検討するための記録と確認作業です。品質においては日頃から管理限界を超える前に異常な傾向を検知し、全体像を見据えながら推定されうる品質トラブルが起きないように予防的措置を策定して実行します。情報セキュリティの対応においても同様の考察と計画と行動が必要となります。

(2) マルウェア感染時の初動対応:

感染が疑われる端末のネットワークからの隔離、セキュリティソフトによるスキャンと駆除、被害範囲の特定と報告は、品質トラブルと同じく起きてしまった情報セキュリティ上のインシデントに対する初動に相当します。

(3) バックアップとリストア:

重要データの定期的なバックアップと有事の際の手順設定は、情報セキュリティに特徴的なものとなります。データは基本的に複製できるため、そのままでコピーして保管することが可能です。半面、複製されて持ち出されても何かが減るのではないことから、上述のアクセスログの記録と定期的な確認が無ければ問題が起きていることにすら気が付かないリスクがあります。尚、金銭目的の場合は営利目的の誘拐と同じで支払い要求が来るので、基本的にその時点で発覚に至ります。

(4) 脆弱性情報の収集と対応:

利用しているOSやソフトウェアの脆弱性への対策に関する情報収集は、自社で使用しているシステムについてどんなトラブルが発生し、どのような対策が必要であるのかを把握し対応するための活動の基本となります。敵を知り己を知れば百戦危うからずという故事成語がありますが、日頃からの情報収集と対応策検討の重要性は会社の事業推進の際の活動と何ら変わることはありません。

情報セキュリティを「対応しなければならないもの」としてコスト視点のみでとらえるのか、あらゆる市場環境変化を基にしてそれを「自社事業にどういう形で活用してゆくのか」という俯瞰的なとらえ方をするのか違いも、中長期視点で見ると大きな差を生み出すものと考えます。

これまで先進的にIT化を進めていた企業は、DXという話が新しい動向として出てきても、実際問題としてその半分のコンセプトは省力化や効率化の視点の下で既に実現してきているので、トレンドに踊らされることなくさらにその先を行く対応を取ることができることと同様のイメージです。

③ データ保護に関するスキル

(1) データの暗号化:

機密情報や個人情報を含むファイルやメール、ストレージの暗号化技術の理解と実践は、万一違法にコピーされたとしても内容の秘密性を確保するための基本的な対策です。攻撃者において暗号されたものを元のデータに復元する（復号）ことができなければ、漏洩があってもオリジナルは残っているので（情報が無くなっているのではないため）実害に至らない可能性があります。

盗み出した方も、攻撃先に脅しをかけるにしてもそれがいったい何なのかを解読できなければ効果的な脅迫のしようがないという効果も期待できます。

(2) アクセス制御:

ファイルやフォルダへの適切なアクセス権限の設定と管理、職務に応じて必要な情報のみにアクセスを許可する「最小権限の原則」の徹底にあたります。風通しの良い職場を意識しすぎて誰もが業務上不要な情報にまでアクセスできる状態では、個々人に盗用する意思がなくてもフィッシングなどでIDとパスワードを盗まれたときに、攻撃者がより多くのデータにアクセスできる状況作り出してしまうことになります。

情報は、「必要な内容を、必要なタイミングで、必要な人にのみ、必要な形態で共有する」ことが鉄則であり、電子的な情報の取り扱いについても同様の考え方を適用することが肝要です。

(3) データの物理的・論理的な破棄:

不要になった機密情報や個人情報が記録された情報システムにかかわる媒体の適切な廃棄方法の理解と実践は、ISOの規定や契約書の守秘義務の履行の観点からも留意して対応すべき事項です。紙の場合は焼却や溶解などの徹底的な対応を取っているのに、電子データには復元の容易な方法しか行っていないケースも十分にあり得ます。

例えば、ハードディスクやUSBメモリは通常のフルフォーマットのみでは高度なデータ復元技術の下では無力に近い状態です。PCに内蔵されているハードディスクについては、使えなくなるような物理的破壊（ドリルで穴を開ける）が効果的です。もし中古品として売却するときには、NIST（米国国立標準技術研究所）の基準に準拠しているデータ消去方式に従った対応が望まれます。

★求められているポイントは、どの情報がどれくらいの重要度を持っているのかを判断し、それに応じた適切な防衛手段と当該情報へのアクセスのコントロールを行うこと、そして、消去や廃棄時には防衛と同じレベルの意識を以って徹底的に行うことにつきます。

そして、その仕組みを適切に構築し、更新し、行動として維持してゆくことが重要です。これらの確実な実行には、経営者の日頃からの継続した指示と費用も含めた情報セキュリティ担当者への支援が大きな影響を与えることは言うまでもありません。

３．非技術的な情報セキュリティスキル

技術的対策と同時に、社内のセキュリティ意識の向上と有事の際の行動力についても考えておく必要があります。２．に挙げた対策は資金を投資すればかなりのレベルで構築が可能ですが、最終的には運用するのは人ですので、自社の従業員において適切な理解と対応力が獲得できていなければ、攻撃者は各種の事前調査から一番弱い点がこの「人の部分」と分かった段階でそこを狙って集中的に攻めてくると考えるべきと認識しています。

また、事業は自社のみで完結しているのではないため、ターゲットが大企業の場合は日頃から業務上の情報のやり取りが多いサプライチェーン上に位置している取引先、とくに中小企業や小規模事業者で情報セキュリティ対策が不十分なところを探し出して、そこを「踏み台」にして上流まで遡ってゆく作戦（サプライチェーン攻撃）がより重大な関心事となっていることは、前出の通りです。

非技術的スキルは、基本的には情報セキュリティに対しての個々人の取り組み能力、企業としての姿勢、そして具体的な行動力と知識を主要な要素としてあらわすことができます。

① リスクマネジメントスキル

(1) リスクアセスメント:

自社の情報資産を洗い出し、それぞれの情報資産に対する脅威と脆弱性を特定・評価するスキルと、リスクの優先順位付けを行い対策計画について立案する能力です。自社が所有している「事業に関する情報」にはどんなものがあるのか、客先に対して自社が販売している部材・部品・商品やサービスがどのようなジャンルの客先部門に納められているのか、その客先の次の納入先や使用分野は何かなどが重要な視点です。自社の製品や商品の形態だけに注目すると全体像を見失う可能性もあります。

情報セキュリティにおけるリスク理解においては、よく知られている理由で一般的に予想されるような事故や災害にのみ注目するだけでなく、思いもしない因果関係で想像だにしなかった、（少なくとも想定外の）事故や災害も検討事項として挙げておくという意識も必要かもしれません。一般的な事故や災害とは異なり、情報セキュリティにおけるインシデントは単純な確率論ではなく「悪意を持った攻撃者が、計画を立てて隙あらば」という形で実行しているという事実を無視するわけにはいかないという考え方です。

(2) セキュリティポリシーの策定と運用:

自社の実情に合った情報セキュリティポリシーを策定し従業員に周知徹底することと、定期的なポリシーの見直しと更新をすることが求められます。中小企業においては人員も投資する資金も限られているため、理想的な全ての事項を実行することはできません。しかし、会社として全体像を知ること、それぞれの項目について理解を深めることは経営者の指示があればできるはずです。

全体とある程度の詳細が把握できていれば、①自社の取引状況からどの部分をまずは強化し、②どの防衛策を優先的に選択し、③従業員全員でまずはどの仕組みやスキルを確実に実行してゆくべきかという判断を適切に行うことが可能となります。

(3) 事業継続計画（BCP）との連携:

サイバー攻撃などのインシデント発生時にも事業を継続できるよう、BCPの中に情報セキュリティインシデント対応計画を組み込むことが求められます。ただし、こと細かに書いたBCPを始めから作ろうとすると多大な労力を要することになり、それでなくても日々の業務が忙しく間接部門人員が少ない中小企業においては途中で実質的に中断してしまうことになりかねません。まずは、大項目的として網羅的なものを作成し、自社の実情を見たときに確率が高く影響も大きいと推定できる事項から順番に中項目・小項目に細分化することをお勧めします。

その中で、先に述べたように国としてサプライチェーン攻撃に対抗するための施策を検討中ということもあることから、情報セキュリティのレベルアップも優先順位の高い項目のひとつとして書き出しておくことも重要ではないでしょうか。

② コミュニケーション・教育スキル

(1) 従業員へのセキュリティ教育・啓発:

全従業員を対象とした定期的な情報セキュリティ研修の企画・実施、セキュリティ意識向上のためのポスター掲示や社内通達、セキュリティに関する問い合わせ窓口の設置と対応の実施が求められます。半年に一度全従業員に対して情報セキュリティの基礎についての講習をすることも効果的です。実施において活用できる動画も関係団体から各種提供されており、講義を担当する部署の負担も軽減することができます。

(2) 経営層への説明・報告スキル:

情報セキュリティ対策の必要性や投資対効果にあわせて、リスク状況などを経営層に分かりやすく説明し、理解と協力を得るスキル、インシデント発生時の状況報告と再発防止策の提案をする力を意味しています。経営者が情報セキュリティの対応推進を指揮・支援するにしても、専門用語の羅列で報告されていては適切なビジネス判断の障害になります。世の中の被害の実態や自社に関係する情報例とその対応案、具体的な費用と期待される効果などを投資案件として提案し、実行内容について実務と経営の間を取り持つような視点でまとめることもこれから求められるスキルといえます。

(3) インシデント発生時の関係各所との連携:

インシデント発生時に、社内外の関係者と迅速かつ正確に情報を共有し、連携して対応を進めるコミュニケーション能力も必要です。社内の自力だけでは難しいので、平時から都道府県の関係官公庁や公的機関のサイバー関係の部署の講習会に出て関係を確保したり、万一の際に対応を依頼できる外部専門事業者を探して具体的な活用方法の情報を得たりするなどの準備は、負荷を最小限に抑えながらも対応できる事項です。この活動は自社の全体のスキルアップにもつながりますし、対応行動の一環として経営者や経営層と担当者の一体感の醸成にも貢献すると期待されます。

③情報収集・分析スキル

(1) 最新の脅威情報・対策技術の収集:

IPAやJPCERT/CCなどの機関、セキュリティベンダー、ニュースサイトなどから、最新のサイバー攻撃の手口、脆弱性情報、対策技術に関する情報を継続的に収集・理解するスキルです。詳細にわたって把握することは専任であっても難度が高いものもありますが、少なくとも何が起きているのか、どういう対応策があるのかを経営層に解説するための情報収集努力と意識が求められます。

※ JPCERT/CC：特定の政府機関や企業から独立した中立組織として日本での情報セキュリティ対策活動の向上に取り組んでいる一般財団法人

(2) 業界動向の把握:

自社が属する業界特有のセキュリティリスクや規制動向を把握し、対策に活用する力です。現在では生成AIを使った調査によって大きな負荷なくまずは大まかな情報を収集することが可能です。従って今後必要となるのは、それらの情報を基に自社としてどのようなことを優先的に対応するべきかという解析と、投資案件として提案する能力といえるとの考えです。

④法令・ガイドライン遵守に関する知識

(1) 個人情報保護法などの関連法規の理解:

個人情報保護法をはじめとする情報セキュリティに関連する法令やガイドラインを理解し、遵守するための体制を整備するスキル、プライバシーマークやISMS認証（ISO/IEC 27001やJIS Q 27001；共に情報セキュリティにかかわるマネジメント規格）の全体像知識もその取得予定の有無にかかわらず非常に大切です。

情報システムの業務分野は他から独立に存在しているものではなく、例えば社内に提供する仕組みの一部が個人情報保護にかかわる法律とプライバシー保護にも直結しており、また、内外との情報のやり取りでは企業秘密の漏洩防止にも重要な役を担います。

★情報システム部門は、適切なメンバー間でのリアルタイムが情報共有の可能化や、リモートでの業務遂行や他社との電子取引、工場や営業所、事業所間のデータ通信の効率化まで、その役割はPCと通信にかかわる多岐にわたるものです。従って一般的な間接部門と異なり企業全体の視点で内容を検討し、バランスを取った提案をすることが任務びとって不可欠な事項となります。

社内での役職によらず情報システムを率いるメンバーの役割はCIO（最高情報責任者）という視座で考える立場にあり、本来は現在の情報社会の中では経営層の中で担当者を確保しておくべき能力のひとつでもあります。その検討と提案と判断には経営視点での検討が必要であるため、経営層に情報システム担当者がいない場合は経営者自らが情報システム担当者とタッグを組んで同分野について理解し考えて指示を出してゆけることが、今後の企業運営において命運を分ける時代になってきたといえます。

情報セキュリティはこのような大きな視点での取り組み事項の一環であるため、経営者自らが（あるいは経営層のメンバーが）大いに関心を以って対応するべきということを強調してもしすぎることはありません。

４．スキル習得と体制構築のポイント

中小企業がこれらのスキルを習得し、実効性のあるセキュリティ体制を構築するためには、以下のような点が重要となります。

(1) 経営層のリーダーシップ:

繰り返しになりますが、情報セキュリティ対策は経営課題であるという認識の下、経営層が積極的に関与し必要なリソース（予算、人材）を確保することがまずは第一歩です。即時の対応ができなくても、準備として何らかの具体的な活動をスタートするべきです。

(2) 担当者の任命と育成:

まだ体制がない場合は、どれだけ人数が少ない状態であっても、まずは兼務でも良いので情報セキュリティ担当者を任命し、必要な知識・スキル習得のための研修機会を提供することから始める必要があります。資格取得支援も有効です。情報セキュリティの対応を外部事業者に依頼するとしても、何をどれくらいの費用で行うのかという経営判断の基になる部分を経営者や経営層と共に考える社内側の立場の要員確保が必須です。

(3) 段階的な対策の実施:

全てを一度に行うのは困難なため、リスクアセスメントに基づいて優先順位をつけ、段階的に対策を推進します。そのためには、全体の大まかな理解、多数出てくる専門用語のあるレベル以上の理解力、経営層に対して提案する内容を選択し解説する力量が求められます。

(4) 外部リソースの活用:

自社だけでの対応が難しい場合は、セキュリティコンサルタント、ITベンダー、セキュリティ監視サービスなどの外部専門家やサービスを積極的に活用することも可能です。ただし、そのような場合は、その専門家群を活用するための社内・経営視点で応援をする役割のアドバイザーを社内側に追加して組み入れることも価値があるとの理解です。アドバイザー側からの第三者的な位置づけでのコメントを参考として聞くことで、自社としての立ち位置と投資規模を判断することが容易になります。

(5) 従業員一人ひとりの意識向上:

技術的な対策だけでなく、従業員一人ひとりが「自分ごと」としてセキュリティ意識を高めることが最も重要で、このためには継続的な教育と啓発活動が不可欠です。教育を受けた瞬間だけ意識するのではなく、日頃から情報の取り扱いについてどうあるべきかを問い問われる機会が増えることが大切です。大手企業を中心とした企業向けに有償で従業員の対応力チェックのための調査用フィッシングメールを送るなどのサービスがあるほどで、個々の従業員の情報セキュリティ対応能力の向上は現実的なインシデント回避のために必要不可欠な事項です。

(6) インシデント対応体制の整備と訓練:

インシデント発生時の報告体制、連絡網、対応手順を明確にし、定期的な訓練を実施することで、有事の際に慌てず適切に対応できるようにすることが肝要です。前出のBCP対応のところで有事の際に行うべきことのリストが概要的であってもある程度完成していれば、あとはその内容を定期的に確認し、その時点での状況に応じて改定し、さらには各種の機会を利用して少しずつ詳細化を進めたりするなど、行動を継続することが肝要です。

(7) 定期的な見直しと改善:

セキュリティ対策は一度行ったら終わりではなく、脅威の変化やビジネス環境の変化に合わせて、定期的に対策内容を見直し改善していく「PDCAサイクル」を回すことが大切です。既存のISOの内部審査に組み入れて定期的なアップデートを促すことも、使える＆価値ある情報セキュリティ対策の確立のための大切な観点です。

★情報セキュリティの確保のための活動はある意味では全員参加型スポーツと同じで、一部が弱いとそこが狙われ情報漏洩のリスクが増します。全従業員に理解してもらい一致団結して対応しなければ、対策案も絵に描いた餅となります。実務的には、事業継続計画（BCP）視点でのサイバー攻撃や情報漏洩への対策準備、定期的な内容確認と実態に応じた更新と目的を実現するための改訂に尽きるとの認識です。

５. おわりに

ここに挙げた各種スキルの獲得への最大のポイントを改めてまとめますと、経営者が「情報セキュリティへの投資は今後会社にとって極めて重要」と認識し、「自らが率先して自社と顧客と関係先を守る行動」を示し（指示を出す）、その活動を「支援」することです（丸投げはご法度です）。

会社の重要事項として経営者自らが決断し、シンプルであっても社内体制を明確化し、適切な投資も行いつつ技術的スキルと非技術的スキル（社内意識）をバランス良く向上し、組織全体でセキュリティ意識を高めることができれば、巧妙化するサイバー攻撃の脅威に立ち向かうことがでるでしょう。

情報セキュリティの対応は、それのみならず会社経営の一環として俯瞰的な視点からの検討が求められる事項です。情報セキュリティだけからの単視眼的な発想ではなく、中長期目線での総合的な企業経営の観点からの検討と投資判断が重要となり、その視点でのアドバイザーの活用も成功へのキーとなりえます。

本件への適切な対応力は、今後中小企業が取引先から信頼を得つつ成長するための生命線であり、強い財務体質や３Ｓ～５Ｓの励行と同じく重要評価項目のひとつとなってゆきます。まずは情報セキュリティに関する自社の実態の棚卸をすることをお勧めいたします。

尚、本件についての取り組みにおいては、IPAが提供する「中小企業の情報セキュリティ対策ガイドライン」などが参考になります。また、今回記しました各項目について社内のどの部署あるいはどの担当者がどこまで意識してくれているのか、もしも外部協力者に依頼している場合は貴社での対応についてどこまでを貴社の目線で検討し実績として提案してくれたのかを確認し状況把握されることが、今後のはじめの一歩となり得ると思われます。

本稿が顧客からの信頼と安心感を獲得できる企業運営状態を確立するためにお役に立てられれば幸いです。長文にもかかわらず、最後までお読みくださり誠にありがとうございました。

【 参考情報】

情報処理推進機構 (IPA) - 情報セキュリティ

・中小企業向けの情報セキュリティ対策ガイドライン、ツール、セミナー情報などが豊富。特に「中小企業の情報セキュリティ対策ガイドライン」は必読。

https://www.ipa.go.jp/security/

中小企業の情報セキュリティ対策ガイドライン第3.1版

https://www.meti.go.jp/press/2025/04/20250414002/20250414002-1.pdf

IPA-情報セキュリティに関する脅威や対策などを学ぶための映像コンテンツ

https://www.ipa.go.jp/security/videos/list.html

IPA-5分でできる！情報セキュリティ自社診断

・自社のセキュリティレベルを手軽にチェックできるオンラインツール。

https://www.ipa.go.jp/security/guide/sme/5minutes.html