今回は、新潟通信機が行った情報セキュリティ対策の具体的な取り組みについて解説する。コンピューターネットワーク上の見えない通信を見える化し、サイバー犯罪に対抗できる社内体制を確立、標的型攻撃やコロナ禍におけるテレワーク接続口への攻撃への対処などを行ったのだ。

基本的な情報セキュリティ対策

　経済産業省と情報処理推進機構（IPA）が中小企業の情報セキュリティ対策水準の向上を図る「中小企業の情報セキュリティマネジメント指導」業務を開始し、新潟通信機が応募、筆者が同社に派遣されたのが2019年のことである。この指導業務は、専門家が派遣先の情報セキュリティ管理体制の構築を支援するもので、支援を受けた382社のうち96.4%が「成果が得られた」と回答する、大変好評の事業だ。

　これまで新潟通信機では、基本的な情報セキュリティ対策として、社内のサーバーやPCなどにウイルス対策ソフトを導入し、社内ネットワークからインターネットへの接続地点にUTM（統合脅威管理）と呼ばれるセキュリティ対策製品を導入していた。また、他部門との兼任者が多いものの、IT部門があり、情報セキュリティ対策を実施してきた。
 
　一般的に、ウイルス対策やUTMといったIT製品の導入は、基本的な情報セキュリティ対策として必要なものであるが、サイバー犯罪の被害を防ぐには十分とはいえない。理由は、ランサムウェアや標的型攻撃が最終目的である金銭や情報の盗取を果たすために初期侵入の段階で気付かれることがないよう、ウイルス対策ソフトなどで検知されにくいように作り込まれているからである。

管理策の整備

　高性能なIT製品を導入するのも選択肢の一つだが、情報セキュリティ対策の性質上、いかに高性能な製品でもウイルスなどを100％検知・駆除することは技術的に不可能であり、多くの場合、コスト的に見合う製品を使いつつ、人による管理策などでカバーしている。

　新潟通信機への指導業務では、この管理策を経営者の考え方を踏まえながら実効性ある具体的な方法をディスカッションしながら策定。事前ヒアリングを経て、約3カ月かけて原案の作成までこぎつけた。
 
　基本方針は経営者が情報セキュリティ対策に取り組むということの宣言。組織体制は部門ごとに情報セキュリティ対策の役割分担となる。ほかの内容も、いわれてみれば当たり前のように決めておいた方が良いと思われることが多い。

　一方、いざウイルス感染などが発生した場合、社員個人が誰にも報告せず駆除などの対応をするだけで良いのか、駆除の手順が適切なのか、そもそも経営者が情報セキュリティ対策についてどう考えているのか知らない、もしくは以前に説明を受けたが忘れてしまったなど、曖昧なことが多い。特に、ウイルス対策ソフトで検知しにくいランサムウェアや標的型攻撃は、感染したPCなどの不審な挙動（動作が重くなった、見慣れないエラーメッセージなど）を発見した社員が、あらかじめ決められたルールに従って報告することが被害を把握するきっかけとなる。

　同社は、高度化する近年のサイバー犯罪への対応として、基本的な情報セキュリティ対策製品の利用に加え、このような管理策の整備を行った。いわば、組織としての対策である。次回は、同社が施した技術的対策について述べたい。