お役立ち情報 10名以下の企業がコストを抑えてセキュリティ対策をするには?

10名以下の企業でもセキュリティ対策は必要なのか

セキュリティ対策は、企業の規模に関係なく重要です。例え従業員が10名以下の企業であっても、顧客や取引先の個人情報や機密情報を扱っている場合があります。もし、そのような情報が外部に漏れたり、改ざんされたりしたら、企業の信用や業績に大きな損害を与える可能性があります。

サイバー攻撃によってシステムが停止したり、データが消失したりすると、業務に支障をきたすだけではなく、システムやデータの回復に時間と費用がかかります。

例えば、2022年9月の警察庁が発表した「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェア被害の52%が中小企業で発生しています。そのため、10名以下の企業でも、セキュリティ対策は必要不可欠です。セキュリティ対策は、コストや手間がかかるだけで意味のない取り組みではなく、リスク管理や事業継続のために必要な投資だと認識することが重要です。

また、効率的にセキュリティ体制を構築・整備する方法のひとつして、ISMS/ISO27001認証の取得が挙げられます。情報セキュリティの国際規格であるISMS/ISO27001に則って体制を構築し、第三者機関から認証を得ることで、組織が求められるセキュリティ対策を網羅的に実施することができますし、そのレベルも対外的に示すことが可能です。

10名以下の企業がISMS取得で検討すべきポイント

ISMS認証を取得するには、多くの時間や費用がかかるため、ある程度企業規模が大きくなってから取得するものというイメージをお持ちの方も少なくありません。
実際には、ISMS認証は10名以下の小規模な企業でも取得することが可能です。ISMS認証は、組織の規模や業務内容に応じてセキュリティ対策のレベルを選択することができます。そして、企業規模や社会環境の変化などに応じて、セキュリティ対策を発展させていくことができます。

組織の規模にあわせて運用しやすいISMSルールにしていくために、例えば次のようなことを考えてみましょう。

委託先管理に関する対策を検討する

一般的な委託先管理の流れとして、次のようなものがあります。

  1. 委託先選定の基準を作成
  2. アンケート送付等で委託先を評価
  3. 契約
  4. 台帳に登録
  5. 定期的に再評価

これは委託先に対してアンケートを送付し、委託先でのセキュリティ状況を評価することができるため、有効なセキュリティ対策として実施されていることが多いです。しかし、有効なセキュリティ対策ではありますが、基準の作成やアンケートの送付、評価をすることは、非常に多くの工数がかかり、小規模な企業で実施しようとすると通常業務に支障をきたしかねません。

この場合、ISMSでは組織の規模に応じてセキュリティ対策のレベルを柔軟に選択することができるため、まずは次のようなシンプルな流れにすることが考えられます。

  1. 委託先選定の基準をISMSやPマーク等の第三者認証の取得有無とする
  2. 委託先の第三者認証の有無を確認
  3. 台帳に登録
  4. 定期的に再確認

もちろん、完璧なセキュリティ対策ではないかもしれませんが、完璧なセキュリティ対策を目指して、通常業務が疎かになってしまっては元も子もありません。

内部監査

ISMSでは毎年、内部監査を実施する必要があります。内部監査は、ISMSやセキュリティ、自社のルールなどに精通した社内の内部監査員によって、「ルールがしっかり守られているか」「ルールがセキュリティ上、有効に機能しているか」をチェックするために実施します。通常、内部監査は企業のすべての部門で実施する必要があり、それぞれ1日がかりで実施することもあるため、内部監査員や各部門の担当者には大きな負担となります。また、内部監査員を社内で育成するコストも見逃せません。

この場合、ISMSでは内部監査の規模や実施方法について柔軟に選択することができます。規模については、部門ごとに30分から1時間程度で実施することも可能です。また、実施方法については、そもそも内部監査を外部に委託するという選択肢があります。内部監査を外部に委託する場合は、内部監査員の育成コストがかからなかったり、より客観的な視点からのチェックを受けることができたりするメリットがあります。

このようにISMSでは、自社の規模や業務内容に合わせてセキュリティ対策のレベルを選択することができます。通常業務に支障が出ないように適切なレベルのセキュリティ対策を実施することが重要です。

まとめ

セキュリティ対策は、企業の規模に関係なく重要な取り組みですが、煩雑なルールの策定や高額なシステムの導入が必要というイメージから、自社にはまだ早いと思われがちです。しかし、ISMSでは自社の規模や業務内容に合わせたセキュリティ対策が可能なため、無理なくセキュリティ体制の構築が実現できます。

LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。
数多くの顧客支援で培ったノウハウをもとに、専門コンサルタントチームが取得までしっかりサポートします。

また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ体制整備にお悩みの方は、お気軽にご相談ください。

まずはお気軽にお問い合わせください

TEL03-5719-6234

お電話でのお問い合わせもお待ちしております。
受付:10:00~18:00 (土日祝日、年末年始は除く)