中堅・中小企業の情報システムは大企業に比べれば規模が小さい。しかし、大企業も中堅・中小企業も悪意ある攻撃の標的になり得るという点では何ら変わりがない。
一方、経済環境は依然として厳しい状況が続いている。IT投資に予算を割くことが難しい状況であるが、セキュリティ関連の脅威は自社の業績と関係なく降りかかってくる。そのため、中堅・中小企業にとってはこれまで以上に「最小限のコストで最大限の効果を上げる対策」が必要となってきている。
そこで、本稿では中堅・中小企業が取り組むべきセキュリティ対策のポイントについて解説していく。
セキュリティ対策の大まかな分類
セキュリティといってもその範囲は非常に広い。対策を施すべき対象(守るべき対象)は、サーバやクライアントPCといった機器からビジネス文書などのデータまで様々なものがある。手法(守り方)も、専用機器を導入する方法やソフトウェアをインストールする方法など多種多彩だ。
ここではわかりやすさと網羅性のバランスを考えて、セキュリティ対策全般を大まかに分類してみることにする。
セキュリティ対策の分類(画像をクリックすると拡大します)
対策を施す対象
- [サーバ環境]:サーバハードウェア、その上で稼働するOS、ミドルウェア、アプリケーション、格納されているデータを指す
- [クライアントPC環境]:クライアントPCハードウェア、その上で稼働するOS、アプリケーション、格納されているデータを指す
- [ネットワーク環境]:サーバ環境とクライアントPC環境を結ぶスイッチやルータなどの機器、およびそれらによって伝送されるデータを指す
対策の実施手法
- [ハードウェア面での対策]:IT関連機器に対する施錠などの物理的な対策、セキュリティ対策機能を備えた専用ハードウェア、アプライアンス、デバイスの活用を指す
- [ソフトウェア面での対策]:対策を施す対象にソフトウェアをインストールする、またはネットワーク経由のサービスを利用することによってセキュリティ対策機能を実現する手法全般を指す
では次に、サーバ環境、クライアントPC環境、ネットワーク環境のそれぞれについて、最近の動向や留意すべきポイントなどについて順に述べていくことにする。
