カドカワ、アサヒビール、アスクル……。名だたる大企業がランサムウェアなどのサイバー攻撃により、甚大な被害を受ける事例が後を絶ちません。潤沢な予算と人員を持つ大企業ですら防ぎきれない今の時代、私たち中小企業は一体どうやって会社を守ればよいのでしょうか。
私は地方企業の情シスとして、限られた予算とリソースの中でセキュリティ対策に向き合ってきました。今回は、「予算ゼロからの自前対策」と「実運用に耐えうる商用製品の導入」という2つのフェーズを通じた、中小企業向けの現実的なセキュリティ構築アプローチについてお話しします。
セキュリティ対策を進める上で、どの企業も必ずぶつかる壁があります。
特に2点目は切実です。経営層に「安心」への投資を説得するには、具体的な「脅威の可視化」が必要です。そこで私が最初に取り組んだのは、自前での監視システムの構築でした。
まずは「現状を知る」ことから始めました。高額なソリューションを入れる前に、手作りで仕組みを構築しました。
これにより、いわゆる「自前EDR(Endpoint Detection and Response)」のような環境を構築しました。 「うちは地方の中小企業だから狙われない」という神話は、Grafanaのグラフが右肩上がりに跳ね上がるのを見て崩れ去ります。この「可視化された事実」こそが、次のステップへの予算獲得の武器となります。
Grafanaは無料で構築可能です
自前システムは検知には役立ちますが、防御や駆除までは自動化できません。また、Windows標準の Windows Defender は優秀ですが、集中管理機能(ダッシュボード)が弱く、「今、組織全体で何が起きているか」を把握するには不十分でした。
限られた情シス担当者の人数で、すべてのアラートに対応するのは不可能です。そこで、「攻撃されてから対処する」のではなく、「攻撃を未然に防ぐ」 アプローチへの転換を決意し、EPP(Endpoint Protection Platform)製品の選定に入りました。
数ある製品の中から私が選んだのは、Deep Instinct です。
中小企業にとって最も怖いのは、攻撃を受けた後の「復旧コスト」と「業務停止時間」です。だからこそ、入り口で止める「予防」に特化したこの製品が最適解だと判断しました。
どれだけ優れたセキュリティ製品でも、導入によって業務アプリが動かなくなっては本末転倒です。コンサルティング的な視点で重要なのは、「業務への影響を最小限に抑えつつ、確実に守りを固める」 導入計画です。
私は以下のようなステップで、慎重に展開を進めています。
このように、スモールスタートで実績を作りながら範囲を広げることで、現場の混乱を防ぎながらセキュリティレベルを底上げすることができます。
私は田舎にある本社で活動していますが、セキュリティのトレンドは日々変化しています。Webの情報だけでは得られない「生の声」や「他社の失敗・成功事例」を得るために、東京ビッグサイトなどで開催される展示会には積極的に足を運んでいます。
「情報は足で稼ぐ」。 会社が情報収集のための出張予算を出してくれるのは、これまでの自前構築や運用実績への信頼があるからだと感謝しています。そこで得た最新の知見を、自社のシステム、ひいては将来のお客様へと還元していくことが私の役割だと考えています。
セキュリティ対策に「銀の弾丸(これさえ入れればOK)」はありません。 予算やリソースに合わせて、「まずは可視化(自前)」→「要所の強化(商用製品)」と段階を踏んでいくことが、中小企業における最適解です。
もし、自社のセキュリティ対策に不安をお持ちの企業様がいらっしゃれば、実体験に基づいた導入支援や選定のアドバイスができるかと思います。単なるツールの売り込みではなく、業務を守るための「戦略」を一緒に考えましょう。