サイバー攻撃の脅威迫る、中小企業が採るべき対処策
コメント
注目のコメント
非常に難しい問題です。
世界的にも中小企業のセキュリティ対策にはさまざまな論が存在しています。
主流なのは、サイバーセキュリティ人材の確保難易度から見て、「中小企業に最低限必要なインフラを、クラウド事業者やパッケージ品メーカーが供給し、その中で供給側の事業者が製品のセキュリティを担保すべき」という論でしょう。
私もこれは賛成で、しかしどこまで製品がセキュアになろうとも、ソーシャルエンジニアリングまでは防げません。
最低限のリテラシーと、「サイバーセキュリティ投資」というキーワードを正確に理解してもらう必要がある。
サイバーセキュリティ投資とは、ファイヤーウォール製品などの導入もそうですが、より中小企業にフォーカスすれば、それは「セキュアな製品選び」という読替えをすべきでしょう。
PCひとつとっても、「安いから」「スペックがいいから」で決めている企業が多く、「セキュアだから」を理由にしているところは少ない。
この部分の意識改革をやるだけでもかなり変わってくるでしょうね。真面目にセキュリティやると、運に恵まれた 無策中小企業と比較し、競争力で不利だと言う心配や圧力が有るかと思います。
そうであれば、プライバシーから遠ざかる戦略をとるのはどうでしょうか。無いものは盗まれようが無い戦略です。
多くの中小企業が提供するサービスのうち、田中さん、佐藤さんと、個人名とひも付ける必要が本当にあるのか、あるとしても、どの業務には必要で、他は不要ではないのか、徹底的に精査してプライバシーは可能な限り顧客に寄せるのが得策だと思います。 管理で何とかなると思わないで、アーキテクチャから見直しです。
もし寄せきれなければ、徹底的に個人情報を局所化し、狭い範囲で強烈なセキュリティを施し、相応のリソーセスを投入し、その煩わしさを 上記改善のモチベーションにします。
①輸送するのはウチではなく、宅配会社(宅配会社の新サービスで個人情報秘匿管理APIを活用するアプリ設計)
②受付はコールセンターだけ(コールセンターの新サービスで個人情報秘匿管理APIを活用するアプリ設計)
③スマホ画面内での 個人名を使ったおもてなしは、中小企業のサーバーから送るのではなく、スマホ画面内でのみ完結。例えばスマホから個人情報銀行にリクエストして 名前や写真の様な情報を引き出し表示。
とはいえ、エクセル一覧やRPAみたいな、アッパッパーな管理が好きなら、しょうが無いです。。
この先、DXで一層データを活用することになるので、成り行き、個人情報がインターネットを通して世界中に拡散され、強烈に永続化され、収集がつかなくなるかもしれません。 ゴメンなさいテヘペロ戦略。
もういい加減に、氏名、生年月日、住所、母の旧制、小学校の担任、あだ名、ペットの名前とか、個人情報聞いてくるの、ヤメテもらえると幸いです。健康と一緒で、自分が身をもって体験しないとなかなか投資しないところだと思います。実際にはカフェでノートパソコンを開いたままトイレや喫煙ルームに行った人を見て、画面丸見えだけど大丈夫なのかな?と思うこともしばしばあります。
