大企業のセキュリティ対策はほぼ完了、次はSMB市場だとセキュリティ業界はいいます。果たしてSMB市場のセキュリティ対策は、「大企業に導入した製品の廉価版」を入れるだけでいいのでしょうか。第5回では中堅企業のセキュリティ対策を“三輪節”で解説します(編集部)
私が前職でセキュリティサービスを提供していたときには、顧客は上場企業か政府系がほとんどでした。それはそういうお客さまを意識したサービスを提供していたからではなく、結果的に大企業や政府機関しかお客さまになっていただけなかったのです。
日本の企業の大部分を占めるのは中小企業であり、俗にいわれるSMB(Small and Medium Business:中堅・中小企業)市場はセキュリティ業界からは未開の地であり、宝の山ではないかとされてきました。
大企業から仕事を受託するような中小企業の場合、業務遂行上個人情報や機密情報を受け取ることもあるでしょう。大企業のセキュリティ対策が進んでいたと仮定して、中小企業のセキュリティ対策ができていないとすると、当然、情報漏えいは中小企業から起こる可能性が高いでしょう。水は低いところから漏れるように、情報もセキュリティレベルが低いところから漏れる可能性が高いでしょう。
大企業の情報セキュリティ対策はそろそろ成熟期を迎えつつあり、自社だけのセキュリティ対策の範囲を関連企業や取引先に広げはじめています。
ところで、中小企業は大企業と同じような対策を、サイズを小さくして実施すればいいのでしょうか。私は中小企業の現場を見ると、必ずしもスケールダウンモデルだけがソリューションであるとは限らないと考えています。
大企業と中小企業の大きな差はなんでしょうか。いろいろな見方があると思いますが、1つには社長の目が届いていたり、社員同士のつながりが深いことがセキュリティ対策にも影響するのではないでしょうか。また、中小企業はサイズが大きくないことを武器にして機動力を発揮する必要もあります。そのためにはITは大きな武器であり、ITを使いこなすことで競争力を発揮できるのです。
そこに大企業がやるようなセキュリティ対策をそのまま当てはめると、中小企業のIT戦力は低下し競争力を失ってしまう危険性があります。企業を守るためのセキュリティ対策が機動力を失わせ、経営を圧迫することなどあってはならないことです。
大企業のセキュリティ対策は「関係者に内部犯行を行う者がいる」「ルールだけでは周知徹底ができずに、強制的にシステムで守る必要がある」などの基本的な前提条件があります。しかしながら、従業員が少ない中小企業ではその前提が違う場合があります。社長の一声で周知徹底ができることもあれば、家族的な関係を築けている場合には内部犯行を企てる社員もいないかもしれません。
つまり、風通しのよい中小企業の場合には、深く広く全体的な対策よりも「取引先の情報が漏れないように」であったり、「他社よりもITの機動力を生かしたい」「できるだけお金をかけずに効果的に」「取引先に自慢できる分かりやすいもの」などの多様なコンセプトがあってもいいと思います。情報セキュリティサービスを提供するベンダも、大企業向けよりも多様なニーズがある前提で知恵を絞った方がいいのかもしれません。
例えば、大企業なら「ノートPC持ち歩き禁止」とするのを、あえて「持ち歩けるような対策」にしてもいいのです。中小企業では顧客の要求にタイムリーに応じなければなりません。そのためにはノートPCは必須であり、場所や時間を問わず資料作成やメール対応できる方がいいでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.