専門の情報システム部門を持たないことが多い中小企業では、クラウドサービスを導入することが推奨されます。
クラウドサービスは、インターネット上にあるデータやソフトウェアをどこに存在するかの意識をすることなく使う利用形態を指します。自社で管理するオンプレミスとのざっくりした違いは利用形態にあります。
クラウドサービスは 「SaaS(サース)」「PaaS(パース)」「IaaS(アイアース)」 の3つに分類出来ます。この分類でクラウド事業者とクラウド利用者でセキュリティをコンロールする範囲(レイヤ)が異なります。
下図のように SaaSサービス は、セキュリティコントロールの多くをクラウド事業者に委ねることができます。IT に詳しい社員がいない会社でも導入がしやすいサービスといえます。
とくに顧客への提案から商談を経て受注に至る機能を持つ SFA(Sales Force Automation)や、顧客からの問い合わせ・アフターサポートを受け持つ CRM(Customer Relationship Management)の領域は SaaS 製品の種類も多く、月額費用も安いのもあるので、営業部門やカスタマーサポート部門が、自分たちの予算で購入することが可能な領域と思います。管理する顧客が少ない場合は、無料で利用できるツールもあります。
SFA と CRM の業務領域は異なるのですが、SaaS ツールでは、両者の機能をあわせ持っていることが多いはずです。ただ、ツールによって得意とする領域も異なるので、導入にあたっては、複数のツールを比較検討するのがいいと思います。
ただ、SaaSサービス のセキュリティコントロールの多くは、クラウド事業者に委ねるといっても、データ管理は利用者で責任を持つ必要があります。
たとえば、システムへのログインに際しては、利用者IDと、パスワードによる認証方式を採用しているサービスが多いのですが、IDの管理を楽にするため、共通のIDを複数の利用者で使いまわしすると、情報漏えいのリスクが高まります。更にパスワードが単純だと、より危険です。
共通IDとパスワードの典型例
- ID:eigyo、パスワード:123456
ちなみに日本で使われるパスワードの人気ランキングは、1位:123456、2位:password、3位:1234 のようです。これらのパスワードは瞬く間に見破られるので、使ってはいけないです。
怖いのは 共通IDとパスワード で、SaaS を利用していた社員が退社したら、IDとパスワードが外部に流出することと同じになります。退社した社員の頭のなかの記憶を消すことはできません。煩雑でもシステムを利用する社員には、個別のIDを付与し、退社した社員のIDは、即座に消す運用が必要です。
情報システムを専門で管理する人がいない会社でも、情報セキュリティに対する最低限の意識は絶対に持たなければいけません。
中小企業がセキュリティの意識を高めるうえで役立つ情報源に、IPA(独立行政法人情報処理推進機構)による「中小企業の情報セキュリティ対策ガイドライン」があります。
このガイドラインには、「情報セキュリティ5か条」という、中小企業がまず意識するべき、セキュリティ対策の思想を明記してます。
下記の5か条しかないので、誰でも覚えることができるはずです。5か条は丸暗記して、普段のセキュリティ対策に活用をして欲しいと思います。
情報セキュリティ5か条
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!