私が前職でセキュリティサービスを提供していたときには、顧客は上場企業か政府系がほとんどでした。それはそういうお客さまを意識したサービスを提供していたからではなく、結果的に大企業や政府機関しかお客さまになっていただけなかったのです。

　日本の企業の大部分を占めるのは中小企業であり、俗にいわれるSMB（Small and Medium Business：中堅・中小企業）市場はセキュリティ業界からは未開の地であり、宝の山ではないかとされてきました。

　大企業から仕事を受託するような中小企業の場合、業務遂行上個人情報や機密情報を受け取ることもあるでしょう。大企業のセキュリティ対策が進んでいたと仮定して、中小企業のセキュリティ対策ができていないとすると、当然、情報漏えいは中小企業から起こる可能性が高いでしょう。水は低いところから漏れるように、情報もセキュリティレベルが低いところから漏れる可能性が高いでしょう。

大企業なら「ノートPC持ち歩き禁止」とするのを、あえて「持ち歩けるような対策」にしてもいいのです。中小企業では顧客の要求にタイムリーに応じなければなりません。そのためにはノートPCは必須であり、場所や時間を問わず資料作成やメール対応できる方がいいでしょう。

最近お話しさせていただいた会社ではノートPCを「気を付けて」持っています。それだけです。HDDの暗号化もシンクラアイントもWebシステムもありません。メールはPOPでアクセス。初めてその会社を訪問したときには驚きましたが、その会社はある情報漏えい事件を契機に持ち出し禁止にしました。社員も情報漏えいの恐ろしさをわがこととして身に染みたのです。
ところが、しばらくすると仕事に大変影響が出ることが分かったのです。営業マンはノートPCが使えないので、会社にこもるようになりました。顧客のメールに対応しなければならないのと、会社に戻って日報を書くのが面倒だったのです。しかも夜遅くまで残ることも増えました。資料作成をしなければいけないからです。営業マンのモチベーションも徐々に下がっていき業績も悪くなります。そこで社長が一念発起していったのです――「気を付けて持て」と。
驚いたのは社員です。「情報漏えいが起こったらどうするのだろう」と皆が思ったそうです。でも、よく考えてみたら「自分たちが」なくさなければそれでいいのです。それに社員たちは以前の情報漏えい事件で怖さが身に染みていますから、いまさらセキュリティ教育は必要ありません。

そんな会社でも宴会のときには極力ノートPCを持ち歩かないようにしていますし、よく酔っ払う社員にはかばんを持たせません。足元に大事に置いてありますし、電車でも網棚には置きません。やはり社長の「命がけで持て」という言葉が浸透して立派なセキュリティ文化が出来上がったのです。いつまで続くかはこれからの課題ではありますが、1円もかけずにセキュリティ対策を敢行した例です。

ログは無秩序に取ってはいけない、ログ取得は設計が必要だ、ともいわれていますが、予算が潤沢にない場合には「まず取ってみる」ことも選択肢だと思います。ログの本格的な運用にはそれなりの予算が必要です。もちろん、十分な予算がある場合や高いセキュリティ意識がある場合には、使えないログがあふれかえらないように入念な設計とログ管理システムの導入をお勧めします。
セキュリティは、外部／内部、ネットワーク／エンドポイント、ヒト／システム、防ぐ／検知・対応、などさまざまな観点がありますので、1つの面だけにとらわれていてはいけません。中小企業においても取引先の大企業の成熟度に合わせて多面的なバランスを取っていくことが必要ですし、むしろ機動力を生かして先行することも可能です。