こんにちは、アロハワークスの代表の安蒜です。

先月の3月、弊社はISMS（情報セキュリティマネジメントシステム）の定期審査を受けました。朝9時から夕方17時まで、審査員の方に社内の管理体制やセキュリティ運用の一つひとつをチェックしていただく、なかなかタフな一日です（笑）。

毎年審査にも必要なマネジメントレビューを考えるタイミングで真剣に社内の情報セキュリティについて考える機会があることはありがたいなと実感します。今日はISMSの維持や審査を通じて感じていること、そして中小企業の経営者のみなさんにぜひ知っておいていただきたいことを書きたいと思います。

「うちは小さな会社だから関係ない」は、もう通じない時代

経営者仲間と話すと、今でも「情報セキュリティはITの大企業がやるもの」「中小企業がターゲットにされることはない」という意識があることを感じますが、現実はそんなことないのです。

最近、令和6年度日本YEGで同じ情報システム推進委員会メンバーだったセキュリティの専門家から話を聞く機会がありました。その方によると、今はAIによって網羅的に攻撃が仕掛けられるようになっているとのこと。以前のように「大企業だけがターゲット」という時代は、もう終わっているそうです。

具体的にはこんな状況です。

• 大企業だけでなく、中小企業であってもセキュリティホールがあれば狙われる
• ターゲットを絞らず「まんべんなく」攻撃が実行されるようになっている

（専門家からこういった話を直接聞けることは、YEGという経営者ネットワークの大きな価値のひとつだなと改めて感じますが）「自分の会社には関係ない」と思っていたら、いつの間にか攻撃を受けていた……という事態が、周りの中小企業でも実際に発生していて、決して他人事ではない時代になっています。

2026年下期、経産省の「新セキュリティ評価制度」がスタート

セキュリティ対策を後回しにできない理由がもうひとつ。

経済産業省が、2026年度下期（10月以降）を目標に「セキュリティ対策評価制度」を正式スタートさせる予定です。これは企業のセキュリティ対策状況を可視化・評価する仕組みで、制度が普及すれば「セキュリティ対策ができていること」が取引条件に影響してくる可能性があります。

大手企業がサプライチェーン全体のセキュリティを求めるようになれば、その次は間違いなく中小企業にも「セキュリティ対策ができているかどうか」が受注の可否に直結する時代が来ると考えられます。

ISMSを持つことで得られる信頼

弊社がISMS認証を取得してから、営業の場面で変化を感じることがあります。大手企業との取引開始時にはチェックリストが送付されてきて、その中にISMS取得が含まれていたり、成約した後に弊社がISMS取得していることが評価されたと教えていただけることがあります。

審査では、情報資産の管理方法、アクセス権限の設定、インシデント発生時の対応手順、社員教育の実施状況……本当に細かい部分まで確認されます。毎年準備には相当な手間がかかりますので、習熟してくれている社員には大変感謝しています。

できるところから始めてみては？

「でも、ISMSって中小企業には難しいんじゃないの？」と思われる方もいると思います。確かに、ISMSの取得は一定のコストと手間がかかります。でも、セキュリティ対策はISMSを取得することだけがゴールではありません。

まずできることから始めましょう。たとえば以下のようなことです。

• 社員のパスワードを「強いもの」にすることをルール化＆パスワードマネージャを入れて使い回しをなくす
• 多要素認証（2段階認証）を主要なサービスに設定する
• 不審なメールの見分け方を社員に共有する（フィッシング対策）
• 社内のどこに重要な情報があるかを整理してみる
• 定期的なデータバックアップの仕組みを作る

これだけでもリスクは減らせます。スモールステップで構いません。

まとめ

しっかりしたセキュリティ体制は、まず第一に自社が事業を継続するのを助けます。さらに、クライアントからの信頼を高め、大手企業との取引機会を広げてくれます。

弊社アロハワークスでは、ウェブサイト・システム開発の制作・運用だけでなく、セキュリティを意識したIT体制づくりや、社内の情報管理体制の見直しについてもご相談をお受けしています。「うちのセキュリティ、実際どうなんだろう」と気になった方は、ぜひお気軽にご連絡ください。

一緒に、安心して経営に集中できる環境を整えていきましょう！