2019.04.08
企業には、顧客の個人情報や社外秘である独自のノウハウなど、大切な重要情報がたくさんあります。これらの流出や損失を防ぐためには、万全なセキュリティ対策が重要で欠かせません。セキュリティ対策が万全であるかどうかを確認するためには、定期的なセキュリティチェックを実施することが有効となります。ここでは、企業にとってのセキュリティ対策やセキュリティチェックを紹介します。
企業においてのセキュリティチェックは、社内のセキュリティが万全であるかどうかを知るため、定期的に実施する確認作業です。まず、企業のセキュリティ管理者などの視点だけでは、セキュリティが万全であるか、その善し悪しを判断することは難しいでしょう。セキュリティが万全であるかを客観的に判断するためにも、セキュリティチェックを導入する必要があるというわけです。また、企業がセキュリティは万全だと考えていても、社員にセキュリティ意識がなければ万全とはいえません。社員全員に、定期的なセキュリティチェックを実施し熟知させることで、より万全なセキュリティ環境を目指すことが可能となります。
企業では、仕事をする上で多くの社員が大切な重要情報などを取り扱うことになります。その性質上、企業においては情報セキュリティを万全にする必要があり、組織的な取り組みが欠かせません。そして、万全にするためには経営者が情報セキュリティポリシーの作成に関わり、実現に対して責任を持つことが大切です。また、情報セキュリティを万全に保つためには、定期的なチェックと見直しを欠かすことはできません。
情報を取り扱うすべての社員は、情報セキュリティに対する知識を身に付けている必要があります。企業においては、責任者と担当者をそれぞれを任命し、各情報セキュリティ対策の役割を具体化し徹底させることが大切です。重要度が高い情報は他の情報と分けて管理し、担当者を定めて情報を管理することが重要です。また、重要な情報へは取り扱いの手順を明確にし、各担当者がそれに従った手順で情報を取り扱うことをルール化しておくことです。そして、情報の重要度に応じて取り扱い方針を定めたり、情報を取り扱うことができる社員の範囲を決めたりすることも重要です。
例えば、重要な情報を取り扱える社員にのみ情報へのアクセスを可能にすることや、その情報へのアクセス履歴を残しておくことが大切です。また、必要がなくなった重要な情報を、担当者が確実に消去・廃棄する方法や手順を決めておく必要があります。これらのことを社員に熟知させ徹底させるためには、セキュリティポリシーを明確にし、定期的な情報セキュリティ教育を実施するなどの環境を作ることも大切です。
情報セキュリティ対策で、まず最初に取り組むべき、チェック項目を紹介します。
重要情報の取り扱いについてのチェック項目で、情報の保管や持ち出し、そして廃棄などについては4項目があります。
1.「重要情報をオフィスのディスク上に放置せず、鍵付き書庫に保管し施錠するなど、みだりに扱われないようにしているか?」
ディスクの上など、誰の目にも触れる場所に、重要情報を放置したまま席を離れないように徹底することが大切です。
2.「重要情報を社外へ持ち出す時はパスワードロック設定など、盗難・紛失対策をしているか?」
パソコンやUSBなどのメディアにはパスワードの設定が必須です。
3.「重要情報が入っている書類やCDなどを廃棄する場合は、シュレッダーで裁断するなどの処分をしているか?」
重要情報を廃棄する場合は、ルールの徹底が重要です。
4.「重要情報の入ったパソコンやメディアを廃棄する場合、消去ソフトを利用したり業者に消去を依頼したりするなど、処理をしているか?」
重要情報のデータ消去も、ルールの徹底が必要です。
重要情報における情報セキュリティの、事務所・パソコンについては、7つのチェック項目があります。
1.「事務所で部外者を見かけたら、声をかけるなど、無許可での立ち入りがないようにしているか?」
部外者が入り込まないための対策も必要です。
2.「退社時に、ディスクの備品やノートパソコンを片付けるなど、盗難防止対策をしているか?」
パソコンは電源を落としていても、盗難される可能性があるので注意しましょう。
3.「最終退出者は、事務所を施錠し退出記録を残すなど、事務所の施錠を管理しているか?」
最終退出者へは、施錠の確認・氏名や退出時間などを記録させ、セキュリティ意識をもたせることが重要です。
4.「Windows 更新プログラムのインストールをおこなうなど、常にソフトウェアを安全な最新の状態にしているか?」
ソフトウェアの脆弱性を突く、ウイルスなどの脅威から重要情報を守るため、最新版のプログラムをインストールする必要があります。
5.「Winnyなどのファイル共有ソフトを入れないようにするなど、ファイルの流出危険性が高いソフトウェアの使用を禁止しているか?」
ファイル共有ソフトは、流出のほかウイルスにも感染する可能性があります。また、そういったソフトのデータを入れたUSBなどのメディアも、会社のパソコンで使用することは避けましょう。
6.「個人のパソコンを業務で使用することを許可制にするなど、その是非を明確にしているか?」
個人のパソコンを業務で使用することは、企業にとって重要情報流出やウイルス感染など、リスクが大きいことが多くあります。
7.「退社時にパソコンの電源を落とすなど、他人に使用されないようにしているか?」
会社から支給されているパソコンは、責任をもって管理する必要があります。
パスワード・ウイルス対策・メール・バックアップについては、9項目のチェックがあります。
1.「パスワードは自分の名前を避けるなど、他人に推測されにくいものに設定しているか?」
名前や誕生日は推測されやすいパスワードです。
2.「パスワードを他人が見えるような場所に貼らないなど、他人に知られないように管理しているか?」
付箋などでパソコンに貼っていては、パスワードの意味がありません。
3.「ログインパスワードを定期的に変更するなど、他人に見破られないようにしているか?」
定期的にパスワードは変更しましょう。
4.「ウイルス対策ソフトを入れるなど、怪しいWebサイトや不審なメールを介したウイルスから、パソコンを守るための対策をおこなっているか?」
不審なメールに添付された、ファイルやURLをクリックしないように注意する必要もあります。
5.「ウイルス対策ソフトを自動更新するなど、最新のウイルス定義ファイルになるようにしているか?」
常に最新版をインストールしておくことが重要です。
6.「メールの送信前に、目視で送信先アドレスを確認をするなど、送信ミスを防ぐ仕組みを徹底しているか?」
顧客情報など重要なデータを誤送信することは、取り返しのつかないミスとなります。
7.「お互いのメールアドレスを知らない複数人にメールを送信する場合、BCCでメールアドレスを他人に伝えてしまわないようにしているか?」
BCCで送信したアドレスや名前は、送信先の相手からは確認できません。
8.「重要情報をメールで送る場合、重要情報の添付ファイルをパスワード保護するなど、重要情報の保護をしているか?」
9.「重要情報のバックアップを定期的に実施するなど、故障や誤操作などに備えて重要情報が消失しないような対策をしているか?」
そして、従業員・取引先・事故対応・ルールについても、5つのチェック項目があります。
これらのチェック項目はIPAの「5分でできる自社診断シート」を参照しています。他にも、さまざまな情報セキュリティに関係するチェック項目が公開されています。
企業の情報セキュリティにおいては、安全なインターネットの環境を整備することがポイントです。まず、ウイルスソフトを導入しているか、そしてパターンファイルは最新版に更新されているか、ということが重要です。パターンファイルが最新版ではない場合、新たなソフトウェアの脆弱性を突くウイルスには効果がありません。ウイルスソフトだけではなく、各ソフトウェアを可能な限り最新版へ更新することが、セキュリティ対策として大切なことです。そして、ウイルス対策ソフトがもつ機能も、上手く使うようにしましょう。ウイルス対策ソフトには、ファイアウォール機能・スパムメール対策機能・有害サイト対策機能など、多くの機能があります。
また、企業ではWinnyなどファイル共有ソフトの使用禁止を徹底する必要があります。ファイル共有ソフトは、情報の流出やウイルス感染のリスクがあります。
外部ネットワークからのアクセスや、メールを使ってのデータ送受信など、通信データにおいてもセキュリティ対策は欠かせません。外部のネットワークから社内の情報システムにアクセスする場合は、VANなどの専用回線で暗号化した通信を使うことが大切です。また、メールで重要情報のやりとりをする場合は、ファイルを暗号化するか、パスワードをつけるなどして送信する必要があります。そして、必要に応じてSSLなどで、通信データを暗号化することも考えるべきです。
重要情報を社外へ持ち出すという場合には、厳重な対策が必要となります。まず、重要情報はできる限り社外へ持ち出さない、ということが基本です。しかし、仕事をする上で、どうしても重要情報を社外に持ち出さなくてはいけない状況もあります。そういった場合は、盗難や紛失などに備えパソコンやUSBなどのメディアに、パスワード設定や暗号化対策を施すことが重要です。保存されているデータの重要度に応じ、HDD暗号化やBIOSにパスワードを設定するなど、技術的なセキュリティ対策も考えるべきです。また、パソコンやUSBなどメディアの、持ち出しによる使用規定を定め、重要情報を持ち出した際の紛失や盗難対策を、社員に対し十分に教育しておくことも重要となります。
万が一、紛失や盗難に遭ってしまった際、その重要情報がどのような内容だったのかを把握するため、持ち出し情報の内容や一覧を管理することが重要です。また、持ち出す社員は誰か、持ち出し日と返却日はいつか、などの管理も大切です。そうすることにより、重要情報が持ち出された経緯や、誰がいつ持ち出し、いつ戻るかなどの情報を一目で把握することができます。もし紛失や盗難に遭った際も、より早い段階で原因や対策を考えることができます。
重要情報へ社員なら誰でもアクセスできてしまう、ということはセキュリティ対策としては良いことではありません。情報セキュリティのポイントとして、重要情報へのアクセス制限を設定することが大切です。全社員ごとにIDとパスワードを割り当て、識別と認証を徹底する環境を整備すれば、アクセスできる情報を社員ごとに制限することができます。これにより、誰も必要以上の重要情報に触れることができないので、より強固に情報が守られることになります。また、退職などで不要になったIDの削除、異動などによるアクセス制限の見直し、などには速やかに対応することも大切です。
社員へのID登録やパスワードに関することは、社内全員に周知されるように、規程を整備する必要があります。パスワードの定期的な見直しを求めることや、単純な文字列や名前・誕生日などのパスワードを禁止する、などを取り決めておくようにしましょう。
どんなにセキュリティ対策を徹底していても、万が一の事態が起こることがあります。企業では、万が一が発生した場合も、その事故対応方法を整備しておく必要があります。事故が発生した場合、何よりも先決されるのが業務の再開です。大切なのは、普段からさまざまな事故のケースを想定し、社員へ周知徹底しておくことです。それにより、万が一の事態が発生しても、事故対応をスムーズにおこなうことができます。しかし、対処法を誤ると大きな損害を負う可能性がありので、セキュリティ管理者だけではなく全社員に対処法を徹底しておくことが大切です。
情報セキュリティにおいては、日常的なシステム運用の中で、バックアップデータを確保しておくことが大切です。また、事故発生時の連絡体制の整備も重要になります。報告・復旧・対応などの体制を整備し周知しておくことで、事故発生後にスムーズな対応が可能となります。そして、万が一の事態が起きた場合は、速やかに経営者や責任者へ連絡できる体制づくりも、重要なことです。
企業においてセキュリティ対策は、経営者やセキュリティ管理者だけが意識することではありません。全社員がセキュリティを意識することが大切です。セキュリティチェックは、自社の改善点を見つけることができます。定期的に実施することで、社員のセキュリティ意識を高める効果も期待できて、企業はより安全な経営が可能となります。そのためにも、セキュリティチェックを活用してみてはどうでしょうか。