中小企業が行うべき情報セキュリティ対策の基本

中小企業が行うべき情報セキュリティ対策の基本

近頃、様々な形で「セキュリティ」の在りかたについて考えさせられますね。
大手企業が情報漏洩を発生させてしまったり、個人単位・法人単位でも様々なトラブルが報告されています。

システムを導入する際にも、まだまだ多くの企業がセキュリティトラブルをおそれて
クラウド系システムの導入に進捗になっているケースもあります。

情報セキュリティのトラブルは、不必要に恐れる必要はありません。
また、トラブル回避のためといってもアナログが安全というわけでもありません。

今回は、中小企業が知っておくべき情報セキュリティ対策の基本を、
IPA(情報処理推進機構)やJNSA(日本ネットワークセキュリティ協会)などの情報をもとに解説します。

ポイントは、「どこにリスクがあるのか把握しておくこと」です。

情報漏洩の原因の多くは「ヒューマンエラー」

具体的な対策方法を案内する前に、まず皆様に知っておいていただきたい情報があります。
以下は、JNSA(日本ネットワークセキュリティ協会)が2017年に公表した情報漏洩原因の集計です。


図 1:原因別の漏えい件数

引用元:JNSA

ご覧のように、「誤操作(97件)」「紛失・置き忘れ(84件)」「管理ミス(50件)」
「不正な情報持ち出し(25件)」など、原因の多くは人間のミス(ヒューマンエラー)に帰属するものです。

当然、「不正アクセス(67件)」が全体の17%を占めていることを忘れてはいけません。
この数値が年々高まってきていることは事実です。

それでも、多くのトラブルはその場にいる皆様の意識が変わるだけで防げる可能性がぐんと上がるのです。
今日お伝えする基本情報だけでなく、社内の意識改革も含めて検討していただく必要があるかもしれません。

社内セキュリティを高める対策

ここからは社内のセキュリティを高める対策をいくつかご紹介します。

OSやソフトウェアを常に最新バージョンに更新する

OSやソフトウェアは、脆弱性が見つかった場合に「バージョンアップ」という方法で対策をすることがほとんどです。
古いバージョンのものを使い続けることは、即ち脆弱性対策がされていない穴の開いたシステムを使い続ける事にも等しいので
可能な限り最新バージョンに更新することを心がけましょう。

御社に完全オリジナル開発のシステムが導入されている場合、
「バージョンアップするとシステムとの連携が出来なくなって使いものにならなくなるツール」があるかもしれません。
場合によってはバージョンアップ対応に相当な費用がかかってしまうことがあります。

これからシステムを導入するなら、自動的なバージョンアップ対応をしてくれるクラウド型システムが理想かもしれません。

ウイルス対策ソフトを導入する

IDやパスワードを盗んだり遠隔操作を行うウイルスや、ファイルを勝手に暗号化してデータを開けなくして
身代金を要求するランサムウェアなど、ウイルスは種類や侵入手口が増えています。
まずは侵入経路を作らない方法を学ぶ必要がありますが、万が一に備えてウイルス対策ソフトの導入は必要です。
ここで経費削減してしまってトラブルが発生してしまっては元も子もないので、気をつけましょう。

10文字以上の英数字を組み合わせたパスワードを使う

いかに強固なセキュリティを誇るシステムでも、パスワードが解析されてしまっては対策のしようがありません。
名前や生年月日、誕生日や単純な文字の羅列は避け、可能なら自動生成された10文字以上の英数字をパスワードにするのが理想です。

最近はログインした場所やデバイスを元に、新たな場所やデバイスでログインされた際には登録されたメールアドレスまで
確認連絡を送るツールもあります。システム導入時に確認するのがいいでしょう。

また、いかに凝ったパスワードを用意してもそれ自体をどこに控えておくかは問題です。
間違っても、パスワードを書いた付箋をパソコンに貼っておくなど誰にでも分かる場所に置いておくのは控えましょう。
笑い話のような事ですが、事実そのような管理を行っている現場もあるので注意が必要です。

クラウドツールやファイルサーバーの閲覧・編集権限を設定する

クラウドツールは、「いつでもどこでも情報が確認できること」がメリットのひとつでもあります。
ただ、誰でも情報を閲覧・編集できる状態は言い換えれば「誰でも情報を漏洩するリスクを抱える状態」になります。

クラウドツールの権限機能を使って、情報によって閲覧できる人、編集できる人、閲覧も編集もできない人の3種類を設定しましょう。

身に覚えのないメールの添付ファイルやURLには触れない

ウイルス感染源として多いのは、ウイルスが仕込まれた添付ファイルやURLをクリックしてしまうというケースです。
身に覚えのない宛先から届いたメールの添付ファイルやURLに触れないことだけでも多くは防げます。

また、メールの設定によってはメールのデザインをダウンロードする「Webブラウザを表示する」の設定がオンにしてある等、メール以外のシステムの連携が入っていることがあります。その場合にはメールを開封するだけでウイルスに感染する可能性があります。

こういった設定はオフにしてあると、必要なときにも都度確認が求められたりして手間ではありますが
万が一のリスクに備えて設定をオフにしておくのが無難です。

メールを送り間違えた場合の誤送信対策機能を活用する

送り先を間違えた状態で顧客の大切な情報を誤って送信してしまうと、大きな責任を負うことになります。
送信前に確認を行うのは当然として、万が一ミスを発生させてしまった際に対策することも重要です。

というのも、メールの送り間違えは送信後5分以内に気が付くケースが多いものです。
気付いたときに送信の取り消しや送ったファイルの閲覧ロックが出来る誤送信対策システムの導入が有効です。

私用のパソコンやスマートフォンは使わせない

情報漏洩の可能性を高めるきっかけとして、従業員が私用のパソコンやスマートフォンを使っていたというケースがあります。

私用のパソコンやスマートフォンは業務に関わらない様々なウェブサイトやアプリを使うものです。
それだけ危険に晒されることが多くなるうえ、私用なのでウイルス対策ソフトが入っているかどうかも定かではありません。

可能な限り、業務で使うパソコンやスマートフォンは会社から支給して対策しましょう。

また、個人利用を前提としたアプリケーションはセキュリティ対策や利用者管理機能が不十分であることがあります。
コミュニケーションツールやクラウドストレージは安価で便利なため個人利用アプリケーションを使いがちですが、
できるだけ法人利用に対応したビジネス版を利用し、セキュリティ対策や従業員管理ができるものを使いましょう。

セキュリティ対策の在り方を従業員に理解してもらう

現場で働く従業員は、いかに働きやすく、いかにお客様のためになるかを軸を考えて働いています。
そんな中で、必要性も分からないまま行動を制限するセキュリティ要件を強いてしまっては上手くいかないばかりか
会社の管理の目が届かない私用ツールを使い始めてしまうことさえ考えられます。

何事もやりすぎ注意です。セキュリティを強固にするという意思で働きにくい会社にならないよう、
セキュリティ対策を実施する前に、まずは実施内容を現場の従業員も含めて議論するのがいいかもしれません。

CHECK!

リモートワークを利用した従業員のセキュリティに対する意識改革

例えば、リモートワークの普及に伴い、外出先のカフェやホテルの無料Wi-Fiをつかって仕事をすることが増えています。

しかし無料Wi-Fiは、安全ではない場合があります。
誰でもアクセス可能な暗号化されていない無料Wi-Fiを使う事で、ウイルス感染や情報漏洩のリスクが生じます。

従業員に無料Wi-Fiの安全性について理解してもらうことは重要です。
また、安全に無料Wi-Fiを使用するためには、通信をすべて暗号化してくれるVPNの導入を検討するのも良いでしょう。

  • 施工管理システム

建築業向け管理システム アイピア

工務店・リフォーム会社が選ぶ「建築業向け管理システム アイピア」社内の情報を一元管理!

アイピアは建築業に特化した一元管理システムであり、顧客情報、見積情報、原価情報、発注情報など工事に関する情報を一括で管理できるため、情報集約の手間が削減されます。
さらに、アイピアはクラウドシステム。外出先からでも作成・変更・確認ができます。

まとめ

今回は、中小企業の社内セキュリティに関してご紹介しました。
ヒューマンエラーや不正アクセスなど、セキュリティの対策は社内に対してと社外に対しての二パターン必要となります。
大きなトラブルを防ぐためにも事前にきちんと対策をしておきましょう。

"社内のデータを一元管理"工務店・リフォーム会社が選ぶ!

建築業向け管理システム
Aippear(アイピア)

AIPPEAR NET 編集部

side bnr

  • IT導入補助金を使って「最大80%」まで補助が受けられるチャンス!!今こそお得にアイピアを導入しよう!
  • 一元管理による効率化で粗利が平均4%改善しました。株式会社コネクシオホーム課長吉田直樹様 リフォーム・建築業の情報管理にクラウドシステム「アイピア」
  • GoogleDrive x アイピア|GoogleDriveで誰でも簡単対応!「改正 電子帳簿保存法対応ガイド」βユーザー募集中!「詳しい情報はこちら」