経営

中小企業が行うべき情報セキュリティ対策の基本

近頃、様々な形で「セキュリティ」の在りかたについて考えさせられますね。
大手企業が情報漏洩を発生させてしまったり、個人単位・法人単位でも様々なトラブルが報告されています。

システムを導入する際にも、まだまだ多くの企業がセキュリティトラブルをおそれて
クラウド系システムの導入に進捗になっているケースもあります。

情報セキュリティのトラブルは、不必要に恐れる必要はありません。
また、トラブル回避のためといってもアナログが安全というわけでもありません。

今回は、中小企業が知っておくべき情報セキュリティ対策の基本を、
IPA(情報処理推進機構)やJNSA(日本ネットワークセキュリティ協会)などの情報をもとに解説します。

ポイントは、「どこにリスクがあるのか把握しておくこと」です。

情報漏洩の原因の多くは「ヒューマンエラー」

具体的な対策方法を案内する前に、まず皆様に知っておいていただきたい情報があります。
以下は、JNSA(日本ネットワークセキュリティ協会)が2017年に公表した情報漏洩原因の集計です。

図 1:原因別の漏えい件数

ご覧のように、「誤操作(97件)」「紛失・置き忘れ(84件)」「管理ミス(50件)」
「不正な情報持ち出し(25件)」など、原因の多くは人間のミス(ヒューマンエラー)に帰属するものです。

当然、「不正アクセス(67件)」が全体の17%を占めていることを忘れてはいけません。
この数値が年々高まってきていることは事実です。

それでも、多くのトラブルはその場にいる皆様の意識が変わるだけで防げる可能性がぐんと上がるのです。
今日お伝えする基本情報だけでなく、社内の意識改革も含めて検討していただく必要があるかもしれません。

基本①OSやソフトウェアを常に最新バージョンに更新する

OSやソフトウェアは、脆弱性が見つかった場合に「バージョンアップ」という方法で対策をすることがほとんどです。
古いバージョンのものを使い続けることは、即ち脆弱性対策がされていない穴の開いたシステムを使い続ける事にも等しいので
可能な限り最新バージョンに更新することを心がけましょう。

御社に完全オリジナル開発のシステムが導入されている場合、
「バージョンアップするとシステムとの連携が出来なくなって使いものにならなくなるツール」があるかもしれません。
場合によってはバージョンアップ対応に相当な費用がかかってしまうことがあります。

これからシステムを導入するなら、自動的なバージョンアップ対応をしてくれるクラウド型システムが理想かもしれません。

ウイルス対策ソフトを導入する

IDやパスワードを盗んだり遠隔操作を行うウイルスや、ファイルを勝手に暗号化してデータを開けなくして
身代金を要求するランサムウェアなど、ウイルスは種類や侵入手口が増えています。
まずは侵入経路を作らない方法を学ぶ必要がありますが、万が一に備えてウイルス対策ソフトの導入は必要です。
ここで経費削減してしまってトラブルが発生してしまっては元も子もないので、気をつけましょう。

10文字以上の英数字を組み合わせたパスワードを使う

いかに強固なセキュリティを誇るシステムでも、パスワードが解析されてしまっては対策のしようがありません。
名前や生年月日、誕生日や単純な文字の羅列は避け、可能なら自動生成された10文字以上の英数字をパスワードにするのが理想です。

最近はログインした場所やデバイスを元に、新たな場所やデバイスでログインされた際には登録されたメールアドレスまで
確認連絡を送るツールもあります。システム導入時に確認するのがいいでしょう。

また、いかに凝ったパスワードを用意してもそれ自体をどこに控えておくかは問題です。
間違っても、パスワードを書いた付箋をパソコンに貼っておくなど誰にでも分かる場所に置いておくのは控えましょう。
笑い話のような事ですが、事実そのような管理を行っている現場もあるので注意が必要です。

クラウドツールやファイルサーバーの閲覧・編集権限を設定する

クラウドツールは、「いつでもどこでも情報が確認できること」がメリットのひとつでもあります。
ただ、誰でも情報を閲覧・編集できる状態は言い換えれば「誰でも情報を漏洩するリスクを抱える状態」になります。

クラウドツールの権限機能を使って、情報によって閲覧できる人、編集できる人、閲覧も編集もできない人の3種類を設定しましょう。

身に覚えのないメールの添付ファイルやURLには触れない

ウイルス感染源として多いのは、ウイルスが仕込まれた添付ファイルやURLをクリックしてしまうというケースです。
身に覚えのない宛先から届いたメールの添付ファイルやURLに触れないことだけでも多くは防げます。

また、メールの設定によってはメールのデザインをダウンロードする「Webブラウザを表示する」の設定がオンにしてある等
メール以外のシステムの連携が入っていることがあります。その場合にはメールを開封するだけでウイルスに感染する可能性があります。

こういった設定はオフにしてあると、必要なときにも都度確認が求められたりして手間ではありますが
万が一のリスクに備えて設定をオフにしておくのが無難です。

メールを送り間違えた場合の誤送信対策機能を活用する

送り先を間違えた状態で顧客の大切な情報を誤って送信してしまうと、大きな責任を負うことになります。
送信前に確認を行うのは当然として、万が一ミスを発生させてしまった際に対策することも重要です。

というのも、メールの送り間違えは送信後5分以内に気が付くケースが多いものです。
気付いたときに送信の取り消しや送ったファイルの閲覧ロックが出来る誤送信対策システムの導入が有効です。

私用のパソコンやスマートフォンは使わせない

情報漏洩の可能性を高めるきっかけとして、従業員が私用のパソコンやスマートフォンを使っていたというケースがあります。

私用のパソコンやスマートフォンは業務に関わらない様々なウェブサイトやアプリを使うものです。
それだけ危険に晒されることが多くなるうえ、私用なのでウイルス対策ソフトが入っているかどうかも定かではありません。

可能な限り、業務で使うパソコンやスマートフォンは会社から支給して対策しましょう。

また、個人利用を前提としたアプリケーションはセキュリティ対策や利用者管理機能が不十分であることがあります。
コミュニケーションツールやクラウドストレージは安価で便利なため個人利用アプリケーションを使いがちですが、
できるだけ法人利用に対応したビジネス版を利用し、セキュリティ対策や従業員管理ができるものを使いましょう。

セキュリティ対策の在り方を従業員に理解してもらう

現場で働く従業員は、いかに働きやすく、いかにお客様のためになるかを軸を考えて働いています。
そんな中で、必要性も分からないまま行動を制限するセキュリティ要件を強いてしまっては上手くいかないばかりか
会社の管理の目が届かない私用ツールを使い始めてしまうことさえ考えられます。

何事もやりすぎ注意です。セキュリティを強固にするという意思で働きにくい会社にならないよう、
セキュリティ対策を実施する前に、まずは実施内容を現場の従業員も含めて議論するのがいいかもしれません。

おすすめ記事

PAGE TOP

最新の記事情報やオススメITツール情報をお届けします!
メルマガ登録はこちら

 

過去のメールマガジンはこちら