1.企業のセキュリティを強化する必要性

セキュリティ強化の話に入る前に、セキュリティの必要性についてまずは考えてみましょう。今の時代、情報システムやインターネットは会社には欠かせない存在となっています。これらはとても便利なものですが、逆にセキュリティ事故のリスクを大きくしてしまったともいえるでしょう。

情報漏えいの発生を防止するためにセキュリティの強化は必須といえます。個人情報の流出やホームページの改ざんなどがあると、企業の信頼やイメージは失墜してしまうでしょう。その影響は会社内では留まらず、取引先、顧客など各種関係者に広がりを見せ、とんでもなく大きくなる可能性があります。また、セキュリティ不備でウイルスの攻撃を受けるとシステムが停止し、業務不能な状態になることもあるでしょう。会社の規模によっては数時間システムが止まるだけで、被害は莫大な額となります。

2.情報セキュリティを強化する8つの対策

強化策1.情報セキュリティポリシーの策定

情報セキュリティを強化する一環として、情報セキュリティポリシーの策定は有効な対策となります。情報セキュリティポリシーとは情報資産をどのように守るのかという基本方針や体制、運用規定、対策基準などを明確化したドキュメントを指します。情報セキュリティポリシーの内容は画一的なものではなく、それぞれの企業や組織に合わせて策定しなくてはなりません。業務形態やネットワークの構成、保有している情報資産を考慮し、その企業独自の情報セキュリティポリシーを作り出す必要があるのです。

情報セキュリティポリシーは企業の情報資産を守るために作りますが、策定の過程にも意味があります。情報セキュリティポリシーの導入方法や運用方法を社員同士が意見しあうことで、セキュリティに対する意識が必然的に向上するのです。また、セキュリティに対する高い意識や取り決めは顧客や取引先の信頼にも繋がるでしょう。

情報セキュリティポリシーを策定するうえで最も大事なのは、決定した内容を従業員全員に周知することです。セキュリティ担当者だけが理解しておけば、それで十分というものではありません。情報資産を共有しているすべての従業員が適切なセキュリティ意識を持たなくては、情報漏えいやウイルスから企業を守ることはできないのです。情報セキュリティポリシーをしっかりと周知し、従業員のセキュリティ意識を高めていくようにしましょう。

強化策2.定期的な従業員教育の実施

情報セキュリティは適切な従業員教育を実施することで強化できます。その方法は、情報セキュリティ担当者が定期的に勉強会を開く、セキュリティのeラーニングを義務付けるなど、さまざまです。定期的に教育を実施することにより、セキュリティ意識が根づくようにしましょう。教育がゆきとどいた企業では、社員全員が自然とセキュリティポリシーに沿った行動をしているものです。教育の頻度は企業の状況によりけりですが、月に1回から最低でも3カ月に1回程度は実施するのが望ましいでしょう。

ただ教育をするだけでは、すぐ忘れる人や、怠ける人もなかにはいるかもしれません。学んだ内容を行動に反映できているかをチェックする仕組みも用意しておいた方がよいでしょう。教育に加えて、定期的に評価テストを行うのがおすすめです。合格基準は満点が理想ですが、そのレベルは企業毎に決めましょう。点数も大事ですが、間違った問題に対するアフターケアが、より重要になります。

強化策3.パソコンのリスク対策の実施

セキュリティ強化を考えるうえでパソコンを外すことはできません。パソコンはウイルス感染をはじめとし、さまざまなリスクを抱えています。パソコンの脆弱性対策、ウイルス対策は確実に行うようにしましょう。パソコンの脆弱性はWindows Updateを定期的に実行することでフォローできます。Windows UpdateはMicrosoft社が提供するOSやアプリケーションの更新プログラムのことです。この更新プログラムのなかにはセキュリティ上の問題を修正する内容も含まれていますので、パソコンを安全に使用するためには必須のものといえるでしょう。Microsoft社のOS以外のパソコンを使っている場合でも、OSやアプリケーションの更新が必要であることは変わりません。ソフトウェアの提供元からセキュリティに関する更新が随時行われているはずです。OSやアプリケーションの更新を速やかに、欠かさず実行するようにしましょう。

パソコンはインターネットやメールなど、さまざまな経路でウイルス感染する可能性があります。ウイルスに感染すると、パソコン内の情報が勝手に流出したり、脅迫的なポップアップが無限に出たりと、異常な状態になることがあります。ウイルス対策ソフトは必ずインストールしておくのが基本です。さらに、ウイルス対策ソフトはただ入れるだけでなく、常に最新の状態へ更新しなくてはなりません。ウイルスは日々変化・進化していきますので、ウイルス対策ソフトもそれに対応させていく必要があるのです。

パソコンのパスワード管理も油断するとトラブルに繋がりやすい要素といえます。生年月日や電話番号など、推測されやすいものはNGです。パソコンのID、およびパスワードが他人に知られてしまうと、なりすましの被害にあう危険性が上がります。パスワードは数字、記号、大文字、小文字を組み合わせ、8文字以上の長いパスワードを設定するようにしましょう。ただし、自分が忘れてしまうと困りますので、自分にとって覚えやすいパスワードを設定しましょう。重要情報へのアクセス権限を適切に設定することも重要です。社外秘レベルの資料に誰もがアクセスできたとしたら、大きな問題です。適切なアクセス権を設定し、必要最小限の人に絞るようにしましょう。

強化策4.パソコン使用に関するセキュリティ対策の実施

個人所有のパソコンやスマートデバイスに対する利用制限を決めることはセキュリティの強化に繋がります。個人所有のパソコンを使用し、会社内で作業するのは原則的には禁止すべきです。個人所有のパソコンはセキュリティ対策ソフトの種類、データの暗号化、電子メールなど、会社内のパソコンとは環境が異なるため、予測できないセキュリティ事故が起きる可能性があります。

どうしても個人所有のパソコンを使わなくてはならないのであれば、そのパソコンを会社側で管理し、基準をクリアした場合のみ使用できる許可制にしましょう。会社で使用しているパソコンと同等以上のセキュリティ対策がしっかりと施されたパソコンのみ使用許可を与えるようにします。スマートデバイスに対しても同様です。スマートデバイスを使用し作業したいのであれば、まずは会社の許可を求める決まりにしましょう。

情報機器の扱い方についても、ルールは必要です。例えば、離席時には必ずパソコンにロックをかけること。離席が短い時間であっても、ちょっとした隙が原因で、盗み見やウイルスプログラムのインストールなどの被害にあうことがあります。パソコン自体の盗難リスクも考慮すると、セキュリティワイヤーでPCを繋いでおくとより安心です。ただし、セキュリティワイヤーをつけているとしても、退社時は机の上にノートパソコンを置いたまま帰らないようにしましょう。昼間はワイヤーで十分かもしれませんが、夜間になると話は別です。人の目さえなければ、ワイヤーカッターで容易に切断できるでしょう。ノートパソコンは鍵つきの棚に収納し、施錠しておけばセキュリティとして合格です。

強化策5.インターネット利用に関するルールの策定

インターネットを利用中にウイルス感染する事例は後を絶ちません。電子メールやSNSへの書き込みはルールを明確化しておくことで、セキュリティを強化できます。受信した電子メールに添付されているファイルやリンクを安易にクリックしてはいけません。身に覚えのない件名や、見知らぬ差出人のメールにはアクセスしないルールの徹底が重要です。社内で怪しいメールを受信したら、セキュリティ担当者に報告し、指示を仰ぐようにしましょう。

業務用端末でのwebサイト閲覧やSNSへの書き込みに関するルールを決めることも大切です。業務に必要がないwebサイトは閲覧の禁止が望ましいでしょう。悪意のあるウェブサイトは閲覧するだけでウイルスに感染することがあります。業務用端末で個人的なSNSを利用するのもリスクが高いので避けるべきです。ちょっとした悪ふざけの投稿が、会社の機密情報に触れ大きなトラブルへ繋がることもあります。特に新入社員はSNSに慣れている分、不注意な投稿をしてしまいがちなので注意しましょう。

また、社内でのルールを決めるだけでなく、社外で公衆無線LANを使用する際の安全対策を講じることも忘れてはいけません。外部の無線LANで重要な内容はやりとりしないのが無難です。どうしてもという場合は通信を暗号化し、セキュリティ設定をきちんと行うようにしましょう。セキュリティ設定が不十分だと同じネットワーク上にある情報が盗み取られる危険性があります。

強化策6.事務所の入退室に関するルールの策定

事務所の入退室管理、不正侵入対策などのルールを明確化し、事務所そのものの物理的なセキュリティも強化しましょう。不審者の侵入を許してしまうと、大きなトラブルになります。事務所の最終退出者は施錠をし、退出の記録を残すなどのルール決めるようにしましょう。鍵を閉めるのは当たり前と感じるかもしれませんが、意外と忘れる人が多いものです。退出時のチェック表は事務所内の目立つところに設置し、実施内容に抜け・漏れがないようにしましょう。

事務所で見知らぬ人がいたら、積極的に声掛けをする取り組みも必要です。場合によっては訪問記録帳に記載してもらったり、名刺をいただいたりするようにしましょう。入室する前に、必要事項を記入してもらい、問題がなければ許可証を渡す仕組みを作っておくと安心感が高まります。事務所の清掃やメンテナンスを外部に任せるときも注意が必要です。外部業者が安心と思い込まず、従業員が立ち会うのが妥当といえます。

強化策7.取引先とのセキュリティ協議

自社内のセキュリティをいくら強化しても、取引先、業務委託先が秘密を守ってくれなければ意味がありません。自社にとっては重要な情報であっても、取引先では軽んじられてしまうケースがあります。大企業になればセキュリティが徹底される傾向があるので、情報漏えいは内部犯行以外では起きにくいものです。しかし、大企業であっても取引先にまで情報セキュリティ対策を施すのは難しい面があります。企業が守るべき情報は、顧客情報、個人情報、業務情報、企業特有のノウハウなど、さまざまです。いずれかがひとつでも漏れれば、大きな損害となります。

取引先から情報が漏れないようにするためには、契約書に秘密保持条項を盛り込む必要があります。情報の重要性、秘密性をはっきりさせ、状況によってはその管理方法まで決めておかなくてはなりません。秘密保持条項があれば、取引先で何らかのセキュリティ事故が発生したとき、責任範囲を明確にできるでしょう。単なる紙面上の決め事にならないよう、取引先は取り交わした秘密保持条項の内容を、関係する従業員全員に伝える義務があります。

強化策8.事故が発生した場合の対応手順の明確化

重大な事故が発生した場合の対応手順がマニュアル化できていれば、損害を最小限に抑えることが可能です。各種対応手順の整備はセキュリティ強化に欠かすことはできません。まずは機密情報の漏えい、盗難があった場合のマニュアルを作成するようにしましょう。発生する可能性がある事故を想定し、何をどうするのかの対応方法を決めていくアプローチになります。これがあれば、事故を未然に防げるかもしれませんし、事故が実際に発生しても慌てにくくなるでしょう。火災訓練のように、事故対応の予行演習を実際にやってみるのも大切です。実際にやってみることで、見えてくる落とし穴もあるでしょう。

情報漏えいだけが、セキュリティ事故のすべではありません。地震、台風、洪水など自然災害が原因で情報システムに被害がでるケースもあります。このようなトラブルはいつ起こるのか予測できません。なにも想定や準備をしていなければ早期に復旧するのが難しくなります。災害による事故発生時の連絡網の整備や社員の安否確認手順などもしっかりと用意しておきましょう。

3.社内の現状を確認して適切な強化策を！

情報セキュリティの強化は会社の資産を守るうえで重要です。会社の業績がいくら軌道にのっていても、セキュリティに問題があれば安心はできません。今回、セキュリティを強化する方法を8つのポイントで紹介しました。これを機会に社内のセキュリティを点検してみることをおすすめします。