機密情報の漏えい、個人情報流出、ホームページ改ざんなど、企業をおびやかす情報セキュリティ上のリスクはさまざまです。これらリスクに対して効果的なのは、実際の被害が発生する前に、情報セキュリティ対策の方針と規則、すなわち“情報セキュリティポリシー”を策定しておくことです。すべての従業員への情報セキュリティ教育を通じ、情報セキュリティポリシーを浸透させることで、ルールに沿った行動をとる意識が醸成されます。
情報セキュリティポリシーは、事業内容や組織構成をふまえて策定されるため、具体的な内容は企業によって千差万別です。しかしJPA(独立行政法人 情報処理推進機構)は、情報セキュリティポリシー策定の前提として、「業種や規模にかかわらず組織として実施すべきセキュリティ7対策」を挙げています。そこでここではその7項目を、IPAセキュリティマネジメントのしおりシリーズ(1)と情報セキュリティ対策ベンチマーク活用集を参考に、「組織一丸となって取り組みたいセキュリティの基礎」という位置づけで解説します。
(1)守秘義務を全従業員が自覚しルールを遵守する
企業を支える従業員の守秘義務遵守は、情報漏えい防止の根幹をなすものです。就業規則などの観点からも従業員が機密を守ることは当然ですが、暗黙のルールとせず、明確に従業員に指示することが必要です。その際には以下を心がけましょう。
- 何が機密なのかの明示する
- どうすれば機密を守れるかの具体的説明する
- 守られなかった場合の罰則の制定する
<対策ポイント>
- 派遣含む従業員を採用する際、経歴、資格などが職務にふさわしいか審査し、守秘義務契約を締結しているか
- 従業員と雇用契約を締結する際に、セキュリティ上の義務を説明しているか
- 就業規則または服務規律に、順守すべき事項を説明しているか
- 従業員が退職する際、情報資産の返却確認やアクセス権限の削除を実施しているか
- 従業員が退職する際、退職後における守秘義務を再確認しているか
- セキュリティルールに違反した従業員への懲戒手続制度を整備しているか
- 採用、雇用、退職まで、従業員の管理体制と責任が明確になっているか
(2)従業員教育の定期的な実施
従業員教育は、情報セキュリティ対策に欠かせません。全従業員への教育は、ウィルスの脅威やその技術的なセキュリティ対策の理解を深め、実施するのと同時に、パスワードや鍵の管理など管理的なセキュリティ対策を根付かせることも重要です。企業が保護すべき情報資産は、技術的な対策と管理的な対策により守られるのです。
<対策ポイント>
- ポリシーや関連規程を派遣含む従業員が理解し、実践できるよう教育を行っているか
- 出来合いの教材だけでなく、自社の実情に即した教材を使用しているか
- 定期的に従業員全員に漏れなく教育を行っているか
- パスワード管理や暗号鍵管理に関する教育を実施しているか
(3)個人が所有するデバイスの利用に関するルールの明定
IPAが実施した「中小企業における情報セキュリティ対策に関する実態調査」(2016年3月)によれば、中小企業の38.9%がBYOD(Bring Your Own Device)を認め、「検討中」との回答も含めると5割を超えました。
またIDC Japanは、2019年に業務用途で使われるモバイルデバイスの数について、スマートフォンが約1600万台、タブレットが1800万台超に達すると予測しています(いずれも会社貸与の端末とBYODを合わせた数)。
しかし個人所有のパソコンやスマートフォンを業務で使用すると、管理が行き届かず、セキュリティの確保が難しくなることは避けられません。個人所有端末の業務利用の可否や業務利用のルールを明定しておくことが大事です。
例)私物のパソコン、タブレット、スマートフォンの業務利用は、原則禁止とし、申請・許可制にする。業務利用を認める場合は下記のルールに従う。
- 情シス部門が指定したウィルス対策ソフトをインストールすること
- 業務用データや社用メールアドレスで受信したメールを個人のアドレスに転・送信することの禁止
- 従業員個人のメールアドレスに「組織として実施すべきセキュリティ対策」業務用データを添付して送信することの禁止
- 業務終了後は、情シス部門が指定するツールを用いてデータを消去する、など。
(4)取引先への秘密保持の要請
自社が扱うさまざまな情報を取引先などに開示する際は、「秘密保持契約」に基づいて厳格に管理することが大事です。秘密保持契約とは、取引先と請負や委託の契約をする際に、自社が所有する個人情報や営業情報、さらには研究開発情報やノウハウなどを内密にし、他の目的への利用を禁じるために結ぶ契約のことです。
- 何が秘密情報にあたるかの定義
- 秘密情報保持の義務づけ
- 情報保持の期間
などをこの契約ですりあわせることで、情報漏えいの抑止と万一の場合に備えることができます。
(5)信頼できる外部サービスの選択
コスト重視でクラウドサービスなどを選んでしまうと、障害等でサービスが利用できなくなることも。事業継続性を左右するような用途で外部サービスを利用する際は、性能だけでなく信頼性、補償内容なども吟味しましょう。具体的には、事業者選定にあたり、利用規約や補償内容、セキュリティ対策などを確認することが挙げられます。
(6)万一の事故に備える
情報セキュリティに関するトラブルが発生した時に、被害を最小に防ぐためには、日ごろから対応策を確立し、何かあった際も現場の従業員が対応できるように準備しておく必要があります。また、個人情報漏えいなどが発生した場合、影響を受ける可能性のある本人への連絡、個人情報保護委員会などへの報告、事実関係の調査、再発防止策の公表などをスムーズに進めるため、手順などを整備しておきましょう。
<対策ポイント>
- セキュリティに関するできごと、事件や事故が発生した際の対応について、実施要領を定めているか
- セキュリティに関するできごと、事件や事故が発生した際の対応要領を関係者に徹底しているか
- セキュリティに関するできごと、事件や事故が発生した際の連絡網などの対応体制を築いているか
- セキュリティに関するできごと、事件や事故への対応に必要な障害対応要員、障害を記録するためのディスク領域、障害報告機能や分析機能などを準備しているか
(7)ルールの整備
経営層が情報セキュリティに関する対策を実施していても、ルールとして明文化していなければ、場面ごとに従業員は指示を仰ぐ必要があります。従業員がスピーディーな行動をとれるよう、「企業としてのルール」を定め、従業員なら誰でも確認できるようにしておくことが大切です。
足並みをそろえ取り組みたい、技術的対策と管理的対策
NRIセキュアテクノロジーズが実施した「企業における情報セキュリティ実態調査 2017」によると、2016年に発生したセキュリティ事件・事故の内訳は、最多は例年どおりヒューマンエラーとなっています。またサイバー攻撃の標的型メール、ランサムウェアなどの増加が特徴的ですが、これを防ぐには、技術面での対策に加え、不審な添付ファイルを開かないようにという教育やメール訓練の必要があります。
情報セキュリティの確保というと、ウィルス対策ソフトウェア、利用者認証、脆弱性検査など「技術的な対策」がまず頭に浮かびがちです。もちろんこれらも不可欠ですが、同時に、前章で述べてきた従業員教育や秘密保持契約、そして情報セキュリティポリシーといった「管理面での対策」も不可欠です。技術的対策と管理的対策は、車の両輪のようにどちらもないがしろにするわけにはいかず、相互補完的な関係にあるものです。
この管理的対策の筆頭に挙げられる情報セキュリティポリシーは、企業がどんな脅威から、どんな情報を、どのようにして守るかを明確にし、従業員全員の情報セキュリティへの取り組みをルールとして定めたものです。そして先に述べた7項目は、情報セキュリティポリシーの礎となる基本的な要素です。セキュリティのルールを社内に浸透させ実効性あるものとするためにも、真摯な取り組みが求められます。
