IT

情シスがおさえておきたい社内セキュリティ対策の基本の「き」

企業は従業員の個人情報や取引先の連絡先など、重要な情報を数多く蓄積しています。これらが漏えいすれば、会社の信用は失墜し、企業経営の根幹が揺るぎかねません。だからこそ社内のセキュリティ対策は、企業がとりくむべき最優先課題といえます。この記事では、情報システム部門(以下、情シスと記載)の担当者が心得ておくべき、社内のセキュリティ対策の基本的知識を整理し、情シスに期待されている役割について解説します。

モバイルPCセキュリティ完全ガイドブック 無料ダウンロード

1:セキュリティトラブルの原因

そもそもセキュリティトラブルはなぜ起きてしまうのでしょうか。その代表例である情報漏えいについて見ると、主な原因として次の6つが挙げられます。
※()内は、2016年の総発生件数468件に占めるパーセンテージ。(参照:特定非営利活動法人 日本ネットワークセキュリティ協会「2016年 情報セキュリティインシデントに関する調査報告書」)

①「管理ミス」(34.0%)
パソコンの不具合が招くデータの紛失や行方不明。操作ミスによる、必要なデータの削除や上書きなど。

②「誤操作」(15.6%)
操作ミス、宛先間違えから起こるメール誤送信、ファイルの誤添付など。

③「不正アクセス」(14.5%)
不正アクセスによる、サーバ内データの外部流出や、サーバのシステム破壊による被害。

④「紛失・ 置き忘れ」(13%)
出先や交通機関での、パソコン、スマホ、タブレット、USBメモリ等置き忘れや紛失。

⑤「不正な情報持ち出し」(6.8%)
従業員や退職者、委託業者といった内部関係者による、情報の不正な流出。

⑥「盗難」(5.3%)
パソコン、スマホ、タブレット、USBメモリ等の盗難。

この結果から、トラブルの大部分が、いわゆる「うっかりミス」「管理ミス」といったヒューマンエラーによるものだということがわかります。だからこそ、「社内ルールの徹底化」が情シスの重要な業務のひとつとなります。

2:情シスに求められる社内セキュリティ対策

「情報システムの管理・運用」は、情シス担当の中心業務です。具体的な作業内容を、この章で整理します。
(参照:IPA「会社の情報セキュリティハンドブック(ひな形)」
「5分でできる!情報セキュリティ自社診断シート」)

(1)ソフトウェアのアップデート
脆弱性情報の発表に対し、常に気を配る必要がある。自動更新の設定などにより最新版を利用したり、手動で最新の修正プログラムを適用したりすることで迅速な対応を心がける。

(2)ウィルス対策ソフトの導入

  • 業務で利用する機器にはウィルス対策ソフトを導入し、定義ファイルを自動更新する。
  • 総合型のセキュリティ対策ソフトの導入を検討する。
  • 持ち出し用パソコンは、利用時に定義ファイルの更新を確認する。

(3)パスワード管理の徹底

  • パスワード発行・管理と共に、適切なパスワード設定の指導を行う。
    (パスワードは10字以上とし、複数種類の記号を組み合わせ、名前・電話番号・誕生日を使わず、同じ文字・数字の羅列はしない、など)。
  • 定期的にパスワードを更新する。
  • 利用者から情シスにパスワード再発行依頼があったときは、利用者本人確認を怠らないようにする。

(4)アクセス制限
複数名が共有する機器には、情シス担当がアクセス制限の設定を行う。
(最低限必要な利用者にのみ必要最低限のアクセスを許可する)

(5)私有情報機器の利用制限
私物のパソコン、タブレット、スマホの業務利用は、原則禁止とし、申請・許可制にする。業務利用を認める場合はルールを明定する。
たとえば、

  • 情シスが指定したウィルス対策ソフトのインストール
  • 業務用データや社用メールアドレスで受信したメールを個人のアドレスに転・送信することの禁止
  • 業務終了後は、情シスが指定するツールを用いてデータを消去する、など。

(6)クラウドサービスの使用許可
クラウドサービスを新たに利用する場合は、情報セキュリティ方針、責任範囲を定めたサービス利用規定などを示し、情シスの許可を得て使用するよう定める。

i-basic-security

3:情シスが、各社員に周知し遵守させるべき「ルール」一覧

情報セキュリティに関するルールをふまえ、「社員に対する教育・監督」を行うことも、情シスの大きな仕事です。社員研修や教育に際して指導すべきルールを整理します。

(1)電子メール利用にあたって

  • メール送信前には、送信先アドレスを再確認する。
  • 複数の外部の人に同時に同じメールを送る場合には、BCCで複数のアドレスを指定するなど、TO、CC、BCCをきちんと使い分ける。
  • 重要な情報または個人情報を送信する場合は、電子メール本文に記入せず、添付ファイルに記載してパスワードの設定、またはパスワード付きのZIPファイルにして暗号化する。パスワードは、別途、先方とあらかじめ決めておくか電話で知らせるなどする。

(2)開いてはいけない電子メールとは
標的型電子メールによるウィルス感染を防止するため、以下の内容に複数合致する場合は、安易に添付ファイルを開いたり、リンクを参照したりしない。
(以下、参照:IPO「情報セキュリティハンドブック」)

  • 心当たりがないメールだが、興味をそそられるタイトル
  • これまで届いたことがない公的機関からのお知らせ
  • フリーメールアドレスからの発信
  • 日本語では使用されない漢字(繁体字、簡体字)が使われているメール
  • 実在する名称を一部に含むURLの記載
  • 実行形式ファイル(exe/scr/cplなど)や、ショートカットファイル(Inkなど)が添付されているメール、など。

(3)インターネットの利用にあたって
<ウェブサイト利用時の注意事項>

  • 不審なサイトへのアクセス及び社用メールアドレス登録は禁止。
  • パスワードをブラウザに保存しない。

<業務でオンラインストレージサービスを利用する際の順守事項>

  • 情シス担当者の許可を得る。
  • 従業員もしくは取引先以外との業務関連情報の共有を禁止する
  • メールアドレスの登録が必要な場合は、社用メールアドレスを登録する。

<業務でSNSを利用する際の順守事項>

  • 社内の秘密情報の書き込みは行わない。
  • セキュリティ設定を行い、アカウントの乗っ取り、なりすましに注意する。
  • 使用するスマートフォン、タブレット端末上のデータ、写真、位置情報が、予期せず公開される可能性のあることに注意する。

(4)データのバックアップ
重要なデータは指定したサーバに保存し、元の場所とは別の場所で定期的にバックアップする。またデータを保存したサーバのバックアップは、情シス担当が行う。

(5)クリアデスク・クリアスクリーンの徹底

  • スマートフォン、携帯電話、重要な情報を保存した電子媒体を業務上利用時以外は机上に放置せず、クリアデスクを徹底する。
  • 離席時にはパソコンの画面をロックし、クリアスクリーンを徹底する。
  • 退社時、未使用時には、ノートパソコンや電子媒体などを机の引き出しに保管し、施錠する。

(6)重要情報の持ち出しにあたって
ノートパソコン、タブレット端末、重要な情報を保存した電子媒体を社外に持ち出すときには以下を徹底する。

  • ノートパソコンまたはタブレット端末に保存するデータは必要最小限にする。
  • 電子媒体はケースに納め、USBメモリはタグやストラップを付け紛失を防止する。
  • ノートパソコンはパスワードを設定する。
  • 電子データは暗号化する。

(7)重要情報の保管について
退社時および未使用時、モバイル用パソコン、電子媒体などは机の引き出しまたは所定のキャビネットに保管し、施錠する。

(8)電子媒体の廃棄にあたって

  • サーバ、パソコン(リース物件の返却・売却を含む)は、情シス担当がハードディスクを取り出して破壊するかデータ抹消ツールにより完全消去する。
  • 外付けハードディスクは、情シス担当が破壊するかデータ抹消ツールにより完全消去する。
  • ディスクは利用者がシュレッダーで細断あるいはカッターで表面に傷をつける。
  • USBメモリは、情シス担当がデータ抹消ツールで完全消去する。

i-basic-security

4:情シス担当者に期待される役割とは

上述したルールを社内で規定することは重要ですが、肝心の社員がその気にならない限り、事故が起きるリスクはあります。ルールの周知と遵守を徹底するため、情シスには次の2点が求められます。

「なぜそのルールが必要なのか」考えさせる

ルールを形骸化させないためには、ルールを守らない場合に生じる危険を社員に教え、「なぜそのルールが必要か」考えさせる必要があります。新人研修や教育などの際、実際の具体的なトラブル例を紹介するなどの工夫をし、おざなりの学習でなく社員が積極的に聴講するような充実した内容を心がけたいものです。
(参考例:IPA「情報セキュリティ 10大脅威2016」)

ルールを守れる環境づくり

たとえば「社外にデータを持ち出さない」というルールを設けたとしても、普段の職場環境がハードで仕事の持ち帰りを余儀なくされることもあるでしょう。そのような現実に目をつぶり、ルールだけ策定しても机上の空論で終わりがちです。かえって「現場を知らない」と反発を受けることになりかねません。職場環境そのものを見直し、場合によっては社員代表として組織幹部と話しあう。そんな役割が情シスには期待されていることを肝に命じたいものです。

ただし、列挙したようなルールを設け、徹底的に指導したとしても、ヒューマンエラーを完全にゼロにすることは不可能です。それを補完するために、2章で述べたウィルス対策ソフトやアクセス制限といったツールの活用が期待されます。

「ツールを駆使し情報システムを適切に管理・運用すること」と「社員の意識啓発」は、いわば車の両輪のような関係にあり、どちらが欠けても思わぬ事故を引き起こす危険があります。言い換えれば、社内セキュリティ対策の元締めとして組織を束ねているのが情シスです。課された負担は重いものですが、責任と自覚を持ってセキュリティトラブルの防止に貢献したいものです。

モバイルPCセキュリティ完全ガイドブック

働き方改革が注目される昨今、自宅や外出先からネットワークにつないで仕事を行う「テレワーク」が不可欠です。いつでも、どこでも働けることは、企業の魅力につながり、多くの人が働きたい場所にするための、重要な施策といえるでしょう。
ただしビジネスパーソンの「利便性」が高まると、往々にして「セキュリティ」が下がってしまう事が多いのです。
テレワーク構築にあたってのポイントや危険性をチェックしていきましょう。

  • なぜ、企業のシステムには「セキュリティ」が必要なのか?
  • テレワークを活用!そのときセキュリティで押さえるべきポイントとは?
  • なぜ、パスワードの使い回しはいけないのか?
  • PCを紛失したら、いったい何が起きるのか?
  • なぜ、セキュリティアップデートは重要なのか?
  • なぜ、公衆無線LANから会社につないじゃダメなのか?

モバイルPCセキュリティ完全ガイドブック

無料ebookをダウンロードする

モバイルPCセキュリティ完全ガイドブック

モバイルPCセキュリティ完全ガイドブック

働き方改革が注目される昨今、自宅や外出先からネットワークにつないで仕事を行う「テレワーク」が不可欠です。いつでも、どこでも働けることは、企業の魅力につながり、多くの人が働きたい場所にするための、重要な施策といえるでしょう。
ただしビジネスパーソンの「利便性」が高まると、往々にして「セキュリティ」が下がってしまう事が多いのです。
テレワーク構築にあたってのポイントや危険性をチェックしていきましょう。

主な内容

  • なぜ、企業のシステムには「セキュリティ」が必要なのか?
  • テレワークを活用!そのときセキュリティで押さえるべきポイントとは?
  • なぜ、パスワードの使い回しはいけないのか?
  • PCを紛失したら、いったい何が起きるのか?
  • なぜ、セキュリティアップデートは重要なのか?
  • なぜ、公衆無線LANから会社につないじゃダメなのか?

無料ebookをダウンロードする

関連記事

インテル Core プロセッサー・ファミリー
インテル® Core™ プロセッサー・ファミリー
Intel Inside® 圧倒的なパフォーマンスを

Intel、インテル、Intel ロゴ、Ultrabook、Celeron、Celeron Inside、Core Inside、Intel Atom、Intel Atom Inside、Intel Core、Intel Inside、Intel Inside ロゴ、Intel vPro、Itanium、Itanium Inside、Pentium、Pentium Inside、vPro Inside、Xeon、Xeon Phi、Xeon Inside、Intel Optane は、アメリカ合衆国および / またはその他の国における Intel Corporation またはその子会社の商標です。

※本ページに記載されているシステム名、製品名は、一般に各開発メーカーの「登録商標あるいは商標」です。