6.1 ITガバナンス(情報システム管理)の必要性
企業活動を行う上で欠かせない貴重なデータはいつ・どんなときに損失するか分かりません。移動の電車内にうっかりパソコンを置き忘れる、空調の設定ミスでサーバーが故障する、といった事例は決して珍しいことではなく、実際に起こっていることなのです。
また、知らない間に悪意のある者の侵入を許し、絶対に漏洩させてはいけない機密情報を盗まれたり、改竄されたりしているかもしれません。
ITの普及により、社会は目覚ましく発展し、企業活動における効率は著しく向上しました。
ところがその反面、様々な脅威が現れ、攻撃者の手口は年々巧妙かつ悪質に進化しています。
以前は想定しなかった事態とも、私たちは向き合っていかなければなりません。
もし社内の誰か一人でもセキュリティ対策を怠ると、企業は以下のような不利益を被る恐れがあります。
- 業務上の重要書類が消失し、営業活動が停止
→顧客や取引先に関する情報などの重要データ損失による社会的信頼の失墜 - 企業運営が停滞、競争力が低下
→コンプライアンス違反(裁判に発展する可能性も)
こうした事態を回避するためには、従業員か経営者かを問わず、まず基本的な対策を講じることが大切です。情報処理推進機構(IPA)が提唱する「情報セキュリティ5か条」には、企業の規模に関わらず、必ず社員各自が実行すべき重要な対策が5つにまとめられています。これらは、共通的な基本的対策ですので、抜け漏れのないよう必ず実行し、確認しておきましょう。
【1】OSやソフトウェアは常に最新の状態にしよう!
OSやソフトウェアが古いままでは、セキュリティ上の問題点が解決されず、それに付け込んだウイルスに感染してしまうリスクがあります。使用しているOSやソフトウェアは、修正パッチを適用させたり、最新版を利用したりすることでリスクを低減させましょう。
【2】ウイルス対策ソフトを導入しよう!
IDやパスワードを盗んだり、遠隔で操作したり、ファイルを勝手に暗号化したりと、ウイルスも多様化しています。ウイルス対策ソフトを必ず導入し、ウイルス定義ファイル(パターンファイル)は常に最新化しておきましょう。
【3】パスワードを強化しよう!
IDとパスワードが推測、解析され突破を許したり、Webサービスから流出したID/パスワードが悪用されたりする被害が増えています。強力なパスワードを作成する方法や、推奨されている具体値は、第2章にて記述していますので、そちらをご覧ください。
【4】権限設定が適切か見直そう!
オンラインストレージなどのWebサービスや、ネットワークに接続されている機器の設定を誤ったために、無関係な人に情報を抜き取られるトラブルが増えています。無関係な人がWebサービスや機器を勝手に使うことができないよう、権限設定が適切に行われているか確認しましょう。
【5】脅威や攻撃の手口を知ろう!
取引先や顧客、関係者を装ってウイルスの添付されたメールを送ってきたり、正規のWebサイトを装った偽サイトを作成したりしてID/パスワードを盗み取ろうとする巧妙な手口が増えています。そのような脅威や攻撃の手口を知り、対策を講じましょう。
●セキュリティ教育
「セキュリティ対策5か条」をはじめとした対策を周知して徹底させ、様々な脅威から情報資産を守るためにも、社員全員へのセキュリティ教育は必要です。
まずは、セキュリティ対策の周知と徹底という基本のもと、
- 機密情報の取り扱い注意事項
- 脅威や攻撃の種類
- ウイルス添付メールの見分け方
などの基礎知識に加え、具体的な対応方法を教育しましょう。
また中堅社員に対しては、加えてセキュリティへの意識低下の引き締めや、知識と対策の再確認を促します。
管理職や役員には、さらにリスク回避目的の対策を周知し、指導・管理を行うためのリスク要因の把握などを求めましょう。
上述したセキュリティ教育を実施する形態には、以下のようなものが挙げられます。
利点 | 欠点 | |
---|---|---|
社内研修 |
|
|
eラ|ニング |
|
|
外部セミナ| |
|
|
社内ポ|タル |
|
|
セキュリティ教育で求められることは、実施そのものではなく、社員全員のセキュリティ対策に関する知識の確実な習得です。そのため、効果的で継続的な学習が必要です。これらのことを踏まえ、自社にとって最適なセキュリティ教育の実施形態を考え、定期的な実施を心掛けてみてください。