6.1 ITガバナンス(情報システム管理)の必要性

企業活動を行う上で欠かせない貴重なデータはいつ・どんなときに損失するか分かりません。移動の電車内にうっかりパソコンを置き忘れる、空調の設定ミスでサーバーが故障する、といった事例は決して珍しいことではなく、実際に起こっていることなのです。

また、知らない間に悪意のある者の侵入を許し、絶対に漏洩させてはいけない機密情報を盗まれたり、改竄されたりしているかもしれません。

ITの普及により、社会は目覚ましく発展し、企業活動における効率は著しく向上しました。

ところがその反面、様々な脅威が現れ、攻撃者の手口は年々巧妙かつ悪質に進化しています。

以前は想定しなかった事態とも、私たちは向き合っていかなければなりません。

もし社内の誰か一人でもセキュリティ対策を怠ると、企業は以下のような不利益を被る恐れがあります。

• 業務上の重要書類が消失し、営業活動が停止
  →顧客や取引先に関する情報などの重要データ損失による社会的信頼の失墜
• 企業運営が停滞、競争力が低下
  →コンプライアンス違反（裁判に発展する可能性も）

こうした事態を回避するためには、従業員か経営者かを問わず、まず基本的な対策を講じることが大切です。情報処理推進機構(IPA)が提唱する「情報セキュリティ5か条」には、企業の規模に関わらず、必ず社員各自が実行すべき重要な対策が５つにまとめられています。これらは、共通的な基本的対策ですので、抜け漏れのないよう必ず実行し、確認しておきましょう。

【１】OSやソフトウェアは常に最新の状態にしよう！

OSやソフトウェアが古いままでは、セキュリティ上の問題点が解決されず、それに付け込んだウイルスに感染してしまうリスクがあります。使用しているOSやソフトウェアは、修正パッチを適用させたり、最新版を利用したりすることでリスクを低減させましょう。

【２】ウイルス対策ソフトを導入しよう！

IDやパスワードを盗んだり、遠隔で操作したり、ファイルを勝手に暗号化したりと、ウイルスも多様化しています。ウイルス対策ソフトを必ず導入し、ウイルス定義ファイル(パターンファイル)は常に最新化しておきましょう。

【３】パスワードを強化しよう！

IDとパスワードが推測、解析され突破を許したり、Webサービスから流出したID/パスワードが悪用されたりする被害が増えています。強力なパスワードを作成する方法や、推奨されている具体値は、第2章にて記述していますので、そちらをご覧ください。

【４】権限設定が適切か見直そう！

オンラインストレージなどのWebサービスや、ネットワークに接続されている機器の設定を誤ったために、無関係な人に情報を抜き取られるトラブルが増えています。無関係な人がWebサービスや機器を勝手に使うことができないよう、権限設定が適切に行われているか確認しましょう。

【５】脅威や攻撃の手口を知ろう！

取引先や顧客、関係者を装ってウイルスの添付されたメールを送ってきたり、正規のWebサイトを装った偽サイトを作成したりしてID/パスワードを盗み取ろうとする巧妙な手口が増えています。そのような脅威や攻撃の手口を知り、対策を講じましょう。

●セキュリティ教育

「セキュリティ対策5か条」をはじめとした対策を周知して徹底させ、様々な脅威から情報資産を守るためにも、社員全員へのセキュリティ教育は必要です。

まずは、セキュリティ対策の周知と徹底という基本のもと、

• 機密情報の取り扱い注意事項
• 脅威や攻撃の種類
• ウイルス添付メールの見分け方

などの基礎知識に加え、具体的な対応方法を教育しましょう。

また中堅社員に対しては、加えてセキュリティへの意識低下の引き締めや、知識と対策の再確認を促します。

管理職や役員には、さらにリスク回避目的の対策を周知し、指導・管理を行うためのリスク要因の把握などを求めましょう。

上述したセキュリティ教育を実施する形態には、以下のようなものが挙げられます。

セキュリティ教育で求められることは、実施そのものではなく、社員全員のセキュリティ対策に関する知識の確実な習得です。そのため、効果的で継続的な学習が必要です。これらのことを踏まえ、自社にとって最適なセキュリティ教育の実施形態を考え、定期的な実施を心掛けてみてください。