世界的に急増するサイバー攻撃は留まるところを知らず、日ごとその攻撃手法を進化させています。海外に比べサイバーセキュリティに対する意識が低いと言われている日本は、攻撃者にとって格好の餌食であり、企業・組織の規模を問わずサイバー攻撃の被害が増加し続けているのです。
また、内部犯行による情報漏洩も企業にとって大きな問題です。2014年に起きたベネッセホールディングスでの個人情報漏洩事件は、業務委託会社の従業員により犯行が行われ、結果同社では260億円もの保証対応費用が発生しました。さらに、その後も「情報漏洩企業」のイメージを払拭できず、二期連続での最終赤字を計上したのです。
今後、東京オリンピック・パラリンピックが開催される2020年に向け、世界的に注目が集まる日本。アノニマス等の攻撃も激化することが予測されています。セキュリティ対策は日本企業にとって「急務」なのです。
今回は、日本企業の約99%を締める「中小企業」に焦点を当て、最低限行っておくべき5つのセキュリティ対策についてまとめていきたいと思います。
会社パソコンのセキュリティ対策
「セキュリティ対策=アンチウィルスソフトの導入」と大半の方は考えるでしょう。間違いではありません。アンチウィルスソフトの導入は“セキュリティ対策の第一歩”と言えます。
ソフトの導入に関しては、製品の特徴やメリット・デメリット等を総合的に比較し、自社のシステムや社内体制と調和するものを選択するようにしましょう。
予算は事前に決めない
セキュリティ製品に関わらず、新規導入の際によくあるパターンとして、あらかじめ設定した予算内で製品の候補をピックアップしてしまうことがありますが、この場合“予算内であること”が選択の決め手となってしまい、結果的に期待する効果が得られない危険性があります。
必ず“その製品導入で得たい効果”や、“守りたい情報”を明確にしておき、それらをクリアする製品群の中から選択するようにしましょう。
複数のソフトを導入しない
ウィルスソフトを導入すると、PCは起動からシャットダウンまで全てのプロセスが監視されます。万が一、複数のアンチウィルスソフトがインストールされた場合、両者はお互いを「不正ソフト」と認識し、不具合を起こす可能性が高まってしまうのです。
PCを新たに購入した場合などは、製造機種独自のアンチウィルスソフトが元々搭載されていることもありますので、必ず状況を確認してからインストールを行うようにしましょう。
<会社PCのアンチウィルスについてさらに詳しい内容はこちらをご覧ください>
参考【23年最新】おすすめセキュリティソフト8製品を比較!価格やスマホ向け比較まで
参考アンチウィルスソフトを複数入れてはダメ!その理由とは
会社スマホのセキュリティ対策
タブレットやスマートフォン(以下スマホ)の進化により、仕事の場所を選ばない“新しい働き方”を認める企業が増えてきています。
労働人口の減少が懸念される中、在宅勤務等のフレキシブルな働き方が認められることは、社会全体での生産性向上が期待でき、良い流れであることは確かです。
しかし、PC同等の情報量を持ち運べる端末が持ち出されるという点では、企業にとって大きなセキュリティリスクとなります。タブレットやスマホに関しても、社内環境と変わらないセキュリティ対策が必須なのです。
ウィルスの問題
標的型メールによるウィルス感染も危険ですが、最近では正規品と見分けのつかない「ウィルスアプリ」の被害も確認されています。
アプリをインストールする事により、スマホ内の情報が抜き取られたり、メール内容が流出するなどの危険がありますので、専用のチェックツールなどを用いることが必要です。
認証の問題
社内システムにアクセスが出来る端末が増加したことで問題となるのが「本人認証」です。認証情報の増加は、“パスワード使い回し”を引き起こします。メールアドレスとパスワードによる単一的な認証では、悪意ある侵入を簡単にゆるしてしまうのです。
そこで、パスワード+α(電話、認証コードの入力等)の「二段階認証」が有効です。二段階認証に関しては、セキュリティベンダー各社が製品を開発していますので、それらを導入するのも一つの方法です。
紛失の問題
万全のセキュリティ対策を行っている企業であっても、完全に防ぐことは不可能と言われるのが「紛失」や「盗難」といった、端末自体が無くなってしまう問題です。紛失や盗難は“起こるもの”と認識し、無くなった場合でも情報が守られる方法を選択するほかありません。
<スマホのセキュリティ対策についてさらに詳しい内容はこちらをご覧ください>
参考企業におけるBYOD普及で増加するセキュリティリスクについて
参考スマートフォンによる企業情報流出への6つの対策
参考スマートフォンのデザリング利用と留意すべき3つのセキュリティ対応
参考【スマートフォンの危険性】覗き見防止フィルターを付けるべき3つの理由
参考マルチデバイス対応でいつでもどこでも使える!24時間セキュリティチェックが必要な3つの理由
参考スマートフォンは情報の宝庫!処分する際に確認すべき4項目とは
参考スマートフォンにおけるセキュリティ対策4つのポイント
会社のパソコン、USBの感染・紛失防止
業務効率化を目的に、ノートパソコンの持ち出しやUSBでのデータ持ち出しを可としている企業もあるかと思いますが、これらは情報セキュリティの観点から考えると非常に危険な行為です。
前項のスマホのセキュリティ対策でも述べましたが、「紛失」や「盗難」といったインシデントに関しては完全に防ぐことは不可能です。これらが起こることを想定した次段階でのセキュリティ対策が求められます。
セキュリティ対策ソフトは必須
次段階でのセキュリティ対策として、近年では紛失・盗難に対応した、遠隔でのデータ消去サービス等も多数開発されています。業務効率化による社外持ち出しだけではなく、海外への出張時等にもセキュリティリスクは潜んでいますので、何かしらの製品は導入しておくべきでしょう。
関連企業のセキュリティ環境
これは、取引先企業に関しても同様です。情報共有が行われる場合は、共有先のセキュリティ環境も確認した上で行わなければなりません。実際に、セキュリティ対策の弱い企業を踏み台とし、取引のある大企業の情報が盗まれる事件も発生していますので、情報の共有を行う前に必ず確認を行いましょう。
退職者の端末について
従業員が退職する際にも細心の注意が必要です。端末上で削除したデータがバックアップとして残ってしまっているケースや、クラウド上に同期されていることも考えられます。また、退職者の社内システムへのアクセス権等も、退職日に削除するよう徹底しましょう。
IPAが提示する情報漏洩対策
下記7項目が、IPAが提示している情報漏洩対策です。
- 情報は持ち出さない
- 情報の安易な放置はしない
- 情報の安易な廃棄をしない
- 不要な持込みの禁止
- 鍵をかけ、貸し借り禁止
- 情報の公言の禁止
- 問題が起こった場合は、すぐに報告
基本的に、情報は持ち出さないことが最善です。しかし、近年の働き方の変化により、社外から社内システムへアクセスし、業務を行う等のケースも増加しています。
そこで、考えたいことが2・3の項目です。会社の情報を持ち歩いているという意識を強く持ち、必要に応じてファイル単位でのパスワード設定や暗号化機能付きUSBメモリーを使用するなどの対策が有効です。
<会社のPC、USBのセキュリティ対策についてさらに詳しい内容はこちらをご覧ください>
参考USBメモリーで外部に情報を持ち出すときに注意したい3つのこと
参考パソコンがウィルスに感染してしまったら~とるべき4つの対応~
参考マルウェア感染だと感じたらコントロールパネルから確認する方法
参考退職者のPCから情報漏洩を防ぐためにしなければならない3つのこと
参考退職者PC調査サービスとは。なぜ調査をするの?
私用パソコンの持ち込み・紛失防止対策
比較的規模の小さい企業で見受けられるのが、私用のパソコンを持ち込みビジネス利用しているケースです。
企業の端末管理が正しく行われている場合は問題ありませんが、申請を行わずに社内システムへアクセスしてしまっているケースもありますので、注意が必要です。
管理体制の強化
社内のセキュリティ環境を維持する為には、各端末の情報(OSやスペック)を管理する必要があります。さらに言えば、端末内に入っているソフトやアプリケーションについても同様に管理が求められます。
- Aさん
PC:会社支給(Microsoft Windows8/Professional/Version)
スマートフォン:私用(iPhone) - Bさん
PC:私用
スマートフォン:私用
上記のように、社内システムへアクセスする可能性がある端末は全て管理することになるのです。情報システム部の管理体制が整っている企業であれば可能ですが、これらが難しい企業も多いのではないでしょうか。
正しい権限付与
これは私用パソコンに限りませんが、情報の閲覧や各処理に関しての「権限設定」はセキュリティを考える上で非常に重要です。
ファイルのコピーや保存が行える状態で情報の共有が行われてしまった場合、悪意ある第三者によって情報が盗まれる可能性もあり得るからです。
専用のソフトウェア等も数多く出ていますので、それらを活用する事も有効的です。
<私用パソコンの持ち込み・紛失防止対策についてさらに詳しい内容はこちらをご覧ください>
参考【閲覧権限の必要性】重要書類は“閲覧だけ”にするべき3つの理由
参考メールやログを常時監視の目的とは?監視が必要な3つの理由
情報セキュリティポリシー策定
情報セキュリティポリシーとは、企業や組織が情報セキュリティを保つための全体的な指針や方針を定めたルールのこと。
「サイバー攻撃から機密データや個人情報を守るために、こんな防御策を講じていますよ」と宣言したもののことです。サイバー攻撃による被害が増加している現代社会において、企業運営のためのルールづくりとして欠かせないものの1つです。
「情報セキュリティポリシー」の策定がなぜ重要なのかというと、社員全員のセキュリティ意識の向上にあります。
このように会社としてのポリシーを決めておくことにより、インシデント発生時には何をすれば良いのか? インシデントが発生しないようにするためには何に気をつければ良いのか?など、社員全員が意識するようになります。
冒頭に述べたベネッセの情報漏洩事件のように、社員や業務委託先のセキュリティ意識が低いことによって起きる内部犯行による漏洩事件を防ぐことが可能になります。
まだ「情報セキュリティポリシー」を作っていないという企業の方は、これを機に作成することをお勧めします。
参考情報セキュリティポリシー策定のポイントと参考になるサンプル例文紹介