中小企業で必須の5つのセキュリティ対策

この記事は約 9 分で読めます。


世界的に急増するサイバー攻撃は留まるところを知らず、日ごとその攻撃手法を進化させています。海外に比べサイバーセキュリティに対する意識が低いと言われている日本は、攻撃者にとって格好の餌食であり、企業・組織の規模を問わずサイバー攻撃の被害が増加し続けているのです。

また、内部犯行による情報漏洩も企業にとって大きな問題です。2014年に起きたベネッセホールディングスでの個人情報漏洩事件は、業務委託会社の従業員により犯行が行われ、結果同社では260億円もの保証対応費用が発生しました。さらに、その後も「情報漏洩企業」のイメージを払拭できず、二期連続での最終赤字を計上したのです。

今後、東京オリンピック・パラリンピックが開催される2020年に向け、世界的に注目が集まる日本。アノニマス等の攻撃も激化することが予測されています。セキュリティ対策は日本企業にとって「急務」なのです。

今回は、日本企業の約99%を締める「中小企業」に焦点を当て、最低限行っておくべき5つのセキュリティ対策についてまとめていきたいと思います。

1.会社PCのアンチウィルス

img_13735_1

「セキュリティ対策=アンチウィルスソフトの導入」と大半の方は考えるでしょう。間違いではありません。アンチウィルスソフトの導入は“セキュリティ対策の第一歩”と言えます。

ソフトの導入に関しては、製品の特徴やメリット・デメリット等を総合的に比較し、自社のシステムや社内体制と調和するものを選択するようにしましょう。

予算は事前に決めない

セキュリティ製品に関わらず、新規導入の際によくあるパターンとして、あらかじめ設定した予算内で製品の候補をピックアップしてしまうことがありますが、この場合“予算内であること”が選択の決め手となってしまい、結果的に期待する効果が得られない危険性があります。

必ず“その製品導入で得たい効果”や、“守りたい情報”を明確にしておき、それらをクリアする製品群の中から選択するようにしましょう。

複数のソフトを導入しない

ウィルスソフトを導入すると、PCは起動からシャットダウンまで全てのプロセスが監視されます。万が一、複数のアンチウィルスソフトがインストールされた場合、両者はお互いを「不正ソフト」と認識し、不具合を起こす可能性が高まってしまうのです。

PCを新たに購入した場合などは、製造機種独自のアンチウィルスソフトが元々搭載されていることもありますので、必ず状況を確認してからインストールを行うようにしましょう。

<会社PCのアンチウィルスについてさらに詳しい内容はこちらをご覧ください>
アンチウィルスソフトを複数入れてはダメ!その理由とは
最適なセキュリティソフトを選ぶための3つのポイントとは

2.会社スマホのセキュリティ対策

img_13735_2

タブレットやスマートフォン(以下スマホ)の進化により、仕事の場所を選ばない“新しい働き方”を認める企業が増えてきています。

労働人口の減少が懸念される中、在宅勤務等のフレキシブルな働き方が認められることは、社会全体での生産性向上が期待でき、良い流れであることは確かです。

しかし、PC同等の情報量を持ち運べる端末が持ち出されるという点では、企業にとって大きなセキュリティリスクとなります。タブレットやスマホに関しても、社内環境と変わらないセキュリティ対策が必須なのです。

ウィルスの問題

標的型メールによるウィルス感染も危険ですが、最近では正規品と見分けのつかない「ウィルスアプリ」の被害も確認されています。

アプリをインストールする事により、スマホ内の情報が抜き取られたり、メール内容が流出するなどの危険がありますので、専用のチェックツールなどを用いることが必要です。

認証の問題

社内システムにアクセスが出来る端末が増加したことで問題となるのが「本人認証」です。認証情報の増加は、“パスワード使い回し”を引き起こします。メールアドレスとパスワードによる単一的な認証では、悪意ある侵入を簡単にゆるしてしまうのです。

そこで、パスワード+α(電話、認証コードの入力等)の「二段階認証」が有効です。二段階認証に関しては、セキュリティベンダー各社が製品を開発していますので、それらを導入するのも一つの方法です。

紛失の問題

万全のセキュリティ対策を行っている企業であっても、完全に防ぐことは不可能と言われるのが「紛失」や「盗難」といった、端末自体が無くなってしまう問題です。紛失や盗難は“起こるもの”と認識し、無くなった場合でも情報が守られる方法を選択するほかありません。

<スマホのセキュリティ対策についてさらに詳しい内容はこちらをご覧ください>
企業におけるBYOD普及で増加するセキュリティリスクについて
スマートフォンによる企業情報流出への6つの対策
スマートフォンのデザリング利用と留意すべき3つのセキュリティ対応
【スマートフォンの危険性】覗き見防止フィルターを付けるべき3つの理由
マルチデバイス対応でいつでもどこでも使える!24時間セキュリティチェックが必要な3つの理由
スマートフォンは情報の宝庫!処分する際に確認すべき4項目とは
スマートフォンによる企業情報流出への6つの対策
スマートフォンにおけるセキュリティ対策4つのポイント

3.会社のパソコン、USBの感染・紛失防止

pc_filter

業務効率化を目的に、ノートパソコンの持ち出しやUSBでのデータ持ち出しを可としている企業もあるかと思いますが、これらは情報セキュリティの観点から考えると非常に危険な行為です。

前項のスマホのセキュリティ対策でも述べましたが、「紛失」や「盗難」といったインシデントに関しては完全に防ぐことは不可能です。これらが起こることを想定した次段階でのセキュリティ対策が求められます。

セキュリティ対策ソフトは必須

次段階でのセキュリティ対策として、近年では紛失・盗難に対応した、遠隔でのデータ消去サービス等も多数開発されています。業務効率化による社外持ち出しだけではなく、海外への出張時等にもセキュリティリスクは潜んでいますので、何かしらの製品は導入しておくべきでしょう。

関連企業のセキュリティ環境

これは、取引先企業に関しても同様です。情報共有が行われる場合は、共有先のセキュリティ環境も確認した上で行わなければなりません。実際に、セキュリティ対策の弱い企業を踏み台とし、取引のある大企業の情報が盗まれる事件も発生していますので、情報の共有を行う前に必ず確認を行いましょう。

退職者の端末について

従業員が退職する際にも細心の注意が必要です。端末上で削除したデータがバックアップとして残ってしまっているケースや、クラウド上に同期されていることも考えられます。また、退職者の社内システムへのアクセス権等も、退職日に削除するよう徹底しましょう。

IPAが提示する情報漏洩対策

下記7項目が、IPAが提示している情報漏洩対策です。

  1. 情報は持ち出さない
  2. 情報の安易な放置はしない
  3. 情報の安易な廃棄をしない
  4. 不要な持込みの禁止
  5. 鍵をかけ、貸し借り禁止
  6. 情報の公言の禁止
  7. 問題が起こった場合は、すぐに報告

基本的に、情報は持ち出さないことが最善です。しかし、近年の働き方の変化により、社外から社内システムへアクセスし、業務を行う等のケースも増加しています。

そこで、考えたいことが2・3の項目です。会社の情報を持ち歩いているという意識を強く持ち、必要に応じてファイル単位でのパスワード設定や暗号化機能付きUSBメモリーを使用するなどの対策が有効です。

<会社のPC、USBのセキュリティ対策についてさらに詳しい内容はこちらをご覧ください>
USBメモリーで外部に情報を持ち出すときに注意したい3つのこと
パソコンがウィルスに感染してしまったら~とるべき4つの対応~
マルウェア感染だと感じたらコントロールパネルから確認する方法
退職者のPCから情報漏洩を防ぐためにしなければならない3つのこと
退職者PC調査サービスとは。なぜ調査をするの?

4.私用パソコンの持ち込み・紛失防止対策

img_5193

比較的規模の小さい企業で見受けられるのが、私用のパソコンを持ち込みビジネス利用しているケースです。

企業の端末管理が正しく行われている場合は問題ありませんが、申請を行わずに社内システムへアクセスしてしまっているケースもありますので、注意が必要です。

管理体制の強化

社内のセキュリティ環境を維持する為には、各端末の情報(OSやスペック)を管理する必要があります。さらに言えば、端末内に入っているソフトやアプリケーションについても同様に管理が求められます。

  • Aさん
    PC:会社支給(Microsoft Windows8/Professional/Version)
    スマートフォン:私用(iPhone)
  • Bさん
    PC:私用
    スマートフォン:私用

上記のように、社内システムへアクセスする可能性がある端末は全て管理することになるのです。情報システム部の管理体制が整っている企業であれば可能ですが、これらが難しい企業も多いのではないでしょうか。

正しい権限付与

これは私用パソコンに限りませんが、情報の閲覧や各処理に関しての「権限設定」はセキュリティを考える上で非常に重要です。

ファイルのコピーや保存が行える状態で情報の共有が行われてしまった場合、悪意ある第三者によって情報が盗まれる可能性もあり得るからです。

専用のソフトウェア等も数多く出ていますので、それらを活用する事も有効的です。

<私用パソコンの持ち込み・紛失防止対策についてさらに詳しい内容はこちらをご覧ください>
【閲覧権限の必要性】重要書類は“閲覧だけ”にするべき3つの理由
メールやログを常時監視の目的とは?監視が必要な3つの理由

5.マイナンバー対策

img_3923

2016年にスタートした「マイナンバー制度」に関しても、セキュリティ対策は必要不可欠です。

マイナンバー管理製品(サービス)も多く出回っていますが、管理委託先での情報漏洩であっても、企業の責任は問われますので、しっかりと確認しておきましょう。

マイナンバー対応の現状

マイナンバー制度が開始され各企業でも対応が行われていると思いますが、一部調査では、マイナンバーへの対応を完了したと答える企業は全体の30%で、70%もの企業が対応を完了していないとのデータもあります。
(企業IT利活用動向調査2016での速報/日本情報経済社会推進協会、アイ・ティ・アール)

対応を完了できない理由としては、下記が挙げられます。

  • 社内ITリソース人材不足
  • 関係部門との調整不足
  • 予算の不足

マイナンバーに限らずIT関連に必要十分な予算を振り分けることは、特に中小企業ではなかなか難しいケースも多いのです。

正しい安全管理措置

個人情報保護に関する法律に規定されている「安全管理措置」では、情報の保護・保全及び外部漏洩防止のために必要な事柄が示されています。マイナンバーを始め個人情報を管理する事業者全てに当てはまる内容です。

安全管理措置は、まず下記の手順で検討を行いましょう。

  1. 個人情報を扱う事務の範囲の明確化
  2. 特定個人情報等の範囲の明確化
  3. 事務取扱担当者の明確化
  4. 特定個人除法等の安全管理措置に関する基本方針の策定
  5. 取り扱い規定等の策定

そして具体的な安全管理措置として下記4項目を行います。

  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置

国として取り組む新たな制度ということで報道が過熱した部分もありますが、マイナンバーも“情報の一種”に過ぎません。これまでの情報セキュリティ対策同様に、参考となる安全管理措置の手順に従い行うことで、事業者の管理責任は果たせると言えます。

<マイナンバー対策についてさらに詳しい内容はこちらをご覧ください>
マイナンバーとは?概要・メリット・漏洩防止対策まで徹底解説
企業が確認すべき「マイナンバー安全管理措置」の4ポイント
マイナンバー制度|システム面の安全管理措置で注意すべき3項目
マイナンバー管理|行政サービスで重要な2つのセキュリティ対策
マイナンバー制度導入に向けて企業が対応すべき3つの課題
海外の事例から見るマイナンバー制度のセキュリティ対策
中小企業の「マイナンバー対応」に必要な予算はいくらか
マイナンバーの持ち出しは「完全物理消去可能」なデバイスで!マイナンバー持ち出しのリスク

koyama
サイバーセキュリティ.comの広報担当です。 (サイバーセキュリティについて日々勉強中...) セミナー取材、企業インタビューにも伺います! よろしくお願いいたします。

こちらのページもご覧ください。

メルマガ会員登録(無料PDFプレゼント)

メルマガ会員登録をしていただくと下記PDFもプレゼント!
0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策ハンドブック

企業における情報漏洩対策として重要な、セキュリティ対策のための知識として基本的な「まずは知っておくべき内容!」をピックアップし、約40ページのPDFに整理いたしました!

その具体的な内容は、


img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラから