セキュリティコラム

中小企業が最優先で取り組むべき情報セキュリティ対策

2009年3月25日 14:36 | コメント(0)

自社の情報セキュリティ対策の事情を、
皆さんは理解していますか?


「情報セキュリティ対策の重要性」を認識している企業は
年々増加しています。

警察庁の調査によると、
「情報セキュリティ対策の必要性を感じている」
と回答した企業はほぼ100%のようです。

しかし、情報漏えいも比例して増加しています。
必要性を感じている企業が多い中、この原因は何だと思いますか?


この理由は、大きく分けると次の3つのことが考えられます。

  1. コストがかかりすぎるため実行に移せない
  2. 投資対効果が見えない(見られない)ため実行していない
  3. 何を行えば良いのか分からないため実行できない


これらの問題をカバーするために、政府は、
「情報セキュリティポリシーに対するガイドライン」
を提供しています。

しかし、こうしたガイドラインを1から読んでいる企業は少ないと思います。

「そんなものを1から読むのは面倒だ!」
「何を書いているのかよく分からない!」
「量が多すぎて読んでいる時間がない!」

このような嘆きの声が聞こえてきます。


皆さんの嘆きはよく分かります。
「情報セキュリティ対策」という概念は、今まで考えもしなかったこと。

そのため、情報セキュリティ対策を実行するのであれば、
1から学ぶ必要があります。
これは大変ですよね。皆さんのお気持ちは大変よく分かります。


しかし、今の時代、分らないからと言って無視するわけにはいきません。
今日起こっている"あの漏えい事件"が、
明日、あなたの会社で起こるかもしれません。

そう、逃げることは決してできないのです。

そこで、中小企業で優先して取り組むべき情報セキュリティ対策をまとめました。


次の対策を実施すれば、御社のセキュリティ対策は確実にアップします。
紹介しているのは、短時間で実行でき、多額な設備投資が必要のない対策です。

そのため、どの中小企業でも取り組んでいただけると思います。


1.経営者がセキュリティ意識を誰よりも高くもつ


情報セキュリティ対策を実行する上で、これが最優先項目となります。


私はこれまで、何件もの中小企業の現場を見てきました。
今は、毎日のように情報漏えいの事件が報道される日々です。
そのため、現場の方には、セキュリティ意識が大変高い方もいらっしゃいます。

しかし、多くの中小企業経営者のセキュリティ意識は驚くほど低いです。

IT関連企業に勤める方でも意識の低い方はまだまだ多いです。


経営者がセキュリティ意識を高くもつのは、
情報セキュリティ対策を実行する上では絶対条件
です。
これを外すと間違くなく成功しません。


2.自宅のパソコンを会社に持ち込んで使用するのを禁止させる


皆さんは、自宅のパソコン(以下、私物パソコン)を会社に持ち込んで使用していませんか?

私物パソコンの使用についてルールを定めていないのは大変危険です。

私物パソコンが、ウイルスなどの危険にさらされている場合、
会社の重要な情報に危害を与える可能性があるためです。


業務上、"どうしても"持ち込む必要がある場合は、ルールを定めてください。
しかし、ルールを定めていてもリスクは残ります。


最も良いのは、私物パソコンが不要になるような業務形態に変えることです。
そして、会社に私物パソコンを持ち込んで使用することを禁止させてください。


3.会社のノートパソコンの持ち出しを原則禁止する


会社で使用しているノートパソコンの持ち出しは原則禁止してください。

しかし、業務上やむをえない場合はあると思います。


この件の良い対策は、
「持ち出し許可申請」の手続き書を作成することです。

しかし、いきなりこのような書類を作り、
責任者を任命して運用するのは難しいかと思います。

そこで、まずは口頭でも良いです。
パソコンを持ち出す場合は、
上司やパソコンを管理している担当者に報告をし、
承諾を得る仕組みを取り入れてください。

「こういう目的で、○○月○○日まで持ち出しをします」
と。


また、ノートパソコンには盗難防止のための措置を行ってください。

盗難防止グッズは、鍵付き鞄やワイヤーなどがあります。
数千円から購入できるため、必ず導入すべきです。

漏えいした情報はお金にはかえられません。


4.USBメモリの使用に制限を設ける


数ギガバイトもの情報を小さなポケットに入れて持ち運びができるUSBメモリ。
今は容量2GBのUSBメモリでも2千円以下で購入できる時代です。

とても便利ですよね。
多くの企業で重宝しているアイテムだと思います。

しかし、その反面には大きなリスクがあります。

利便性が向上すると、一般的にセキュリティリスクは増大します。

USBメモリは小さい分、いつでもどこにでも持ち運びができます。
その分、公共の場への置き忘れが多くなります。

また、ズボンのポケットやYシャツのポケットにも簡単に入れれます。

電車の切符はなぜなくすことが多いのか?
それは、ポケットがたくさんあるからです。

皆さんが知らない間に、とんでもない場所に落としているかもしれません。


想像してみてください。

「2GBもの重要な情報を保存したUSBメモリを
街中で落としたとしたら...」

ゾッとしますよね。
最悪の事態になる前に、USBメモリには使用制限を設けることです。

  • ストラップをつけて首からぶらさげる。
  • 持ち出しの際は上司から許可を得る。
  • お客様のパソコンへは接続しない。
  • 流出したときのためにデータを暗号化する。
  • 破損した時のためにバックアップを必ずとっておく。


使用制限には色々あります。
1つでも実行すれば、その分セキュリティレベルが高くなります。


今は、ノートパソコンや外付けハードディスクも軽量・小型化し、
大変便利になりました。

利便性の向上によるリスクの増大をどのようにバランスさせるかは、
情報セキュリティ対策の重要な問題です。 


5.ファイル交換ソフトは絶対に使わない


これは会社のパソコンだけではありません。
会社でWinnyのようなファイル交換ソフトを使っている方は、
少ないと思います。

注意しなければならないのは、
自宅のパソコン(私物パソコン)で使ってる
ファイル交換ソフトが原因で発生する漏えい
です。


Winnyをはじめ、ファイル交換ソフトによる情報の流出、
漏えいはあとを絶ちません。

自宅で使用している私物パソコンに利用制限をかけるのは
難しいかと思います。

しかし、ファイル交換ソフトを甘く見てはいけません。
Winnyにより流出した情報は回収不可能に近いのです。

もちろん、ファイル交換ソフトは悪いソフトばかりではありません。
合法な正しい使い方もあります。


しかし、ファイル交換ソフトの使用によるリスクは恐ろしいほど高い。
顧客信頼度、社会的評価、利益、スタッフの人生...
これまで築いてきた大切なものを一瞬で失うことだってありえるのです。

法的責任を問われることもあります。

これらの影響を避けるためにも、会社・自宅のパソコンを問わずに、
ファイル交換ソフトを使用するのは避けるべきです。


利用制限をかけるのが厳しい場合でも、
次のことは最低限決めておくべきです。

  • 自宅のノートパソコン(私物パソコン)を会社で使わないこと。
  • 会社のノートパソコンを自宅で使わないこと。
  • 個人用のUSBメモリを会社では使わないこと。
  • 会社のUSBメモリを自宅のパソコンでは使わないこと。



以上の5点が、
中小企業が優先して取り組むべき情報セキュリティ対策です。

「えっ?たったのこれだけ?他にもやることがあるんじゃないの?」

そう思われた方も多いと思います。
その通りです。やるべきことは他にも山ほどあります。


入退室、パスワード管理から、プログラムの更新、
サイバー犯罪の対策から、アクセス権の設定まで...

しかし、突然、10も20もセキュリティ対策を実行しようとすると
失敗する可能性が高くなります。

そのため、この5つの項目まで絞りました。
これだけの項目であれば、どの企業でもすぐに実行へ移せると思います。


情報セキュリティ対策を実施したことがない企業にとっては、
実行に移すのは簡単なことではないかもしれません。
大変なのも理解できます。

しかし会社として、
情報セキュリティ対策の実施は避けては通れない道なのです。


まずは、上記5つの対策を実行することをおススメします。
これが私の考える、
中小企業が取り組むべき情報セキュリティ対策の第一歩
です。


参考にし、積極的に活用していただければ幸いです。

  • Yahoo!ブックマークに登録
  • Google Bookmarksに登録
  • はてなブックマークに登録
  • del.icio.usに登録
  • livedoorクリップに登録
  • Buzzurl(バザール)に登録

関連記事

情報漏えいのリスクを小さくする方法
守るべき情報資産をできるだけ減らし、情報漏えいのリスクを小さくしましょう。
中小企業が最優先で取り組むべき情報セキュリティ対策
中小企業が最優先で取り組むべき情報セキュリティ対策。どの企業でもすぐに実行に移せる情報セキュリティ対策。実行すれば、企業のセキュリティレベルは確実に大幅アップします。

コメントする