物理的な対策には下記のような対策が挙げられます。
・入退室管理を取り入れる
サーバーや機密書類のあるスペースへの入室はもちろん、オフィス内への入室の際にも制限をかけましょう。
社員の入退室はICカードを使用する等の入退室管理システムを活用して記録を管理します。
来訪者には来社時に記帳をしてもらいます。
誰がいつオフィスに出入りしたのかを記録することを徹底することで、万が一のときに事故原因の究明に役立てることができます。
同時に、“記録を録っている”ということが犯罪や不正の抑止に効果的です。ネットワークカメラで録画するのも有効な入退出の記録になります。
また、荷物の受け渡し場所や外部業者の作業場所を確保し、不用意に機密情報に触れられるスペースに入られないようにしましょう。
・情報システム機器は見えない場所に置く
基幹システムや機密情報が保有されている情報システム機器は、通常目に触れない場所に設置しましょう。
情報システム機器がどこにあるかすぐに分かって、簡単に近づけるようでは危険です。
なぜなら、機器に接続されてしまうと中のデータを見られたり持ち出されたりしてしまうからです。
あるいは転倒や落下等の偶然の事故によって損壊されてしまうリスクも高まります。
一般従業員や来訪者からは隔離し、容易には触れられないような場所に設置するのが良いでしょう。
また、情報を保護するという観点から、配線も含めて機器は見えない状態にして損壊から守ることが必要です。
・使用中に盗み見されない工夫をする
使用中のPC画面や書類が来訪者にのぞき見されないようなオフィスレイアウトを工夫しましょう。
受け付けカウンターや通路、オフィスの入口、来客スペースから、情報機器の画面がのぞき見できてしまっては危険です。
表示されている情報が漏えいするだけでなく、「この機器で情報を閲覧・操作することができる」ということも教えてしまうことになります。
PC画面の向きやデスクのレイアウトに工夫が必要です。
あるいは、入口から執務室が丸見えにならないようにパーティション等で目隠しするのも有効です。
物理的な対策には下記のような対策が挙げられます。
・ウイルス対策ソフトや統合脅威管理(UTM)の運用状況を確認し更新を随時行なう
導入したウイルス対策ソフトや統合脅威管理(UTM)の運用管理をしましょう。
ウイルス対策ソフトや統合脅威管理(UTM)を導入しただけで満足してはいけません。「運用」が大切です!
サイバー攻撃は日々進化しており、ウイルスも新種のものが絶えなく作られています。
それらに対抗できるよう、セキュリティベンダーもウイルス定義ファイルを都度更新しているので、随時アップデートして最新の状態に保ちましょう。
・使用している各ソフトウェアの脆弱性対策を行なう
セキュリティに関するソフトウェアだけでなく、パソコンに入れている各種ソフトウェアも脆弱性対策として更新を随時行いましょう。
PCのOSの脆弱性や、その他のソフトウェアの脆弱性はサイバー攻撃に利用しようと常に狙われています。
ソフトウェアの脆弱性は修正プログラムが公開されると適用することができます。
脆弱性を埋めることはセキュリティ対策として非常に有効な手段のひとつなので、必ず漏れなく実施しましょう。
・モバイルパソコンやスマホにはパスワード認証設定をする
外出先で使用するPCやスマホにはログオン時にパスワード認証をするように設定しましょう。
万が一、置き忘れたり盗難に遭ったりした場合にも、パスワードが分からなければ起動できない設定にしておけば、中に保存しているデータを見られたり抜き出されたりすることを防げます。
また、外部ネットワークに接続したPCやスマホを社内ネットワークに接続する前には、セキュリティ対策ソフトでウイルスチェックをして、安全が確認できたら接続するようにしましょう。
人的対策には下記のような対策が挙げられます。
・情報漏洩やウイルス感染による被害について情報を得る
情報漏洩やウイルス感染による被害について知る、ということを始めましょう。
敵を知らずして対策を打つことはできませんよね。
フィッシングメールやランサムウェア(身代金ウイルス)、来訪者による情報搾取など様々な手口があり実際に被害があるということを知るだけでも、何も知らないよりもずっと対策になります。
「こんな攻撃がある」「こんな偽メールが出回っている」ということを知っていれば、いざ自分の周りで問題が起こった時にも、いち早く気づき、対応したり未然に防いだりすることができるでしょう。
・情報を守るためのルールを策定し徹底する
攻撃や手口を知ったうえで、自社の事業やリスクを考慮した内容のルールを策定し、全員で徹底しましょう。
ルールの例としては、
・退社時は書類やノートPCはすべてキャビネットやロッカーに片づけて施錠する
・PCは離席時にはスクリーンセーバーを起動させる(あるいはログオフする)
・サーバーやデータへのアクセス権(閲覧/編集・削除)を社員や部署ごとに最適化する
・不審なメールが来たときやPCの様子がおかしいと感じたときはすぐに担当者に報告し指示を仰ぐ
などが挙げられます。
自社の業務プロセスに見合ったルールを策定し、そのルールを社内に周知し習慣づけていきましょう。
情報セキュリティ対策は「物理的対策」「技術的対策」「人的対策」の3種に分けられます。
どれか1種でも対策が不足している状態であれば、その分、情報漏えいやウイルス感染に遭うリスクも高まると言えます。
まだ、対策が不十分だと感じた中小企業の方は、ぜひ3種の対策を満たせるように対策を打つことを検討しましょう。
【関連コラム】
そもそも情報セキュリティとは、情報の機密性・完全性・可用性を確保することを言います。
これを簡単に言うと、情報が外部に漏れたり勝手に編集されたりせずに、常に安全に利用できる状態を維持することです。
このために必要な対策をすることを情報セキュリティ対策と言うのです。
この情報セキュリティ対策も、以下の3種の対策に分けて考えることができます。
・保有している情報をオフィス内のレイアウトや記録で守る「物理的対策」
・ソフトウェアや設定の管理によって守る「技術的対策」
・ルールや一人一人の意識で守る「人的対策」
情報セキュリティ対策について、まず何から検討していくべきかご検討中の中小企業の方に参考にしていただければと思います。