セキュリティ対策の必要性
1. テレワークで生じた事故
2. 10大脅威
3. 中小企業のセキュリティ対策状況
セキュリティ対策で守るべきものは何か
1. セキュリティの定義
2. リスク対応の種類
セキュリティ対策の手順
1. 情報資産の評価基準
2. 情報資産の棚卸
3. ルール策定
4.セキュリティポリシーの作成
5. 物理的対策と技術的対策
6. 教育・訓練
- メールの誤送信・情報漏洩事故を起こすことにより、取引先や顧客の信用を失うばかりでなく、損害賠償等の経済的コストも大きな負担です!
- 何よりも信頼を喪失することで、取引先が離反する可能性も起こりえますし、取引面では不利な立場になります!
- 2017年に改正個人保護法が施行され、1件でも個人情報を所持していれば個人情報取扱事業者ということになりました。
- 情報漏洩事故が発生した場合には、個人情報保護委員会での届け出が必要になります。
- テレワークの推進により、会社の統制が機能しない在宅勤務をすることで、情報漏洩等の事故は起こりやすい状況になっています!
①情報資産の棚卸
- 自社にどのような情報資産があり、どこに保管されているかを調査し、情報資産台帳を作成します。
- 情報資産には、電子媒体(データ)及び紙媒体が含まれます。
- 情報資産には重要度評価を行います。すべての情報資産を管理すると負荷も大きくなります。そこで情報資産に重要度評価を行い重要度の高い資産を重点的に管理することとします。
- 重要度評価は、情報資産の特性から機密性・完全性・可用性の視点を切り口とします。
②セキュリティルールの策定
- 情報資産の重要度評価が済みましたら、これを保護するべきルール作りをします。
これがセキュリティポリシーとなります。
- 必要に応じて、社内のハードウェア・ソフトウェアを管理するための台帳類や、クラウド管理基準・サイバー攻撃対策ガイドラインなど利用者・用途に応じたルールも作成しておきますと有効です。
③技術的対策
- セキュリティポリシーの策定が、ルール制定という人的対策とすると、そのルールを遵守するために必要なセキュリティ対策ソフトウェアを導入する対策が技術的対策になります。
- セキュリティ対策ソフトウェアとして、メール誤送信対策・添付ファイルの自動暗号化・上長による送信承認、URLフィルタリング(許可したサイト以外の接続を遮断)などがあります。
- クラウド型サービスを利用することで、1ユーザーあたり月額数百円程度のものもありますので、このようなサービスを採用することも有効です。
④従業員教育・訓練
- セキュリティポリシー導入後、従業員に対しては導入目的やその内容に関して十分な説明が必要です。またその後も定期的にセキュリティ教育を継続することで、徐々にセキュリティ意識も浸透します。
- セキュリティ教育の実施には、eラーニングを活用する方法もあります。
- 冒頭にご紹介した情報漏洩事故のケースでは、メールに添付されたウィルス付添付ファイルやメール本文に記載されたURLをクリックしたことにより不正サイトに誘導され、ウィルスに感染し、社内にウィルスが侵入した可能性も否定できません。
この対策として「標的型攻撃メール対策訓練」サービスを年に1度ぐらい実施しておくと、効果的です。
|
アイトクコンサルティング代表、前野純一です。 ”アイ”はAI、”トク”は人徳のトクです。
ITだけでなく、経営者・従業員の人間性を大事にする経営サポートを目指して名前を付けました。
私はメガバンクや政府系金融機関のシステム設計&開発・セキュリティ対策&教育・データ分析・クラウドサービス導入に30年間携わりました。
2020年コロナ騒動の中、この春独立して、
中小企業診断士としての中堅・中小企業の経営支援とIT技術者としてのIT導入支援を続けています。 中堅・中小企業がコロナ騒動から脱却し、再び輝くためには、経営者・従業員がITを使いこなせる企業にステップアップすることがポイントです。
ITを活用することで、 製品・商品の品質を高め、 売るための品揃え・人員配置・物流を適正にし、 月次決算など間接作業を短時間で済ませる等、 売り上げの向上とコストの削減を図れます。
セキュリティも忘れてはなりません。 メール誤送信防止・情報へのアクセス管理など技術的な対策と セキュリティルール策定・従業員教育など人的対策を図りましょう。
IT投資はお金がかかると言われています。 一般的には正しいですが、予算の範囲で最大限の効果をあげる方法が私にはあります。 自社が優先すべき課題は何か、一番必要な機能は何か、 それを導入することで、どの数値がどれだけ向上するのか? 経営者・従業員の方々といっしょに議論しながら、強い会社を作り上げていきましょう。
【略歴】
【保有資格】
【執筆・講演等】 |
