中小企業がテレワーク・在宅勤務を推進するために必要なセキュリティ対策のポイントを紹介します。
目 次
1. セキュリティ対策のメリット
なぜ今セキュリティ対策か?
コロナ対策で多くの企業が在宅勤務を推進しました。
ところが中小企業の6割以上は在宅勤務を許可されなかったそうです。(freee株式会社による2020年4月の調査、従業員300人以下の中小企業で働く社員1146人をアンケート調査)
在宅勤務というニューノーマルの流れは、コロナ収束後も続くことが予想されます。
これに対応できない企業は従業員が外へ流出する可能性があります。
在宅勤務にはセキュリティ上の問題もあります。
ですが、しっかりとルールを作り、最小限のシステム対策と従業員教育をしていけば、中小企業でも在宅勤務を推進することは可能です。
お客様の情報はしっかりと守れ、従業員からも働きやすい会社として、喜ばれるような企業となるために今こそセキュリティ対策を進めていきましょう!
2. セキュリティ対策の必要性
~セキュリティ対策が不十分だとこんな事故が起こります~
最近あったセキュリティ事故の例①
一斉メールを送付した際にメール誤送信により、2,000件以上のメールアドレスを流出させてしまった。
メールの宛先に指定されていた被害を受けた方に謝罪を表明し、電子メールで個別に経緯の説明を進めることとなった。
最近あったセキュリティ事故の例②
ネットワークに外部からの不正アクセスを受け、登録されていた会員情報について、流出の可能性があると明らかにした。
監督官庁および、個人情報保護委員会への報告・相談を行うこととなった。
テレワーク・在宅勤務に関するセキュリティ事故
社外でパソコンを利用することによる覗き見・盗み見のリスクがあります。
これは在宅勤務だけではなく、出張により公共の交通機関等を利用する場合やカフェなどを利用する場合も同様です。
スクリーンセーバーや覗き見防止フィルターなどの対策が必要です。
自宅で仕事をする場合には、公私を区別しにくいこともあります。
大事な資料や機器類などをうっかり家族が廃棄してしまうということもありえます。
家族の方が何気なく家で撮影した写真をSNSにアップロードすることで、情報漏洩に発生するケースがあります。
自宅に持ち帰っていた発売前の新製品に関する情報がリークされてしまったのです。
家族の方はもちろん悪気はないのですが、実際にこのような事故が起きています。
普段使用するOSやソフトウェアのアップデートが実行されていないケースがあり、これによるコンピュータウィルスの感染が危惧されます。
在宅勤務の広がりにより増加したネット利用者を狙ったサイバー攻撃も増加しています。
当サイトでもテレワークに関する注意点を扱った記事がありますので、ご参照ください。
セキュリティ対策の過失は信用失墜に
これまで見てきたようなメールの誤送信・情報漏洩事故を起こすことにより、取引先や顧客の信用を失うばかりでなく、損害賠償等の経済的コストも大きな負担となります。
何よりも信頼を喪失することで、取引先が離反する可能性も起こりえますし、取引面では不利な立場になります。
2017年に改正個人保護法が施行され、1件でも個人情報を所持していれば個人情報取扱事業者ということになりました。
情報漏洩事故が発生した場合には、個人情報保護委員会での届け出が必要になります。
また改正個人情報保護法では、個人情報を外部委託先に提供する場合は、当該委託先の情報セキュリティ対策についての監査をする必要があります。
将来的に貴社が監査をする立場、またはされる立場になることもあります。
テレワークの推進により、会社の統制が機能しない在宅勤務をすることで、情報漏洩等の事故は起こりやすい状況になりつつあります。
3. セキュリティ対策の手順
では、セキュリティ対策をどう進めていけばいいのでしょうか?
導入する手順は以下4つのステップがあります。
順に詳しく見ていきましょう。
3.1 情報資産の棚卸
自社にどのような情報資産があり、どこに保管されているかを調査し、情報資産台帳を作成します。
情報資産には、電子媒体(データ)及び紙媒体が含まれます。
情報資産には重要度評価を行います。
すべての情報資産を管理すると負荷も大きくなります。
そこで情報資産に重要度評価を行い重要度の高い資産を重点的に管理することとします。
重要度評価は、情報資産の特性から機密性・完全性・可用性の視点を切り口とします。
3.2 セキュリティポリシー策定
情報資産の重要度評価が済みましたら、これを保護するべきルール作りをします。
これがセキュリティポリシーとなります。
必要に応じて、社内のハードウェア・ソフトウェアを管理するための台帳類や、クラウド管理基準・サイバー攻撃対策ガイドラインなど利用者・用途に応じたルールも作成しておきますと有効です。
3.3 技術的対策
セキュリティポリシーの策定が、ルール制定という人的対策とすると、そのルールを遵守するために必要なセキュリティ対策ソフトウェアを導入する対策が技術的対策になります。
セキュリティ対策ソフトウェアとして、メール誤送信対策・添付ファイルの自動暗号化・上長による送信承認、URLフィルタリング(許可したサイト以外の接続を遮断)などがあります。
クラウド型サービスを利用することで、1ユーザーあたり月額数百円程度のものもありますので、このようなサービスを採用することも有効です。
3.4 従業員教育・訓練
セキュリティポリシー導入後、従業員に対しては導入目的やその内容に関して十分な説明が必要です。またその後も定期的にセキュリティ教育を継続することで、徐々にセキュリティ意識も浸透します。
セキュリティ教育の実施には、eラーニングを活用する方法もあります。
例えばジンジャーアップ社のLMSサービスを利用すれば、1,000名まで無料でeラーニング環境を利用することができます。
eラーニングについては、こちらの記事もご参照ください。
冒頭にご紹介した情報漏洩事故のケースでは、メールに添付されたウィルス付添付ファイルやメール本文に記載されたURLをクリックしたことにより不正サイトに誘導され、ウィルスに感染し、社内にウィルスが侵入した可能性も否定できません。
この対策として「標的型攻撃メール対策訓練」サービスを年に1度ぐらい実施しておくと、効果的です。
4. セキュリティ対策による効果
セキュリティ対策を実施している企業とそうでない企業はメールをもらうとすぐにわかります。
対策を実施していない企業は、重要な情報が含まれている添付ファイルでもパスワードをかけずに送ってきたり、自分のメールアドレスが面識のない人のアドレスといっしょに宛先に指定されて送られてきたりします。
このようなメールをいただくと、“この会社大丈夫かな”と不安になります。
新規顧客企業を開拓する場合は重要なポイントになります。
サイバーセキュリティ対策は、現代では経営課題として経営者自らが取り組むべきものという考えが浸透しつつあります。働き方改革・テレワーク推進などの動きを考えますとセキュリティ対策を早めに実施しておくことが必要です。
私のクライアント企業では、継続的なセキュリティ教育を実施したことで、前年30件以上あったセキュリティ事故が翌年には3件程度まで減少したことがあります。
何よりも自社の情報資産を保護することは、自社だけではなく、従業員や取引先、顧客を大事にする企業ということになります。
5. さっそくセキュリティ対策に取り掛かりましょう
セキュリティ対策は大企業がすることで、中小企業ではとても…..という声も聞きます。
ですが、最近のハッカーはセキュリティ対策の弱い中小企業をまず標的にし、その中小企業と取引のある大企業にコンピュータウィルスを感染させる方法をとっています。
もし自社の責任で取引先にウィルスを感染させてしまったら、大変なことです。
そうなる前にできるところからでも取り掛かりましょう。
セキュリティ対策のお問い合わせはこちらからお願いします。
