情シスはセキュリティ対策から障害対応まで、ITに関する幅広い知識が求められます。なかでもセキュリティ対策は、怠ると情報漏洩やウイルス感染など経営リスクに直結する可能性があるため、重視すべき取り組みです。
とはいえ、「セキュリティ対策といっても具体的な方法が分からない」「情シスのリソース不足で十分に対応できていない」という企業は多いのではないでしょうか。
そこでこの記事では、情シスの行うべき基本的なセキュリティ対策からよくある課題の解決方法まで網羅的に紹介します。分かりやすく具体的にお伝えしますので、ぜひ参考にしてみてください。
情シスによるセキュリティ対策の重要性
新型コロナウイルス感染症対策としてテレワークを導入する企業が増加し、インターネット環境とパソコンなどの端末があれば、場所を問わずどこでも業務を行えるようになりました。
このような背景から、オフィス外のセキュリティの脆弱性を狙ったサイバー攻撃の被害が増えています。
セキュリティ対策が不十分な場合、従業員の個人情報や顧客情報が流出し、最悪の場合、企業経営に損害を与える恐れもあるでしょう。
情報漏洩や経営リスクを低減するためにも、情報セキュリティ対策は、企業にとって取り組むべき重要課題と認識しなければなりません。
情シスがセキュリティ対策を怠るとどうなる?
では、情シスがセキュリティ対策を怠ると、具体的にどのようなトラブルにつながる可能性があるのでしょうか。
ここでは次の3つのリスクについて解説します。
- 人為的な情報漏洩
- ウイルス感染や不正アクセス
- ランサムウェア
人為的な情報漏洩
業務用のパソコンや携帯電話などの端末を紛失したり、飲食店や電車に置き忘れたりなどの人為的なミスによる情報漏洩が発生しています。
また、従業員が顧客ファイルを添付したメールを誤って意図しない相手に送信してしまうなど、誤操作による情報漏洩もあるでしょう。
そのため、紛失や置き忘れ、誤操作などの人為的ミスを想定したセキュリティ対策を講じる必要があります。
ウイルス感染や不正アクセス
コンピューターウイルスとは、メールやホームページの閲覧などによってプログラムやシステムに侵入する特殊なプログラムの一つです。病気のウイルスのように拡散能力が強く、ファイルに寄生して増殖します。
不正アクセスとは、何らかのデバイスやシステムに不正にログインすることです。
他人のIDやパスワードを使ってログインし、本来の所有者になりすましてデータを盗むなどの被害が考えられるでしょう。
ランサムウェア
ランサムウェアとは、Ransom(身代金)とSoftware(ソフトウェア)を掛け合わせた造語であり、身代金の要求を目的としたコンピューターウイルスです。
感染すると、ファイルが暗号化されて開けなくなる・PC操作ができなくなるなどの状態に陥り、元の状態に戻すことと引き換えに身代金を要求する画面が表示されます。要求に応じたとしても、復旧できるとは限りません。
情シスが必ず行うべき社内セキュリティ対策
さまざまなリスクから企業の情報を守るためには、具体的にどのようなセキュリティ対策が必要なのでしょうか。
ここでは、情シスが行うべき5つのセキュリティ対策を紹介します。
- ウイルス対策ソフトの導入
- パスワード管理の徹底
- アクセス制限
- ソフトウェアを常にアップデート
- 私有機器の制限
ウイルス対策ソフトの導入
セキュリティ対策として、ウイルス対策ソフトの導入が必要不可欠です。たった1台のパソコンがウイルスに感染しただけで、ネットワークに接続している複数のパソコンへ被害が拡大してしまう恐れがあります。
このような被害を避けるために、少なくとも業務に使用するすべてのパソコンにウイルス対策ソフトをインストールしましょう。
セキュリティを強化するファイアウォールや、メールブロック機能が搭載されたウイルス対策ソフトを選ぶのがおすすめです。
パスワード管理の徹底
企業のシステムやサーバーへアクセスする際のパスワードの管理を徹底しましょう。
パスワードは以下のような条件で設定するのがよいとされています。他人に推測されやすいパスワードは避けてください。
- 複数の記号や数字を組み合わせる
- 電話番号や誕生日などの個人情報は使用しない
- 同じ文字・数字を羅列しない
パスワードを定期的に変更すると、セキュリティレベルを高めることができます。一定の間隔でパスワードを変更するように、従業員に周知徹底しましょう。
アクセス制限
アクセス権を安易に渡さないようにしましょう。業務上アクセスが必要な従業員のみにアクセス権を許可することが重要です。
従業員がアクセス権を申請した場合には、アクセス権が必要な理由を必ず確認しましょう。
ファイルデータへのアクセスを制限することによって、セキュリティレベルを大幅に強化できます。
ソフトウェアを常にアップデート
ソフトウェアを常にアップデートしましょう。脆弱性をなくすことでセキュリティが高まります。
サイバー攻撃などの手口は、IT技術の進化と共に高度化するのです。悪意のある者は、セキュリティの脆弱性を狙って攻撃する可能性があります。
アップデートを怠って古いバージョンのまま放置すると、最新の脅威から防御できなくなります。
私有機器の制限
個人のタブレットやスマホなどの私有機器の業務利用は、禁止したほうがよいでしょう。
業務利用を認める場合は、次のような明確なルールを制定し、申請・許可制にすることが重要です。
- 指定されたウィルス対策ソフトのインストール
- 個人メールアドレスへ社内データの転送・送信を禁止
- 業務終了後は、指定されたツールでデータを消去
情シスから各社員に周知すべきセキュリティ対策
セキュリティ対策の一環として、セキュリティの基本知識や注意事項を社員へ周知することも必要です。
ここでは、社員に周知すべきセキュリティ対策として次の4つを解説します。
- 情報の持ち出しを控える
- 不審な電子メールを開かない
- パスワード管理
- クリアデスク・クリアスクリーン
情報の持ち出しを控える
人為的な情報漏洩をなくすために、情報の持ち出しを制限しましょう。
社内情報を保存したタブレットやパソコンを社外へ持ち出す際のルールを制定します。持ち出す社内情報は必要最低限とし、端末のパスワード設定を徹底させましょう。
USBメモリなどの小型デバイスは紛失リスクが高いもの。業務で使用可能なUSBメモリを企業で管理し、紛失していないか定期的に確認するのも一つの方法です。
不審な電子メールを開かない
不審な電子メールおよび添付ファイルを開かないように従業員に呼びかけましょう。電子メールは、ウイルス感染や不正アクセスの最も大きな原因となりえます。
最近のウイルスメールは、本物と区別がつかないほど巧妙に作られています。メールの件名や送信者に不審な点がないか確認し、慎重に取り扱うべきでしょう。
パスワード管理
なるべくパスワードの保存を控えるように周知しましょう。
「パスワードを書いた付箋をノートパソコンに貼る」などの不適切なパスワード管理が、不正アクセスのリスクを招きます。
また、他者から推測されやすいパスワードにしないために、「同じパスワードを使い回さない」、「不規則なパスワードを設定する」などのルールが必要です。
クリアデスク・クリアスクリーン
クリアデスクやクリアスクリーンも立派なセキュリティ対策です。
個人情報や機密情報が保存された端末や書類をデスクに放置せず、クリアデスクを徹底するように周知しましょう。
離席中は他者が端末を操作できないように、一定時間操作がなければ自動的に画面をロックし、パスワードを入力しないとロックが解除できないようにするといった対策も有効です。
情シスのセキュリティ対策でよくある問題
ここでは、情シスのセキュリティ対策でありがちな問題を解説します。
セキュリティ問題に直面しやすい情シスの特徴として、次の2つがあげられるでしょう。
- 知識不足・技術不足
- 人員コスト不足
知識不足・技術不足
中小企業では、IT専門担当者が在籍しておらず、多少ITに詳しいというだけで情シス担当者に任命されるケースが少なくありません。
任命された担当者は、ネットワークやシステム構築などのIT知識やスキルが不足しているため、システムトラブルに上手く対処できないケースも考えられます。日々の業務に追われてしまうと、スキルアップする時間の確保も難しいでしょう。
社内にIT専門担当者などの相談相手がいなければ、新しいシステムを導入したくても、正しい選択なのか判断も難しくなります。
人的コスト不足
人的コストが不足している状況では、十分なセキュリティ対策が行えない恐れがあります。
コスト不足により人手が足りず「情シス部門が存在しない」、または「情シス担当者が別の業務を兼任せざるを得ない」ケースも少なくありません。業務負荷が大きくなり、セキュリティ対策まで手が回らなくなることが考えられます。
また、システムセキュリティの重要性を理解していない経営者もいます。業績が悪化してコスト削減が必要になった場合、真っ先に情報システム部門のリソースを減らそうとするかもしれません。
効率よくセキュリティ対策を行っていくためには
効率よくセキュリティ対策を行うためには、何が必要なのでしょうか。
ここでは、情シスそのものや、セキュリティ対策で抱えがちな問題を解決する手段として次の3つを解説します。
- ルールを明確化する
- サイバーセキュリティ教育を行う
- アウトソーシングを活用する
ルールを明確化する
セキュリティ対策のルールを明確化して、従業員がルールを守りやすい環境を整えることも大切です。
「パスワード管理の徹底」、「アクセス制限」、「私有機器の制限」などのルールを明確にして、社員に周知しましょう。
また、業務で扱う情報に潜むリスクにはどのようなものがあるのか認識させることも必要です。セキュリティリスクを認識すれば、ルールの必要性も理解できるでしょう。
サイバーセキュリティ教育を行う
従業員に、サイバーセキュリティ教育を行うのも一つの手段でしょう。
明確なセキュリティ対策のルールがあっても、従業員が守らなければ意味がありません。
サイバー攻撃などのインシデントを未然に防ぐには、従業員の情報セキュリティへの理解と知識の習得は不可欠です。
社内で教育することが難しければ、サイバーセキュリティ研修を外注したり、従業員が各自で学習できるeラーニングを導入したりすることも検討しましょう。
アウトソーシングを活用する
人員不足や知識・技術不足は、アウトソーシングを活用することで解決できます。
IT知識やスキルの不足、リソース不足により対処できなかったシステムトラブルへの対応も、外部の専門業者に委託すれば、スピーディーかつ的確に対応してくれるでしょう。
情シス担当者の負荷が軽減され、本来の業務に専念できるというメリットも得られます。
また、新しいシステムの導入・検討などについて、相談することも可能です。
IT業務をアウトソーシングすることにより、情シス担当を増員する必要がなくなり、結果的にコストを抑えることができるでしょう。
セキュリティ対策は漏れなく行う
日本損害保険協会の「中小企業の経営者のサイバーリスク意識調査2019」によると、中小企業の4社に1社は、サイバー攻撃への対策をしていないことがわかっています。
サイバー攻撃を受けた場合の具体的な被害をイメージできておらず、セキュリティ対策の重要性を認識していない経営者も多いのです。
セキュリティ対策を怠った場合のリスクを想定し、組織全体で対策に取り組む必要があるでしょう。
セキュリティ対策のアウトソーシングなら「クラウドSE」
「社内に情シス担当者がいない」「セキュリティ対策まで手が回らない」などの悩みはありませんか?
クラウドSEなら、セキュリティ対策を含めた情シス業務を一手に引き受けることができます。IT業務の代行はもちろん、IT関連の相談やツール導入のサポートなど、幅広い対応が可能です。
