情報セキュリティ対策に社内で取り組む際のポイントとは

#業務プロセス改善#ICTシステム活用支援#コミュニケーション#研修・ワークショップ

26.Mar.2020

ここ数年で、企業活動におけるインターネットの重要性は勢いを増しています。今やインターネットなしには業務を行うことができない企業がほとんどと言っても過言ではないでしょう。
このような環境において、インターネットが引き起こすリスクの可能性にしっかりと向き合うことが、必要不可欠であると言えるでしょう。サイバー攻撃や情報漏えいが起こってしまった場合、企業の信頼が一気に落ち、企業の存続に関わる事態に陥る可能性も十分にあるためです。
今回は、情報セキュリティ対策の重要性や対策の方法、情報セキュリティ対策に取り組む際のポイントについて解説します。

参考記事:
COVID-19で見落としがちなデジタルワークプレイスの衛生状態  

情報セキュリティ対策の基本概念

情報セキュリティ対策とは、大まかには「インターネットやコンピューターを安全に使用できるようにするための対策」を指します。
まずはこの基本概念について触れていきます。

情報セキュリティとは

企業活動における情報セキュリティは以下の3つに分類されます。

・機密性
企業が扱う顧客データへの不正アクセスや機密情報の漏えいは重大な情報事故につながるため、堅牢な保護は不可欠といえます。

・安全性
システムの脆弱性を排除し保有する情報に不正な改ざんをされないよう、環境を整える必要があります。

・可用性
有事のための予備システムの配備、システムの二重化を行っておくことで、許可された者だけが安全に情報へアクセスし続けられる状態を維持しておくことも大切でしょう。

情報セキュリティにおける脅威

情報セキュリティの脅威については、政府の情報処理推進機構が下記の例を挙げています。

・ウイルス感染
ウイルスを含む添付ファイルや、URLが記載されたメールなどを介して、機密情報を盗もうとする脅威です。
最近はウイルスであると気づきにくいものも多く出回っています。
ウイルス対策ソフトの導入や、適切なソフトウェアの更新など、企業全体での取り組みが必要です。

・不正アクセス
企業のシステムにおける脆弱性をハッキングされるなどして、社内情報へ不正にアクセスされてしまうという脅威です。
個人単位でのパスワード管理の徹底はもちろん、企業が脆弱性のないシステムを構築することも重要です。

・情報漏洩
社内の機密情報が含まれるUSB・端末などの紛失や重要書類の誤廃棄、メールの誤送信など、単純なヒューマンエラーによって自社データが外部に漏れてしまう脅威です。
完璧に防ぐことが難しい部分ではありますが、機密情報へのアクセス制限の強化や、社内の教育・管理体制の見直しなど、情報セキュリティにおけるコンプライアンス意識の向上が重要といえます。

・機器障害
サーバーに障害が発生するケースもあり、ここでバックアップ漏れなど情報保管の安全性に問題があると、脅威を受けてしまいます。
また、停電などによる障害も大きな脅威のひとつです。
もしもの事態に備えて、安定的に情報管理ができるよう予備システムの配備などの対策が重要となります。

組織として実施すべき情報セキュリティ対策のポイント

では、これらの脅威から組織を守っていくためには、どのような対策を講じるべきなのでしょうか。そのポイントを項目ごとに整理していきましょう。

組織内のセキュリティ意識・行動を調査する

まずは組織全体でセキュリティに対する対策意識を高めていきましょう。
「不審なメールを受信したことがあるか」「怪しいウェブサイトにアクセスしていないか」など、情報セキュリティ被害の状況について調査を行い、把握しておくことも必要となってきます。
システム運営に関わる部署だけでなく、組織の全ての人が自分ごと化してセキュリティ対策を講ずることで、隙のない体制を整えていくことが重要です。

OSやソフトウェアを常に最新の状態に

古いOSやソフトウェアをそのままの状態で放置していると、脆弱性を悪用したウイルスに感染する可能性があります。OSやソフトウェアは最新の状態にアップデートを行いましょう。

ウィルス、セキュリティソフトの導入

ウイルス対策用のセキュリティソフトの導は必須です。
昨今はウイルスの種類が多様化しているため、ウイルス定義ファイルを最新にして侵入を防ぐ必要があります。ソフトウェアをインストールした後は自動更新設定を行って継続的にウイルスを排除するようにしましょう。また、ファイアウォールなど、より広範囲にセキュリティを高めるソフトを導入することも効果的です。

パスワードの強化

パスワードは第三者に決して特定されてはいけません。
同じパスワードを使いまわさないことや、英字や数字、場合によっては記号も含んだ長く複雑なものに設定すること、そして定期的に変更することが重要です。

社内通信機器の共有設定の見直し

業務に使用している通信機器を社外に持ち出したことで脅威に晒されるケースがあります。また、USBなどの記憶媒体の扱いにも注意が必要です。
どちらも持ち出しに関するルールを徹底することで防げますので、ルール作りと実施を徹底しましょう。

ほかにも、WEBサービス・クラウドの共有範囲の設定や、社内ネットワークのアクセス許可範囲の設定を確認する必要があります。退職者など無関係な第三者が社内情報を閲覧できる状態になっていないか、十分な注意が必要です。

通信機器には、「BYOD(Bring Your Own Device; 個人が所有する端末)」を前提としたセキュリティ対策を講じましょう。
MDM(Mobile Device Management; モバイルデバイス管理)を導入することが理想です。

脅威や攻撃の手口を知る

実際に起こったセキュリティ脅威の事例を頭に入れておくことも効果的です。
例えば、取引先を名乗ったメールなど危険性を感じさせない巧妙な手法で情報を抜き取ろうとするケースが多発しています。
一見では分からないものですが、意識的に見ることで違和感に気づくことができるケースも多いです。
「よくある手口」のような事例を知っておくことで、被害を未然に防げる可能性が高くなります。
実際の事故・被害の事例は、総務省の「情報セキュリティサイト」で確認することができますので、ぜひご参考にしてください。

参考記事:
業務のデジタル化が引き起こす危機は、なぜ野放しにされるのか ~高まるサイバーリスクと現場の実態~

情報システム部門に期待される役割

情報セキュリティは全社をあげて取り組む必要があるものの、誰かが先導しないと進めません。情報システム部門がその役割を担うことが適切でしょう。

情報システム部門には主に2つの役割が期待されます。

・従業員の教育/社内コミュニケーション
一番は、セキュリティ意識に対する従業員への教育と社内コミュニケーションです。
教育は、社内研修を担当する人材育成部門と連携の上で取り組みましょう。
また、普段からセキュリティ関連の問い合わせを受けられるよう、社員とのコミュニケーションの窓口を設置しておきましょう。

・シーサートとしての役割
もう一方が、「CSIRT(Computer Security Incident Response Team; シーサート)」としての役割です。
これは、万が一セキュリティ上の問題が発生した際に、その原因を解析したり、影響範囲の調査を行ったりする組織を指します。
一度起きてしまった事故を二度起こさないために、このような体制の構築は欠かせません。
詳しくは日本シーサート協議会(https://www.nca.gr.jp/)の活動を参考にしてみてください。

ルールが守られる社内環境づくり・社内への周知

セキュリティ意識を高く維持するには、年1回の大型研修よりも、日々上司やシステム部門から監視・注意を受けているほうがその重要性を実感しやすいものです。
ソフトの導入やシステムの整備によってできるセキュリティ対策には限界があり、事故が起きたときは少なからず、ヒューマンエラーが関与しています。
したがって、社員の意識向上や教育、啓蒙が大事になりますが、それを適切にできる人材が社内にいないことも多くあります。

そのために、従業員目線でわかりやすく興味の持てるコンテンツを定期的に配信することが効果的です。配信するコンテンツは、マイクロラーニング化するとより効果的です。マイクロラーニング化すると、隙間時間での学習が可能となり、年に1回の研修より従業員の共感や納得感が高まりやすく、従業員の負担も少なくすみます。
「もし事故を起こしてしまったら」を自分ごととして、どうやって社員に意識させるか現場の体験などをもとに考え、人事部門と協働して現実的なコンテンツを制作してください。

セキュリティ業界の最新の動向を知る

セキュリティ対策やリスクに関する情報は日々新しくなっています。
情報システム部門は、常に最新の動向を把握しておきましょう。ここでは、最新情報の動向を確認できる機関やサービスをご紹介します。

・情報処理推進機構(IPA)

https://www.ipa.go.jp/security/index.html

情報処理推進機構(IPA)は、国内のIT関係の戦略を支えるために設立された、経済産業省管轄の独立行政法人です。
IPA公式サイトの「情報セキュリティ」のページでは、新着情報やセキュリティ関連情報が日々更新されています。
情報セキュリティ対策を国が進めていく際の指針となる情報が豊富に提供されているので、定期的に確認しておくとよいでしょう。

・内閣サイバーセキュリティセンター(NISC)

https://www.nisc.go.jp/

内閣サイバーセキュリティセンター(NISC)は、平成26年に成立した「サイバーセキュリティ基本法」に基づいて内閣官房に設置されました。
こちらも公式サイトが存在し、日本政府が開催した会議・会合の活動報告や、イベントの情報などを主に配信しています。
国家レベルでのサイバーセキュリティ関連情報を取得するならNISCのサイトを参照してください。

・JPCERT/CC

https://www.jpcert.or.jp/

JPCERT/CCでは、実際に生じたセキュリティ攻撃やサービス妨害などのインシデント情報を公開しています。
またその特性上、ソフトウェアやサービスの脆弱性に関する情報をいち早く提供しているため、社内のシステム管理者は目を通しておくべきサイトです。

・LAC WATCH

https://www.lac.co.jp/lacwatch/

セキュリティソリューションとシステムインテグレーションを提供するLACのオウンドメディア(LAC WATCH)では、セキュリティとITの情報をいち早く配信しています。セキュリティ対策の情報の網羅性に優れているので、チェックしておくことをおすすめします。

・Secure SketCH

https://www.secure-sketch.com/

自社に必要なセキュリティ対策を専用のプラットフォーム上で確認、管理することのできるサービスを展開するSecure SketCHのブログでも、セキュリティ対策やサイバー攻撃に関する最新情報を配信しています。前述したLAC WATCHと合わせて、チェックすることをおすすめします。

情報セキュリティ対策における社内コミュニケーション

少し触れましたが、情報セキュリティ対策を行う担当者は社内コミュニケーションを推進すべきです。
この点について最後に少し深く掘り下げていきます。

・情報セキュリティ研修の実施

社内でセキュリティに関する研修を行うことは、効果的な対策のひとつだと言えるでしょう。
パスワードの強化や攻撃事例の共有など、個人レベルの意識改革によって企業全体の安全性を高めることができます。
従業員それぞれが正しい知識やスキルを持ち、自分ごととして捉えることが必要です。

また、受け身で研修を受講してもらうのではなく、社員が自分ごととして興味を持てる、情報セキュリティのコンテンツを配信して教育と啓蒙を行うことが重要です。
紙の冊子(ハンドブック)や社内報・社内ポータルサイトでの記事コンテンツなど自社で取り組んでいる社内メディアコミュニケーションの手法に合わせてみてください。

重要なのは、コミュニケーションの密度と頻度です。
より情報の濃いコンテンツを高い頻度で配信することで、学習の機会を増やし、情報との接点を常に社員が持ち続けることができるように心がけましょう。

・緊急時のガイドライン作成

実際に被害に遭ってしまった際の対策についてもあらかじめ取り決めておくことが重要です。
ウイルス、スパイウェアへの感染が起こった際、どのような対応をとるのか。
業務用通信機器の紛失などが起こった際にどう対処するのか。
緊急時に被害を最小化するためにも、情報セキュリティ管理者への連絡フローなどのガイドラインを作成しておくと安心です。
そしてこちらも避難訓練のように対策の訓練を行っておき、全社で認識の統一ができるよう社内コミュニケーションを図るようにしましょう。
万が一の際、全員が一丸となって解決に向けて動けるように備えておいてください。

参考記事:
緊急事態宣言下の企業の対応 ―意思決定の背景を従業員に届ける―  
社内コミュニケーションを円滑にするには?  

まとめ

ここまで、情報セキュリティ対策の脅威の種類や、被害を防ぐ方法について触れてきました。最後に書いたように、社内コミュニケーションによって現場の社員のセキュリティへの感度を高め、有事の際の行動認識を擦り合わせておくことが重要です。
セキュリティ対策は利益には結びつかないものの、事故が発生した際に不利益を被らないために、重要な活動であると理解してもらう必要があります。
ITが進化している昨今では、1年に1回の大型研修ではまったく事足りないのです。
企業生命に関わることもある情報トラブルに遭わないためにも、日頃から企業全体で高い意識を持ち、社内コミュニケーションを図ることが大切です。

参考記事:
デジタルトランスフォーメーション(DX)今こそ“黄金の三位一体”で進めるチャンス  

関連サービス

お問い合わせ

「情報セキュリティ対策に社内で取り組む際のポイントとは」の記事をシェア!

おすすめの記事