情報セキュリティ対策の重要性 企業が取り組むべきポイントとは

#業務プロセス改善#ICTシステム活用支援#コミュニケーション#研修・ワークショップ

26.Mar.2020

ここ数年で、企業活動におけるインターネットの重要性は勢いを増しています。今やインターネットなしには業務を行うことができない企業がほとんどと言っても過言ではないでしょう。
このような環境において、インターネットが引き起こすリスクの可能性にしっかりと向き合うことが、必要不可欠であると言えるでしょう。サイバー攻撃や情報漏えいが起こってしまった場合、企業の信頼が一気に落ち、企業の存続に関わる事態に陥る可能性も十分にあるためです。
そこで今回は、情報セキュリティ対策の重要性や、脅威への対策方法をご紹介していきたいと思います。

情報セキュリティ対策とは 基本概念をご紹介

情報セキュリティ対策とは、大まかにはインターネットやコンピューターを安全に使用できるようにするための対策を指します。まずはその基本的な情報に触れていきたいと思います。

情報セキュリティとは

企業活動における情報セキュリティとしてまず挙げられるのは、機密性を死守することです。企業として扱っている顧客データへの不正アクセスや機密情報の漏えいは、大きな情報事故につながります。
また、システムの脆弱性を排除し保有する情報に不正な改ざんをされないよう安全性の高い環境を整えることや、有事のための予備システムの配備、システムの二重化を行なっておくことで許可された者が安定的に情報にアクセスし続けられるように可用性を高めていくことも重要です。

情報セキュリティにおける脅威

では、情報セキュリティの脅威には具体的にどのようなものがあるのでしょうか。政府の情報処理推進機構が挙げている、企業における情報セキュリティの脅威は主に下記の通りです。

・ウイルス感染

ウイルスを含む添付ファイル・URLが記載されたメールなどを介して、機密情報を盗もうとする脅威です。現場で気を付けていてもなかなかウイルスであると気づくことが難しいものも多く出回っているので注意が必要です。ウィルス対策ソフトの導入や、適切なソフトウェアの更新など企業としての取り組みが必要となります。

・不正アクセス

企業のシステムの脆弱性をハッキングで突破されるなどして、不正に社内情報にアクセスされてしまうという脅威です。個人単位でのパスワード管理の徹底はもちろん、企業が脆弱性のないシステムを構築することが重要です。

・情報漏洩

社内の機密情報が含まれるUSB・機器等の紛失や、重要書類の誤廃棄、メールの誤送信などの単純なヒューマンエラーにより、自社データが外部に漏れてしまう脅威です。なかなか完璧に防ぐことは難しい部分ではありますが、機密情報へのアクセス制限を強化したり、社内の教育・管理体制の見直しをするなど、情報セキュリティにおけるコンプライアンス意識の向上が重要となります。

・機器障害

上記のようなヒューマンエラーだけでなく、サーバーに障害が発生するケースもあります。バックアップに漏れがあるなど、情報保管の安全性に問題があると脅威を受けてしまいます。また、停電などによる障害も、大きな脅威の一つです。もしもの事態に備えて、安定的に情報を管理できるよう予備システムの配備等、組織での対策が重要となります。

組織として実施すべき情報セキュリティ対策のポイント

では、これらの脅威から組織を守っていくためには、どのような対策を講じるべきなのでしょうか。そのポイントを項目ごとに整理していきましょう。

組織内のセキュリティ意識・行動を調査する

まずは組織レベルでセキュリティに対する対策意識を高めていくことが大切です。システム運営に関わる部署だけでなく、組織の全ての人が自分ごと化してセキュリティ対策を講ずることで、隙のない体制を整えていきましょう。「不審なメールを受信したことがあるか」など、情報セキュリティ被害の状況について把握することも組織として重要です。

OSやソフトウェアを常に最新の状態に

古いOSやソフトウェアをそのままの状態で放置すると、その脆弱性を悪用したウイルスに感染する可能性があります。OSやAdobeなどソフトウェア製品には、定期的な更新が必要なので適用なアップデート行いましょう。

ウィルス、セキュリティソフトの導入

ウイルスのセキュリティソフトを導入することは必要不可欠です。インストールだけでなく、更新を自動設定にするなどして継続的にウイルスを排除するようにしましょう。
ファイアウォールなど、より広範囲に機能するソフトを導入することも効果的です。昨今はウイルスの種類が多様化しているため、ウイルス定義ファイルを最新にして侵入を防ぐ必要があります。

パスワードの強化

パスワードが第三者に絶対に特定されないよう、適切な管理を行うことも非常に大切です。同じパスワードを使いまわさないことや、英字数字どちらも含んだ長く複雑なものに設定すること、そして定期的に変更することが重要です。

社内通信機器の共有設定の見直し

業務に使用している通信機器を社外に持ち出したことで脅威に晒されるケースがあります。USBなどの記憶媒体の扱いにも注意が必要です。どちらも、持ち出しに関するルールを徹底することで防げますので、ルール作りと実施を徹底しましょう。
ほかにも、WEBサービス・クラウドの共有範囲の設定や、社内ネットワークのアクセス許可範囲の設定を確認する必要があります。退職者など無関係な第三者が社内情報を閲覧できる状態になっていないか、十分な注意が必要です。

脅威や攻撃の手口を知る

実際に起こったセキュリティ脅威の事例を頭に入れておくことも効果的だと言えます。
例えば取引先を名乗ったメールなど、危険性を感じさせない巧妙な手法で情報を抜き取ろうとするケースが多発しています。一見して分からないものですが意識的に見ることで違和感に気付くことができるケースも多いです。
よくある手口など、攻撃の事例を知っておくことで、被害を未然に防げる可能性が上がります。
実際の事故・被害の事例は、総務省の「情報セキュリティサイト」で確認することができますので、ぜひ参考してください。
業務のデジタル化が引き起こす危機は、なぜ野放しにされるのか ~高まるサイバーリスクと現場の実態~  

情報セキュリティ対策における社内コミュニケーション

最後に、社内でのコミュニケーションを通じた対策をご紹介します。ここまででも書いてきたように、セキュリティ対策はシステムだけの問題ではありません。個人の意識を高めることが非常に大切です。そのためには、インターナルコミュニケーションを通じた社員一人ひとりへの動機付けが不可欠でしょう。

・情報セキュリティ研修の実施

社内でセキュリティに関する研修を行うことは、効果的な対策の一つだと言えるでしょう。パスワードの強化や攻撃事例の共有など、個人レベルの意識改革によって企業全体の安全性を高めることができます。
従業員それぞれが正しい知識やスキルを持ち、自分ごととして捉えることが必要です。

・緊急時のガイドライン作成

実際に被害に遭ってしまった際の対策についても、取り決めておくことが重要です。ウイルス、スパイウェアへの感染が起こった際、どのような対応とるのか。業務用通信機器の紛失等が起こった際に、どう対処するのか。緊急時に被害を最小化するためにも、情報セキュリティ管理者への連絡フローなどのガイドラインを作成しておくと安心です。

参考記事:
社内コミュニケーションを円滑にするには?   
インターナルコミュニケーション(社内広報)とは?   

まとめ

ここまで、情報セキュリティ対策の脅威の種類や、被害を防ぐ方法について触れてきました。最後に書いたように、インターナルコミュニケーションによって現場の社員のセキュリティへの感度を高め、有事の際の行動認識を擦り合わせておくことが重要です。
企業生命に関わることもある情報トラブルに遭わないためにも、日頃から企業全体で高い意識を持つことが大切です。

関連サービス

お問い合わせ

「情報セキュリティ対策の重要性 企業が取り組むべきポイントとは」の記事をシェア!

おすすめの記事