この記事では前回、前々回に続き、企業のセキュリティ対策について、チェックすべきポイントとその理由・対策をまとめました。セキュリティ対策の確認と、現状十分に対策できているのかどうかの目安としてご利用ください。
インターネットアクセスに関する脅威
チェックすべきポイント
- 社内からのインターネットアクセスには制限を設けていない
- 業務で送信するメールにはファイルを添付する機会がある
チェック内容に潜む脅威
- 業務に不要なWebサイトを閲覧することで、会社のネットワークに負荷をかける
- 悪意を持ったWebサイトを閲覧することで、ウィルスに感染したり、パソコンを乗っ取られたりする可能性がある
- 誤った相手先にファイルを添付したメールを送信してしまうことにより、社内情報や顧客情報の情報漏洩に繋がる可能性がある
管理者がとるべき対策
⇒業務に不要なWebサイトへのアクセスを制限することで社内ネットワークの不正利用を禁止すると共に、ウィルス感染等のリスクを低減させる
⇒メール送信時、正しい宛先にメールを送信しているのかの確認を徹底させるような仕組みを整える。また、添付ファイルとしてどのような情報が社外に発信されたのかの証跡を残し、問題が発生した場合速やかな対応をとれるよう体制を整える
- Webサイトのアクセス制限
- メール送信時における宛先チェックと添付ファイルの証跡を残す
社内ルールやITリテラシに関する脅威
チェックすべきポイント
- 情報セキュリティに関する具体的な社内ルールが作成されていない
- 社員に対して定期的な情報セキュリティ教育は実施していない
チェック内容に潜む脅威
- ルールが明確化されていないことにより、組織としてセキュリティ対策が曖昧になり、対策に漏れがでる可能性がある。また、社員の勝手な判断から新しい技術やサービスの利用に潜むセキュリティリスクを理解しないまま業務に利用してしまい、結果、訴訟や信用失墜を招く事態に陥る可能性がある
管理者がとるべき対策
⇒パソコンを含む様々なIT機器、ソフトウェアやサービス利用時における情報セキュリティリスクを検討・分析し、それらの利用時におけるルールを組織全体として明確化し社員に対して周知徹底させる
⇒社内の情報セキュリティルールを元にした教育等で情報セキュリティの重要性を意識させることで、社員のITリテラシを高める。また、新しい技術・サービス等に潜むセキュリティリスクを社員に対していち早く周知し、対策をとることで組織としてのリスクを低減させる
- ルールの明確化と周知徹底
- 情報セキュリティ教育の実施と新技術に関する調査
スマートデバイスの業務利用に関する脅威
チェックすべきポイント
- 私物のスマートデバイスを業務に利用している
- 業務に関する情報や連絡先情報が保存されている
- ソフトウェアのインストールやインターネットへのアクセスが制限されていない
チェック内容に潜む脅威
- スマートデバイス上のデータがウィルスに感染していた場合、接続した社内PCもウィルスに感染する可能性がある
- スマートデバイス紛失時、デバイス上に保存されている顧客情報や個人情報が漏洩に繋がる
- 業務に不要なソフトウェアをインストール・利用することにより、通信費の増大やウィルス感染に繋がる可能性がある。また、暗号化されていない公衆無線LANに接続することで、通信情報を盗み見される可能性がある。
管理者がとるべき対策
⇒私物スマートデバイスを業務利用させる場合、その利用範囲(電話連絡のみ、社内メールの確認のみ等)を明確化し、利用時におけるルールの策定と周知徹底を行う
⇒スマートデバイスの現在地を確認したり、デバイス上のデータ消去を遠隔からも可能とする仕組みを整える
⇒業務に不要なソフトウェアのインストールやWebサイトへのアクセスを制限する。暗号化されていない公衆無線LANに接続したりしないよう、接続可能な無線LANアクセスポイントを制限する
- 私物スマートデバイスの業務利用範囲やルールの明確化
- スマートデバイス紛失時の対策
- ソフトウェアのインストールやネットワーク接続の制限
さいごに
物的なセキュリティ対策のチェックの結果はいかがでしたでしょうか。対策ができていない部分、セキュリティ対策から漏れていたチェックポイントがある場合は、早急に対策が必要です。
大切なのは、これら必要なセキュリティ対策を社員全員の端末に行い、関係者への教育を実施し続けていくことです。
持続可能なセキュリティ体制を実現するためには、セキュリティ対策ツールの導入も視野にいれましょう。