情報セキュリティ対策というと、ぼんやりとしたイメージはあるものの、何をやれば、何から手をつければよいのか分からないのが普通かもしれません。
また、情報セキュリティ対策は、
- 情報システムなどの担当部署(担当者)の仕事
と思われている方もいるかもしれません。
しかし、情報セキュリティは、社長を含め全社員が取り組まなければ成果がでない(何かやっても意味がない)ものですし、ひとたび情報セキュリティに係る事故が起きれば、社内はもちろん関係者や社会にまでその影響が及ぶことさえあります。
ここでは、まずは「情報セキュリティ5か条」から、情報セキュリティ対策を始めます。
「情報セキュリティ5か条」始めの1歩
「情報セキュリティ5か条」と言っても難しいことではありません。
5か条の言葉通り5項目ありますが、どれも情報セキュリティ対策というよりは、情報システム(基幹システム、パソコンやスマホ)を使うための基本ルールの様なものです。
今できていること、できていないことを確認しながら進めてください。
1.OSやソフトウェアは常に最新の状態にしよう!
OS やソフトウェアを古いまま放置していると、セキュリティ上の問題点が解決されず、それを悪用したウィルスに感染してしまう危険性があります。
お使いのOS やソフトウェアには、修正プログラムを適用する、もしくは最新版を利用するようにします。
Windows Updateやセキュリティソフトは、自動後進される設定になっていますか?
以下については、経営者(会社)の考え方によっても違ってきますが、情報セキュリティ事故が発生してしまった場合の影響を考えて対策としている例を紹介します。
- パソコン、タブレット、スマホ等は、会社支給品(貸与品)の使用を義務付け、個人所有のスマホ等を業務で利用することを禁止する。
- 会社支給(貸与)のパソコンやスマホ等に、勝手にソフトやアプリをインストールする場合には、申請し許可された場合のみとする。
- ソフトウェアについては、違法コピーはもちろんのこと、商用ライセンスでなく個人ライセンスを使うなどライセンス違反にならないようにする。
なお、パソコンなどにインストールされているソフトウェアの種類やバージョン情報などを管理するソフト(システム)もありますが、何のために導入するのかよく考えてから採用しないと、ソフトウェアの管理をするためのコスト(ライセンス費用、使うためのメンテナンス)ばかりが目立つこともあります。
2.ウィルス対策ソフトを導入しよう!
ID・パスワードを盗んだり、遠隔操作を行ったり、ファイルを勝手に暗号化するウィルスが増えています。
ウィルス対策ソフトを導入し、ウィルス定義ファイル(パターンファイル)は常に最新の状態になるようにします。
対策には、次のようなものがあります。
- ウィルス定義ファイルが自動更新されるように設定する。
- 統合型のセキュリティ対策ソフト(ファイアウォールや脆弱性対策など統合的な機能を搭載したソフト)を導入する。
ウィルス対策ソフトによっては、アップデート注意パソコンの動作が重くなり、仕事にならないこともあります。実際の運用環境での事前テストや、アップデートやウィルスチェックスケジュールの設定などに注意が必要です。
3.パスワードを強化しよう!
パスワードが推測や解析されたり、ウェブサービスから流出したID・パスワードが悪用されたりすることで、不正にログインされる被害が増えています。
パスワードは「長く」、「複雑に(類推できないものに)」、「使い回さない」ことを周知・徹底します。
パスワードが、長く、複雑で、使いまわしていなくても、それを付箋に書いて机の周りに貼っておいたり、机の引き出しを開けるとすぐにメモが分かるようでは意味がありません。
社員全員への情報セキュリティ教育が必要な理由の1つです。
パスワードに関する対策の例を列挙します。
- パスワードは、英数字記号含めて10 文字以上にする。
- 名前、電話番号、誕生日、簡単な英単語などは、パスワードに使わない。
- 同じID・パスワードをいろいろなウェブサービスで使い回さない。
- 基幹システムやインターネットサービスの利用開始時に、初期設定パスワードを付与され、最初にログインする時にパスワードを再設定させる場合もあります。
忘れると大変なパスワードですが、忘れるからと言って付箋を貼ったり、引き出しにメモを入れておくのは本末転倒です。
4.共有設定を見直そう!
データ保管などのウェブサービスやネットワーク接続した複合機の設定を間違ったために、無関係な人に情報を覗き見られるトラブルが増えています。
無関係な人が、ウェブサービスや機器を使うことができるような設定になっていないことを確認しましょう。
共有設定に関する対策例を列挙します。
- ウェブサービスの共有範囲(アクセスできる人)を限定する。
- ネットワーク接続の複合機やカメラ、ハードディスク(NAS)などの共有範囲を限定する。
- 従業員の異動や退職時に設定の変更(削除)漏れがないように注意する。
- ネットワーク接続機器やカメラ、ハードディスクなどを新規に購入したり、再利用する場合には、必ず設定値を見直す、工場出荷時の初期設定を変更する。
- 動作テストや故障分離のために、一時的に利用したIDやパスワードは、変更又は削除する。
これらの他、共有設定ではないのですが、
- USBメモリなどを使ってデータを持ち出す。
- 個人アカウントのクラウドサービスを社内で使う。
といったことへの対策も必要になります。
基幹システムやパソコンに限りませんが、「Need to Knowの原則」を守ることがポイントになります。
参考:クラウド時代のNeed to Know~情報セキュリティ初めの一歩
5.脅威や攻撃の手口を知ろう!
取引先や関係者と偽ってウィルス付のメールを送ってきたり、正規のウェブサイトに似せた偽サイト(フィッシングサイト)を立ち上げてID・パスワードを盗もうとするなど、巧妙な手口が増えています。
ウィルスメールやフィッシングサイト等の脅威やサイバー攻撃などの手口を社内に周知し、併せて対策をとることがポイントです。
これらの脅威や攻撃についての対策例を列挙します。
- lPA などのセキュリティ専門機関のウェブサイトやメールマガジンで最新の脅威や攻撃の手口を知る。
- 利用中のインターネットバンキングやクラウドサービスなどが提供する注意喚起を確認する。
- 注意喚起を装ったウィルスメールもありますので、担当者や個人任せにすることなく、必要に応じ情報システム担当部署から注意を喚起する等の対策が必要です。
これらの対策以外に、以下の様なことを興味本位でやらないように周知、徹底していくことも必要です。
- 興味本位でウィルスメールをわざわざ開いてみる。
- 他人のIDとPWを使用する。
上記に類することは、例えどの様な理由があれども、やってよいことにはなりません。
まとめ
今や経営者や責任者が「情報セキュリティなんて分からない」と言ってすむ時代ではありません。
IPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」にそって、情報セキュリティ対策を進めます。
ここでは、以下の項目について説明しました。
- 「情報セキュリティ5か条」始めの1歩
- 1.OSやソフトウェアは常に最新の状態にしよう!
- 2.ウィルス対策ソフトを導入しよう!
- 3.パスワードを強化しよう!
- 4.共有設定を見直そう!
- 5.脅威や攻撃の手口を知ろう!
