情報セキュリティハンドブック:従業員としての対策

情報セキュリティ対策を次の3つに分けて進めています。

  • 基本的対策:全社共通の対策です。
  • 従業員としての対策:従業員が行う対策です。
  • 組織としての対策:会社として実施する対策です。

1つ目の基本的対策(5項目)については、以下のページで説明しました。

情報セキュリティハンドブック:5つの基本的対策と進め方のポイント
情報セキュリティ対策のルール作りの進め方と、5つの基本的な対策、脆弱性対策(OS等の更新)、ウイルス対策ソフトの導入、パスワード管理、ネットワーク機器やサービスの共有設定、脅威や攻撃の手口を知り対策に活かす情報収集について説明しています。

ここでは、2つ目の従業員としての対策について、具体的に何をするのかについて説明をすすめます。

スポンサーリンク

情報セキュリティ対策(その2):従業員としての対策

従業員が行う情報セキュリティ対策について、具体的に何をするのか決めていきます。

はかせ
はかせ

特に従業員向けの場合、情報セキュリティやITに関する知識がないことを前提に分かりやすい言葉で説明するよう配慮します。

6.電子メールのルール:身に覚えのない電子メールは疑ってみる

電子メールに添付されたファイルを開いたり、電子メール本文中に記載されたURLリンクをクリックしたりすることでウイルス感染する事故が続いています。

「身に覚えのない電子メールの添付ファイルやURLリンクへのアクセスに気をつけましょう。」とは、スローガン的に使われているようにも思いますが、具体的には、次のような内容になります。

身に覚えのない、あやしいメールがきたら、

  • そのメールには触れない。
    • 特にメールのURLをクリックしたり、添付ファイルをクリックしない。
  • 同僚や上長、情報セキュリティ担当者にどうすればよいか聞く。

注意喚起(対策)を列挙します。

  • 不審な(あやしい)メールの情報、ウィルス感染などの例などを周知する。
  • あやしいメールがきたら、そのメールに触れない、上長や情報セキュリティ責任者に必ず連絡して、どのような処置をするか聞くこと
  • あやしいメールのURLや添付ファイルをクリックすると、メールを受信したPCだけでなく社内ネットワークにつながったPCやサーバーにウィルス感染が始まってしまう。
  • ウィルス感染が始まると止めることはできない。
  • 万が一自分のPCが感染していると思った時には、即座にPCのネットワーク(LAN)ケーブルを抜く、Wi-FiならWi-FiをOFFにする。そのあと、情報セキュリティ担当者、上長、同僚に連絡する。

ここまでできれば、合格点だと考えています。

はかせ
はかせ

「感染した場合どうすればよいか知っているから、自分は大丈夫」という人がいるようですが、本人の思い込みに過ぎませんので、情報セキュリティ責任者から厳重に注意します。

7. 電子メールのルール:宛先の送信ミスを防ぐ

電子メールやFAX の送り先を間違えて、他人に情報が漏えいしてしまう事故がなくなりません。

電子メールやFAX は送り先を十分確認するようにします。

はかせ
はかせ

職場でOutlookを使っているのですが、アドレス帳からの入力が使いづらく、氏名で検索して入力していますが間違いがないか確認するのに気を使います。

定型メールはテンプレートを使っているのですが、ブラウザ版のOutlookではテンプレートが使えず、困ったものです。

電子メールによる情報セキュリティ事故は、あやしいメールだけではありません。

通常業務の中でも次のようなケースが発生していませんか?

  • 社内関係者向けメールのCcに部外者のメールアドレスが含まれている。
  • 社内メールを社外に送信している。
    • メール送信者が気づかいていない。
    • 社内メールを社外に送信してはいけないことを知らない。

この様な状態は、情報セキュリティの問題というよりは、

  • メールの使い方が周知されていない
  • 社会人としての躾(しつけ)

の問題と考えていますが、この様な社会人や従業員としての基本的なことを徹底しなければ、情報セキュリティを守ることはできないということを、経営者や管理職はもちろんのこと、従業員全員に周知し、徹底していくことが必要です。

メールによる情報漏えい(流出)には、メールの宛先を間違えたことにより発生するケースがあります。

  • 誤ったメールアドレスを伝えてしまう。
    • メールアドレスそのものが間違っている。
  • 誤ったメールアドレス宛に送信してしまう。
    • 似ている別人のメールアドレスに送信してしまう。

メールの基本的なルールなのですが、メールの送り先が間違っていないか確認することが重要です。

注意喚起(対策)を列挙します。

  • 電子メールやFAXを送る前に送信先を再確認する。
  • 電子メールはTo・Cc・Bccを使い分ける。
    • 特にBccの使い方は注意が必要です。
  • 定期的な連絡や報告のメールは、テンプレートを使用する。

8. 電子メールのルール:重要情報を送信する時は保護する

重要情報を電子メールで送る場合は、電子メールの本文に書き込まず、文書ファイルなどに記載してパスワードで保護した後、メールに添付します。

この際、パスワードはその電子メールには書き込まず、別の電子メールで通知します。

メールの添付ファイルについては、自動的に暗号化し、別途パスワードをメールするサービスも使うこともあります。

注意喚起(対策)を列挙します。

  • 重要情報は、メール以外の文書ファイル(PDF)にして、パスワードで保護する。
  • 重要情報のパスワードについては、相互にあらかじめ決めておく、別のメールで知らせます。

9.無線LANのルール:無線LANの盗聴や無断使用を防ぐ

公衆無線LANサービスの中には、適切なセキュリティ設定がされていない無線LANがあり、通信内容を読み取られたり、不正に接続されて犯罪行為に悪用されたりする被害を受ける可能性があります。

無線LANを利用した盗聴対策や無断使用を防止するようにセキュリティ設定をします。

注意喚起(対策)を列挙します。

  • 強固な暗号化方式(WPA2-PSKなど)を選択する。
  • 暗号化キー(パスフレーズ)は、長くて推測されにくいものを使用する。
  • スマホや無線LANなど、新規のネットワーク設備を導入した場合には、初期設定(工場出荷時の設定)のまま使わずIDやパスワードを必ず変更する。

10.インターネット利用のルール:インターネットを介したトラブルを防ぐ

情報漏えい(流出)のニュースで流れることもある様に、悪意のあるウェブサイトやセキュリティ上の問題があるウェブサイトを見ることでウイルスに感染してしまうことがあります。

また、SNSや掲示板へ悪ふざけした画像を投稿したり、秘密情報を勝手に掲載して会社に被害を及ぼすこともあります。このため、業務でのインターネット利用を制限する仕組みやルールを設定し、被害を防止することが必要です。

注意喚起(対策)を列挙します。

  • インターネットの利用ルールを作る。
  • SNSの利用ルールを作る。
  • Webフィルタリング機能を導入することでシステム的にインターネットの利用を制限する。

11.バックアップのルール:バックアップを励行する

故障や誤操作、ウイルス感染などにより、パソコンやサーバーの中に保存したデータが消えてしまうことがあります。このような不測の事態に備えて、バックアップを取得します。

はかせ
はかせ

データのバックアップは、コストと直接関連します。

会社にとって重要な情報とは何かを考え、費用対効果を考えて進めていくのが現実的だと考えています。

注意喚起(対策)を列挙します。

  • 重要情報のバックアップを定期的に行う。
    • 例えば、2週間に1度フルバックアップ、毎日のバックアップは差分のみとする。
  • バックアップは別の場所に保存する。
    • 別のハードウェアに保存するということです。

12.保管のルール:重要情報の放置を禁止する

会社の課業時間内に限らず、机の上に放置された情報(資料)は、誰かに持ち去られたり、盗み見られたりする危険にさらされています。

はかせ
はかせ

離席した際のパソコンやスマホの画面も、同様に危険にさらされているという認識が必要です。

このため、関係者以外が見たり、触れたりすることができないように、重要情報は放置せず、管理する必要があります。

はかせ
はかせ

放置している様な状態では、その資料がなくなったのかどうかも分からないものです。

整理・整頓・清掃の3Sは、情報セキュリティの面からも必要です。

重要情報の保管場所(必要であれば施錠できる場所)を定め、作業に必要な場合のみ持ち出し、終了後に戻すことを周知・徹底します。

情報セキュリティの問題というよりは、社会人や従業員としての躾(しつけ)の問題とも考えられます。

注意喚起(対策)を列挙します。

  • 机の上をきれいにする。
    • 3Sの徹底
  • 重要書類は鍵付き書庫に保管する。
  • クリア・スクリーンとクリア・デスク
情報セキュリティも3Sから:クリアスクリーンとクリアデスク
3Sは品質マネジメントだけでなくISMSについても有効な手段です。情報セキュリティを高める手段として、クリアデスク、クリアスクリーンは、整理・整頓・清掃と並行して進めるとよいと考えています。

13.持ち出しのルール:重要情報は安全な方法で持ち出す

重要情報を社外へ持ち出す場合には、盗難や紛失のリスクがあります。

ここでいう重要情報は、書類だけでなく、USBメモリなどの記憶媒体、社内ネットワークに接続できるノートパソコンやスマホに保存されている情報を含みます。

このため、盗難や紛失が発生した時に情報を簡単に読み取れないように次のような対策をします。

  • ノートパソコンやスマートフォンのパスワードロックを使う。
    • パスワードを入力しないと使えないようにする。
  • データファイルを暗号化する。
  • 社内ネットワークへの接続には、VPNや2段階認証などを使う。

注意喚起(対策)を列挙します。

  • 重要情報の持ち出しは許可制にする。
    • 持ち出す情報は最小限とする。
  • ノートパソコン・スマートフォン・USBメモリなどにパスワードロックをかける。
  • 書類やノートパソコンなどを入れたカバンを放置しない。
    • 社会人や従業員としての躾(しつけ)の問題でもあります。

14.事務所の安全管理:機器を勝手に操作させない

パソコンを使用した作業の途中でそのまま席を離れたり、パスワードなしでログインできるパソコンなど、誰でも操作できる状態のパソコンは、不正に使用される可能性があります。

不正使用からパソコンを守るための対策を行います。

注意喚起(対策)を列挙します。

  • 離席時にパソコンをロックする。(スクリーンロック)
  • 退社時にパソコンをシャットダウンする。
    • 他人がパソコンを使うことを防ぐ。
はかせ
はかせ

「12.保管のルール:重要情報の放置を禁止する」とも関連します。

15.事務所の安全管理:見知らぬ人には声をかける

関係者以外の事務所や工場への立ち入りを制限していないと、侵入されやすくなり、情報を盗み取られる危険性が高くなります。

特にサーバーや書庫・金庫など、重要な情報の保管場所の近くには無断で立ち入りができないようにします。

注意喚起(対策)を列挙します。

  • 事務所で見知らぬ人は、事務所に入れない。
  • 重要情報の保管場所には、関係者以外近づけないようにする。
  • 受付を設置する。
はかせ
はかせ

当たり前のことですが、実際どうなのか現状を確認したり、定期・不定期で調べることも必要と考えています。

16.事務所の安全管理:機器・備品の盗難防止対策を行う

ノートパソコンやタブレット端末、USB メモリなどは手軽に持ち運べる便利さがある反面、盗難や紛失の危険性(リスク)も高くなります。

利用しない場合は、施錠可能な引き出し等に保管するなどの対策を行います。

また、テレワーク(在宅勤務、モバイルワーク、サテライトオフィス勤務)においても、同様の対策が必要になります。

注意喚起(対策)を列挙します。

  • 退社時には、机の上のノートパソコンやタブレット端末、備品(USBメモリ、外付けハードディスクなど)を引き出しにしまう。
  • 常時使わないUSBメモリなどは、定位置に保管する。
  • ノートパソコンやスマホ等は、盗難や紛失を前提に対策をしておく。

17.事務所の安全管理:オフィスの戸締まりに気を配る

勤怠管理(労務管理)や防災の観点からも実施していますが、施錠と退出記録の管理を行います。

最終退出者と退出時間の記録を残すことにより、最終退出者による施錠の責任意識を向上させることにも役立てることができます。

注意喚起(対策)を列挙します。

  • 鍵の管理を徹底する。
  • 最終退出者は事務所を施錠し退出の記録(日時、退出者)を残す。

18.情報の安全な処分:重要情報は復元できないように消去する

廃棄したパソコンのHDD(ハードディスク)が中古パーツとして販売され、中古HDDの購入者が重要情報を入手し事件となった等のニュースを目にすることがあります。

また、重要情報が記載された書類をゴミ箱にそのまま捨てると、関係者以外の目に触れてしまい、重大な情報漏えい(流出)事故となってしまうことがあります。

また、電子機器・電子媒体に保存された情報は、ファイル削除の操作をしても復元される恐れがあります。

重要情報を廃棄する場合は、シュレッダーや消去用ソフトウェアを利用するなど、媒体ごとに適切な処分をします。

注意喚起(対策)を列挙します。

  • 書類は細断する(シュレッダーにかける)。
  • 専門業者にデータ消去及び廃棄を依頼する。
  • パソコンなどの電子データは、消去ソフトを利用する。
  • HDD(ハードディスク)などの記憶装置は、物理的に壊してから処分する。

まとめ

情報セキュリティ対策を次の3つに分けて進めています。

  • 基本的対策:全社共通の対策
  • 従業員としての対策:従業員が行う対策
  • 組織としての対策:会社として実施する対策

ここでは、「従業員としての対策」について、以下の項目について説明しました。

  • 6.電子メールのルール:身に覚えのない電子メールは疑ってみる
  • 7. 電子メールのルール:宛先の送信ミスを防ぐ
  • 8. 電子メールのルール:重要情報を送信する時は保護する
  • 9.無線LANのルール:無線LANの盗聴や無断使用を防ぐ
  • 10.インターネット利用のルール:インターネットを介したトラブルを防ぐ
  • 11.バックアップのルール:バックアップを励行する
  • 12.保管のルール:重要情報の放置を禁止する
  • 13.持ち出しのルール:重要情報は安全な方法で持ち出す
  • 14.事務所の安全管理:機器を勝手に操作させない
  • 15.事務所の安全管理:見知らぬ人には声をかける
  • 16.事務所の安全管理:機器・備品の盗難防止対策を行う
  • 17.事務所の安全管理:オフィスの戸締まりに気を配る
  • 18.情報の安全な処分:重要情報は復元できないように消去する
タイトルとURLをコピーしました