大きな企業さんになればなるほど、情報セキュリティに対してリスクも大きく、厳しい体制をとっていますよね。
インターネットを介した情報のやりとりが前提の昨今、ドアや金庫に鍵をかけておけば良い、という話ではない分、どこにリスクがあって、どうやって備えるべきか、しっかりとした知識がないとあとで取り返しのつかない状況を呼び込んでしまうことになります。
大きい会社さんと取引を行いたい場合も、取引先としてしっかりとした体制を求められます。
なるべく難しい言葉を使わないように、まずは、セキュリティに対する概要を説明しますので、正しい知識を持ちましょう。考えられる脅威は、「外部からの攻撃」「内部からの攻撃」「不慮の事故」の3つに大別できます。
外部からの攻撃
外部からの攻撃は、色々と想定されます。回線を通じて不正アクセスし、ソフトウェアのハッキング、ウイルスの設置を行ったり、詐欺メールなども外部からの攻撃になります。
これまで僕も、なんどもPC、MAC、そしてサーバーと、ソフトウェアにしこまれたウイルスと戦ってきました。これらに対しては基本的にはセキュリティソフトが有効です。悪意のあるアクセスを遮断したり、感染したソフトを隔離したり、不正に送信されそうになったデータの通信を止めたり、様々な機能があります。
しかしながら、外部からの攻撃に対して完全な防御策というものは存在しないのが実情です…。
お使いのソフトウェアのセキュリティアップデートがたびたびあるのは、攻撃側の技術も日々上がっているからに他なりません。無差別な攻撃であればまだしも、攻撃者にターゲットにされれば一般的なセキュリティでは必ず突破されます。セキュリティソフトをインストールするのは、あくまでなにか起きたときに、企業として努力をしていた、という姿勢を見せるためとも言えるのです。
また、フィッシングメールなどに対しては、騙されないように社内で情報の共有や、教育を行うことで予防となります。
さらに物理的な盗み見や、デバイスの盗難もあります。社外へのデバイスの持ち出しや、パスワードの設定についてもしっかりとルールを決めて、徹底して管理する必要があります。
内部からの攻撃
内部からの攻撃とは、社内の人間による不正が主となります。
会社に所属する個人の情報にもプライバシーがありますし、顧客情報は当然のこと。これらの情報は会社が、企業活動のために適正に使用するために保有している情報です。
つまりこれらに、個人的な理由でアクセスすることは不正であるにも関わらず、社内というアクセスしやすい環境に置かれていることが多いのです。
たとえば社内で同じパスワードを使い回していると、自分のパソコンを使って社内の誰かが情報を盗みだし、業者に情報を売る可能性もあります。情報へのアクセスの痕跡はあなたとなってしまいます。
社内でも管理者が台帳により、すべてのデバイスとパスワードを管理し、定期的な変更を行うことも有効です。退職された方のアカウントなどは、できるだけ早期に削除しましょう。
また、パソコンの操作ログなども定期的に監視、保管しておくことで防犯対策にもなります。
他にも社員の個人情報や、顧客情報が入ったデータ、会計処理用のパソコンは、インターネットだけでなくローカルネットワークにさえ繋げない、隔離されたパソコンを用意して管理することも有効です。
これが究極までいくと、第三者機関や、外部サービスによる監視が必要になります。社内の管理者でさえ、なにか企業に不都合な事故があった場合、社長命令で問題のログを隠す、というような出来事にもなりかねないからです。
不慮の事故
不慮の事故では、例えばデバイスの紛失や破損・汚損などがあります。
紛失は近年、紛失した社員にかなりの厳罰が与えられる企業が多いです。つまり、機密が入ったハードウェアに入っていた機密情報が、いつどこに漏れるかわからない状況になってしまうということです。当然、顧客に損害が発生しますし、これは企業としては生きた心地がしませんよね。。。
ハードウェアの取り扱いに対して、社内での意識付けのための教育は前提となります。最低でもパスワードを設定し、拾った人間が簡単には中身を見ることができない状況を作りましょう。しかしこれも、知識のある人間によって解かれてしまうことは容易に考えられます。
デバイスは基本、社外に持ち出さない、どうしても持ち出すデバイスには大事な情報は入れない、このようなルールが作れると良いですね。
デバイスが破損した場合は、セキュリティ上はそれほど深刻ではありませんが、定期的なバックアップをとっていないと、大事なデータが戻ってこない場合もありますね。記憶ドライブ(USB、HDDなど)を廃棄する場合は、データを完全に消去するソフトウェアを使ってから廃棄するか、廃棄業者の廃棄証明をもらうと良いでしょう。さもなければ、廃棄されたハードディスクから情報を復活させることができてしまいます。
会社の情報が漏洩してしまったら
万が一情報が漏れてしまったら、どのような対応をとるべきか。結論から言うと、透明性が一番重要になります。「ウイルスに入られた」「デバイスを紛失した」など事故に当たった当事者が誰に報告をするのか、誰が経緯を把握して対応をまとめ指示を出すのか、を明確にしておく必要があります。さらに各種ケースを想定した場合の対応についてあらかじめ共有したり、定期確認をしておくことで、事故が起きた場合に備えることもでき、社員ひとりひとりの、情報セキュリティに対する意識も向上します。
漏洩してしまったことで、当然顧客からのクレームや説明を求められることになります。自身でも、自分の個人情報がいったいどこのだれに知られてしまったかわからない状況になれば、説明を求めざるをえないですよね。その場合は、透明性を第一に、事実をありのまま、最悪の可能性まで含めて報告することで、信頼回復に努める必要があります。この場合も、日頃の対策をしっかりしていたか、が焦点になることは言わずもがなでしょう。
最後に
サーバーを使って、色々なソフトウェアを利用されている企業さんでは、もっと技術的なセキュリティが存在します。不必要に個人情報を扱うのはリスクにしかならない時代ですので、簡単にショッピングサイトを出店できる時代ですが、その際に得た顧客の個人情報が適切に管理できるのか、こういったことも考えてサービスを運用する必要があります。あえてここでは取り上げませんが、ネット上には日々いろいろな情報流出によるニュースに溢れており、他人事ではありません。
大きな企業さんでは、Pマークを取得・運用することで、セキュリティ体制をアピールします。これを徹底するには労力、コストも必要になりますが、それだけしっかりした情報の管理が求められています。また、ひとつ言えることは、組織が大きくなってから導入するより、小さい内から気をつけて、コツコツと体制を作っておくほうが、ぜったいに楽です。
ということで、まずは企業における情報セキュリティのさわりでした。
コメント