企業が持つ情報は、いつの時代もさまざまな危険にさらされています。
そのため、適切な情報セキュリティ対策は必要不可欠ですが、疑問点が多く、なかなか企業が前に進めないことも考えられます。
今回は、そんな企業のために、よくある情報セキュリティ対策に関連の疑問にお答えしましょう。
Q.内部不正対策の基本方針はどうやって策定する?
企業では、従業員等の“内部不正”による情報セキュリティ事故・事件が発生するケースがあります。
また、企業の内部不正対策における基本方針では、“社内での重要情報の保護・管理の徹底”、“社外への責任説明”の観点から、最低でも以下の3項目を定めなければいけません。
・リスク管理が必要であることを認識した上で、重要情報を保護・管理することの重要性を示す
・保護管理すべき重要情報を識別し、その重要情報に関して事業上の重要性を示す
・重要情報の保護管理に関する実施体制を策定し、見直しを行いつつ継続的な活動であることを示す
これらは最低でも定めておかなければ、企業は内部不正に対して非常に弱くなってしまいます。
Q.企業の重要情報にはどんなものがある?
適切な情報セキュリティ対策を取るには、企業にとって重要な情報とはどんなものなのか、しっかりと把握する必要があります。
また、重要情報は各部門の業務内容、取り扱う情報によって異なります。
例えば、営業部門の場合は、“顧客情報”や“関係者限りの営業情報”などが、重要情報に当てはまります。
一方、開発部門であれば、“開発物”や“設計図”がそれにあたると考えられます。
さらに、企業が持つ情報の中には、ある時期までは重要度が高く、一定期間を経ると公知情報となる情報もあります。
そのような可能性も考えて、企業は重要情報を把握し、外部または内部の不正から守れるようにしましょう。
Q.コストを抑えながらアクセス制限をするにはどうすれば良い?
企業の情報セキュリティ対策では、コストに関しても強い意識を持つことが大事です。
コストをかければかけるほど、基本的には強固な情報セキュリティ体制が出来上がりますが、それだと企業の利益が圧迫されてしまいます。
したがって、なるべくコストを抑えながら、なおかつ有効な情報セキュリティ対策を取ることが重要です。
例えば、重要情報に対するアクセス制限は、Windowsのセキュリティ機能を利用しましょう。
これを使えば、大きなコストをかけることなく、重要情報が保存されたフォルダのアクセス制限をすることができます。
Q.物理的区画における情報セキュリティ対策にはどんなものがある?
“物理的区画”とは、企業の敷地内や建物、各部屋などを指していて、情報セキュリティを堅固にするには、物理的な対策も必要になってきます。
物理的区画で取るべき情報セキュリティ対策は以下の通りです。
①鍵やICカード等の運用・管理
・役職員間の鍵やICカードの貸借を原則禁止にし、責任者の確認のもと鍵、ICカードの貸出・返却記録を行う
・ディンプルキー、カード等の容易には複製できない鍵、ICカードを使う
・鍵、ICカードを紛失したときに備え、紛失時のマニュアルを作成し、実際紛失した場合には、すぐ鍵やICカードを無効にする措置が取れるように準備する
②入退室記録の確認
・入退室記録を定期、不定期に確認し、鍵の操作者と実際の入退出者を照合する
・入退出管理で得られた入室情報と退出情報は定期、不定期に照合し、不自然な点がないかを確認する
③その他
・重要情報を扱う物理的区画内の行動については、カメラ等で監視するとともに、監視している旨を従業員に伝える
・故意に開錠した窓等からの侵入もわかるように、機械警備システムを導入する
・緊急の入室、一般的には入室が想定されていない経営者や特権所有者等の入室等の例外規定については、別途定めておく
Q.どのような内容の教育をすれば良いのか?
企業が情報セキュリティ対策を取る際には、従業員に対する教育も併せて行う必要があります。
このときの教育内容は、主に以下の通りです。
・情報セキュリティ事故、事件によって組織にどのような影響があるのかについて、自組織で発生した事故や事件などを含め、具体例を説明する
・運用規定に示されている重要方法の分類、管理方法等に関する遵守すべき事項を説明する
・社内規則等の内部規定に基づき、内部不正が発覚した際の懲戒処分について説明する
・重要情報の管理方法を示すとともに、対策を実施することについて説明する
・情報セキュリティ対策の理解を深めるために、運用規定の背景と異なる関連する法令等(個人情報保護法、不正競争防止法等)について説明する
まとめ
ここまで、企業は把握しておくべき、情報セキュリティ対策に関することをQ&A形式で解説してきましたが、いかがだったでしょうか?
情報セキュリティ対策は、あらゆる角度から情報セキュリティ事故・事件の可能性を徹底的に摘み取るためのものです。
本記事の内容が、情報セキュリティ対策の構築を難航させていた企業にとって、少しでもプラスなものになれば光栄です。