情報セキュリティを気にしてますか？

今回は、情報漏洩対策などの情報セキュリティについて書いてみます。

いまはパソコンがないと仕事ができない世の中です。情報の重要性はあがっているわりに扱う情報について結構ゆるゆるだったりしませんか？

普段何も問題がないときには気に留めないかもしれませんが、万が一顧客情報やその他重要な情報を漏洩してしまうなど何か起こったときのダメージは大きいです。

ダメージというのは、補償による金銭的な損失、顧客対応などの多大な労力、会社の信用の低下などです。

また、ECサイト（ネットショップ）を開設している事業者の場合だと、顧客情報が漏洩した場合にはクレジットカード決済の販売店契約が取り消されてしまいます。事後に復活させようにも審査はもう通りません。一気に売り上げがなくなってしまいます。

そういったことが起こらないように、どうやって情報セキュリティのリスクを回避すべきかをまとめます。

もちろん、ここに書いたことを全部やれという話ではなく、会社によって扱う情報の種類や量、そもそも仕事の内容も違いますので、ケースバイケースでご判断ください。

付け加えて言うと、企業が決済サービス会社などのセキュアなデータを扱う会社と業務上の契約をする際には、自社がどういうセキュリティ対策を行っているかの資料を提出しますが、ここに書いているような内容を実施していれば問題なく契約審査が通っております。会社の情報セキュリティを考慮する上での基準にはなるでしょう。

1.情報資産の棚卸・リスク評価

そもそも会社でどういった情報資産・データを保持していて、万が一漏洩した場合にどの程度のリスクがあるのかをリストアップして把握しておきます。

これをやらないと何を守るべきなのか、どう対策すれば良いのかがぼやっとしたままです。

たとえば顧客情報を含むファイルとか業務のノウハウを含むものなどがどの程度あって、外部に漏れた場合の金銭的な影響度や信用に受けるダメージからリスクの多寡を測っておきます。

2.人為的な要因でのリスク対策

情報漏洩は、悪いことをしようというハッカーから攻撃されたためというような外部から起こる要因よりも、従業員がパソコンを持ち出して紛失したとか、悪意を持ってデータをコピーして持ち去ったとか、誰かにかばんごと情報を盗まれたとか、こういう内部の人為的な故意・過失による要因の方が多いです。

対策としては技術的な対応よりも会社での日々の運用とかルール決めにかかっている部分が大きいです。

具体的には次のようなことを行います。

会社のセキュリティポリシー・ルールの作成

会社としてのポリシーやルールを作成して、メンバーで共有できるようにします。情報をどう扱うか、万が一事故が発生した場合にどういう行動を取れば良いのかを検討して作成します。

従業員への説明・教育

上記のポリシーやルールの作成にも絡みますが、従業員に会社がセキュリティについてどういう対応を求めているのかきちんと理解してもらう必要があります。

秘密保持（守秘義務）の項目を作る

従業員や取引会社との契約書に秘密保持に関する項目を作りましょう。万が一悪意をもって情報を漏らされた場合に法的な根拠となりますし、契約に明記してあらかじめ認識してもらうことで心理的な抑止にもなります。

入退室管理

特に重要な情報を扱う場合は、できれば部屋の常時施錠を行い入室できる人を制限します。また、入室者や入退室の時刻を記録して不測の事態の場合に調査ができるようにしておきます。

PCの施錠管理

特に簡単に運べるノートパソコンは、使わないときは施錠できるロッカーなどにしまっておいたり、ワイヤーロックで机に固定するといった対策をしましょう。

保険への加入

情報漏洩した場合にかかる費用についての保険があります。もちろんちゃんと対策を行った上での話ですが、扱うデータによってはこういう備えも検討しましょう。

3.技術的なリスク対策

こちらは技術的な内容です。パソコンの設定でできること、システムやソフトの導入でできることです。難しいものもありますので、ものによっては外部の専門家に相談すると良いでしょう。

ユーザーや端末の管理

端末やデータベースシステム、WebサービスなどのID・パスワードを適切に管理します。なお、別のシステムで同じパスワードの使いまわすのは避けましょう。

情報にアクセスできるユーザーの範囲はなるべく狭くします。具体的には役職や部署によって見られる情報の種類を制限します。

たとえばシステムを導入する際には、管理職しか扱わない情報は、その他のユーザーには見られない仕組みを導入します。

また、閲覧できる情報の量を制限をします。顧客情報などは一度に引き出せる件数を制限するような仕組みを導入します。たとえば電話対応をする人が一日のうちに顧客データを参照する回数が何百回になることはないでしょう。

ハードディスクの暗号化

Windowsのパスワードを設定するだけではハードディスクを取り出してほかのパソコンにつなけば内容を見ることができてしまいます。特に持ち運びするノートパソコンについてはBitLockerなどでのハードディスクの暗号化を検討しましょう。

ウイルス対策

これはほとんどの会社がきちんとやっていると思いますが、ウィルス対策ソフトを導入しましょう。

USBなどの記憶媒体の制限と暗号化

特に重要な情報を扱う場合には、パソコンでUSBメディアを使えなくすることを検討しましょう。またUSBメディアを使用する場合にも、ファイルにパスワードをかけたり、暗号化できる製品を利用するなどします。

PCの持ち出し（会社支給、協力会社への貸与）制限

重要な情報の入ったパソコンの持ち出しは制限します。また持ち出す場合には、必要のない情報を入れないようにします。

ユーザーごとのパソコンの操作を制限

Windowsのセキュリティポリシーやセキュリティ製品でリスクの高いパソコン上の操作をできないように制限します。たとえば不必要なソフトウェアのインストールの禁止などです。

端末操作ログの取得

セキュリティ製品を導入してユーザーがパソコン上でどういう操作を行ったのかログを取得できるようにします。

4.ホームページのセキュリティ

ECサイトなど個人情報を扱うサイトに必要な対策です。これは主にサーバに対して行う内容ですので、専門家に頼ることになると思います。

詳細は長くなりますので、また別の機会に書こうと思います。

検討材料として項目だけ列挙すると以下のようなものです。

• ソフトウェアアップデートの実施
• Dos/DDos対策の実施
• ファイヤーウォールの設置
• SSLの導入
• IDS/IPSの導入
• WAFの導入
• ログ分析の実施
• Web改竄検知の実施
• 脆弱性診断の実施

いかがでしたでしょうか？　情報社会であれば、便利さを享受できる反面、事故の影響は大きいです。特にご自分の会社を経営される方はこういったことを考える時間を作ると良いと思います。