Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

最低限ここだけは押さえておこう!中堅・中小企業が実施すべき現実的な情報セキュリティ強化策(後編)

2017/06/21 06:00

 前回の中編では、中小企業でのセキュリティに対する考え方について解説しました。また、IPAによる「中小企業の情報セキュリティガイドライン」を見ると、対策の方向性はわかっても現実的にできるのかわからない、という人も多いかもしれません。行うべきセキュリティ対策の規模や内容は企業によって異なりますが、中小企業でも最低限行っておきたいセキュリティ強化策があります。この後編では、具体的な方法とその対策が必要となる理由について解説します。

情報漏えいを防ぐ技術的な対策と運用面での対策

 内部から情報を持ち出す方法を考えると、すぐに思い浮かぶのがUSBメモリなどへのコピーでしょう。これを防ぐために「USBメモリの使用を禁止する」という対策も考えられますが、中小企業の多くでデータの受け渡し手段として使われていることも多く、現実的には難しい場合もあるかもしれません。また、メールへの添付やオンラインストレージなどを利用されてしまうと、USBメモリの使用を禁止していても、意味がありません。

 具体的な対策として、最低限行っておきたいのがファイルへのアクセス権限の設定です。ファイルやフォルダにはアクセス権限を設定できますので、重要なファイルにアクセスできるのは担当者のみに限定します。重要な情報については、組織として管理部門を設置し、責任者を配置することが前提になります。つまり、取り扱う担当者を明確にして、担当者以外が機密情報を取り扱うことが無いようにします。

 もちろん、共通のアカウントを使用しないようにすることが前提になります。ログイン時にパスワードの入力が面倒だからといって、共通のアカウントでパスワードなしで使用している会社も少なくありませんが、このような運用では何か問題が発生した場合に原因を突き止めることが困難になります。また、従業員の異動や退職などが発生した場合には、元の部署にアクセスできてしまうことがないように確認しましょう。

 ただ、個人情報の漏えい事件の内訳を見てみると、「紛失・置き忘れ」「誤操作」「管理ミス」で原因の75%を占めるという調査結果もあります。(JNSAによる2015年 情報セキュリティインシデントに関する調査報告書【速報版】)

図1:漏えい原因

 メールの宛先を間違えてしまった、添付するファイルを間違えてしまった、という経験は誰にでもあるでしょう。たとえ誤操作であっても、外部に送信してしまったデータを取り戻すことはできません。

 そこで、誤操作や管理ミス、紛失・置き忘れがあっても、被害が最低限になるようにする必要があります。例えば、メールの誤送信や添付ミスに対して、添付ファイルは暗号化し、パスワードを電話など別の手段で伝える方法があります。紛失・置き忘れの対策として「個人情報を含むファイルは、サーバーにのみ保存し、従業員が使うパソコン上のハードディスクやUSBメモリには保存しない」といった運用ルールを策定する方法もあります。

 ただ、スマートフォンやタブレット端末の普及もあり、これまでのようにパソコンだけを管理すればよい時代ではなくなりました。上述の調査報告書でも、「漏えい媒体・経路」として「紙媒体」が過半数を超えていますし、情報漏えいの対策は簡単ではありません。情報漏えいが発生すると、被害者への謝罪や補償金の支払いなど、その内容によっては企業の倒産や廃業にもつながってしまいます。ルールの遵守状況を定期的にチェックすることも必要でしょう。

図 2:漏えい媒体・経路

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 増井 敏克(マスイ トシカツ)

    増井技術士事務所 代表、技術士(情報工学部門) 1979年奈良県生まれ。大阪府立大学大学院修了。テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。ITエンジニアのための実務スキル評価サービス「CodeIQ」にて、情報セキュリティやアルゴリズムに関する問題を...

バックナンバー

連載:サイバーセキュリティ対策の現実解-中堅・中小企業のための情報セキュリティ強化策
All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5