セキュリティ
「セキュリティ」と一言で言っても、組織全体で必要な対策は多岐にわたります。
対策の検討と決定は責任者・担当者、そして経営者が行いますが、すべてに目が行き届かないのも事実です。
では、いざ情報システムを一任された際には、どういった点に気をつけてセキュリティ対策に取り組めば良いのでしょうか。キヤノンS&Sの事例も交えながら、紐解いていきましょう。
概要
セキュリティ対策は必要不可欠な時代に
ひと昔前まではデスクに書類を置いたままにしたり、誰でも気にせず事務所の中に入れたりということはありませんでしたか?
また、社内のパソコン利用についても特に制限はなく、インターネットの閲覧やメール送受信も従業員任せの企業が多かったのではないでしょうか?
今では、企業で取り扱う個人情報や機密情報をいかに守るかがポイントのひとつです。
万が一、不注意が原因でお取引先に迷惑をかけたり、会社の信用を失墜させたりするようなことが起きてしまうと、最悪の場合企業存続にも影響することが考えられるからです。
このような背景から、セキュリティ対策は必要不可欠な時代であることがわかります。
多岐にわたるセキュリティ対策
それでは企業の「セキュリティ対策」はどこから手をつけて、どのように取り組んでいけば良いのでしょうか?
一例のご紹介です。
IPA(独立行政法人情報処理推進機構)では、2009年から中小企業の情報セキュリティ対策ガイドラインを公開しています。
情報セキュリティに関する脅威はここ数年で大きく変化しており、以前の情報を基にした対策では新たな脅威に対応できないこともあります。サイバー攻撃・犯罪など手口が巧妙化しており、それに伴いこのガイドラインも改訂を重ねています。
経営者と対策担当者が知っておくべきセキュリティ対策の必要性とそのための手段、加えて社内に浸透させていく際に活用できる情報セキュリティ関連規定などのひな形が提供されています。
あまり経験がない方ですと、判断に迷ったり講じた対策で万全なのか心配になったり、といったこともあると思います。私たちは、全国のお客さまと一緒に考え、お客さまに合ったご提案を行っております。
ぜひご相談ください。
SECURITY ACTION制度を活用し、自社の取り組みを宣言する
巧妙化した企業の情報資産の窃取や業務妨害を狙ったサイバー攻撃・犯罪が拡大している反面、中小企業のセキュリティ対策は依然として課題が多く、さらなる対策の必要性が求められています。しかし、必要性は認識していてもどこから手をつけるべきか迷われていることもまた事実ではないでしょうか。
こうした背景を踏まえ、中小企業自らが目標を決め、優先順位の高い対策項目から順に情報セキュリティ対策に取り組むことを自己宣言するSECURITY ACTION制度が作られました。
サプライチェーン攻撃が多発する中、中小企業においても適切なセキュリティ対策が求められています。
SECURITY ACTION制度は、自社の取り組み目標を定めてできるところから始めるための第一歩です。
実際には、下記のような項目を確認し自己宣言をします。
1)基本的対策
- パソコンやスマホにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしているか
-
重要情報に対する適切なアクセス制限を行っているか
など
【参考】
2)従業員としての対策
- 受信した電子メールの添付ファイルや本文中のURLリンクを介したウイルス対策に注意しているか
- 電子メールやファクスの宛先の送信ミスを防ぐ取り組みをしているか
-
重要情報が記載された書類や電子媒体は机上に放置せず、書庫など安心な場所に保管しているか
など
【参考】
3)組織としての対策
- 従業員にセキュリティに関する教育や注意喚起を行っているか
-
クラウドサービスやウェブサイトの運用等で利用する外部サービスは安全・信頼性を把握して選定しているか
など
【参考】
自社診断のための25項目
情報セキュリティガイドラインでは、自社診断のため25項目の設問を用意しています。対策状況を把握することができますので、どのぐらいできているかぜひ参考にしてみてください。
メールセキュリティについて
コミュニケーションを図るツールのひとつとしてチャットツールを導入する企業が増えていますが、まだまだメールによるやり取りは多いのではないでしょうか?
メールは、社外の方とのやり取りに使われることが多く、見積書や請求書、仕様書など機密情報を添付するケースも少なくありません。
その反面、受信したメールの添付ファイルを開いたことで数日後、社内にウイルスがまん延したケースがあることも事実です。
今まで当たり前のように使われていたPPAP(パスワードつきZIPファイルを添付したメール送信)は、ファイルのウイルスチェックがセキュリティ上難しく、さらに情報漏えいのリスクも大きい手法として、多くの企業や政府機関で廃止されはじめています。
2020年11月に当時のデジタル改革担当大臣が内閣府、内閣官房で「PPAP廃止」を表明したことで大きく動きました。
ちなみに「PPAP」という名称は
- Password(パスワード)つきZIPファイルを送付
- Password(パスワード)を送付
- Angou-ka(暗号化)
- Protocol(プロトコル)
の略です。
添付ファイルの機密性を保つためにメール添付ファイルのセキュリティの最新情報をご紹介します。