COLUMN / SEMINAR

契約コラム・セミナー

COLUMN

中堅中小企業のセキュリティ対策 その①

2019.12.27

今回は、少しだけ技術的な内容をお送りさせて頂こうと思います。   IT(情報技術)が、業務で使われる様になってから、かなりの時間が経ち、企業内で情報という「資産」が、様々な形で保存される様になりました。   例えば、パソコン内部のハードディスク、USBメモリ、スマートフォン内蔵メモリ等があります。これらの情報を安全に管理・活用していく為の、前提となるものが、「情報セキュリティ」です。   最近も、情報漏洩にまつわるニュースが、世間を騒がせていますが、事故を防ぐためには、「情報セキュリティ」について、まずどのような「切り口」をもって、考えて行けばよいか、今回はお話しさせていただきます。    

り~が~るチェックの資料請求はこちら

  「情報セキュリティ対策」と聞くと、ウィルス対策ソフトや、ファイアウォールのイメージを持たれるケースが良くありますが、一般的な「情報セキュリティ対策」の定義は、もう少し広い意味とされています。   「情報セキュリティ対策」には大きく3つの要素があります。 ①人的対策 ②物理的対策 ③技術的対策   それぞれの意味と、対策の例を一つずつ見ていきます。   ①人的対策 人的な対策とは、人が誤って情報を取り扱い、事故を起こすことのない様、情報の重要性や、その取り扱いの方法について、徹底して伝達し、管理する事です。 後述の2要素含め、すべて重要なのですが、「①人的対策」は特に重要で、世間を騒がす情報漏洩のニュースは、この本対策が不十分である事に、起因するケースが殆どです。   例えば、社員が怪しいメールを開き、パソコンがウィルスに感染したまま業務を、続けてしまった、電車の中で機密情報入りのUSBメモリを落としてしまった、SNSで機密情報を配信してしまった、社内で破棄すべきハードディスクを持ち出し、転売してしまった等、全て、①人的対策で、対策されるべき事案です。   基礎的な対策例として、以下があります。 (a) 情報を守るためのルールを策定する。 (b) ルールを厳守する様、教育と社内規定整備を徹底する。   (a) 情報を守るためのルールとして良くある例としては、 ・離席時はパソコンをロックする ・情報へのアクセス権限の管理 ・やむを得ずUSBメモリ等で情報を持ち出す際の指針、等   他にも、パソコン等の情報機器を破棄する場合は、ハードディスクを取り出し、ドリルで貫通穴を空け、基板はハンマーで破壊する等を、ルール化するケースもあります。 原始的ですが、機密情報の入ったハードディスクを、社員や破棄業者等が、転売しまうといったリスクを、低減する事ができる対策方法です。 (実践される場合は、専門家にご相談のうえ、ケガや別の事故に繋がらない様に、十分ご注意ください。)   (b) ルールを厳守する様、教育と社内規定整備を徹底する。   法務や契約書に業務で係る方なら、「そんなの当たりまえ」と思われるかもしれませんが、全員が最初から、「情報セキュリティリテラシー」が高いわけではありません。ルールを分かり易く伝え、教育し続ける事が重要です。   実施例として、 ・罰則付きの社内規定の整備 ・定期的なセキュリティ教育の実施。(対策内容も日々進化するため) 等があります。   ②物理的対策 物理的な対策とは、情報端末や媒体を、文字通り、物理的に保護する事です。   基礎的な対策は以下です。 ・入退室の管理 ・セキュリティ区画への入室権限の管理 ・盗難・窃盗等の防止   他にも、社内にサーバーがある場合は、サーバーラックのドア開閉に監視システムを付けたり、床にアンカーボルトで固定したりする場合もあります。   ③技術的対策 冒頭に記述した、ウィルス対策等はこちらに含まれます。   ③技術的対策の中にも、大きく以下の様な項目があります。 一つ一つの詳細は、次回以降に譲るとして、今回は簡単な例を、各項目の下に箇条書きいたします。   (1)システムに対する対策 ・例えば、常にOSやソフトを最新にアップデート ・セキュリティパッチの適用等 (2)ネットワークに対する対策 ・サーバー等の異常アクセスや負荷検知システム ・ファイアウォールの整備 ・重要な情報は、サーバー内で、物理的に切り離された領域(DMZ等)に置く (3)データへの対策 ・データを保存する際に暗号化する。 (4)コンピュータウィルス対策 ・ウィルス対策ソフトを導入し、常に最新にしておく   少し脇道にそれますが、ニュースで取り上げられるような、ハードディスクの転売事故などは、①人的対策が不十分であっても、「③-(3)データの暗号化」が正しく出来ていれば、事故の規模を多少抑える事が出来たかもしれません。   (1)~(4)で記載させて頂いた様な対策は、変化するコンピュータウィルスや、犯罪手口に対抗し、常に監視とメンテナンスしていくことが必要です。 リソースが限られる、中堅中小企業にとって、万全な「③技術的対策」を敷き続ける事は骨がおれます。   特にサーバー周りですが、①技術的対策の負荷を大きく減らしてくれる可能性ががあるものが、クラウドサーバーです。 代表的なものに、Azure、AWS、GCPがあります。それぞれ、Microsoft、Amazon、GoogleのITガリバーによって提供されているサービスです。   クラウドサーバーを今回のテーマに沿って、端的にいうならば、「ITガリバーが、桁違いの規模とコストをかけて、セキュリティ対策を用意しているサーバー」です。 災害リスクの低い地域に設営された、最新鋭のデータセンターを基盤とし、世界中のサービスプロバイダーから、活用されている為、セキュリティの脅威に対するノウハウも、非常に多く保有しています。 少し前までは不可能だった、ITガリバー達に近いレベルの、③技術的対策を、クラウドサーバーを活用する事で、実現することが可能です。   また、Azure、AWS、GCPの中でも、特にMicrosoft社のAzureは、セキュリティ対策に対し定評があり、アメリカ国防総省(ペンタゴン)にも採用されています。   当社システムも、Azureを採用しており、高水準で、情報セキュリティ対策・管理・メンテナンスがなされております。  

り~が~るチェックの資料請求はこちら

   

CONTACT US

契約書レビューを効率化しませんか?

契約書レビューAIを
無料で試す
契約書レビューAIの
デモを見る