法務サポートコラム

中堅中小企業のセキュリティ対策 その①

2019年12月27日配信

今回は、少しだけ技術的な内容をお送りさせて頂こうと思います。

 

IT(情報技術)が、業務で使われる様になってから、かなりの時間が経ち、企業内で情報という「資産」が、様々な形で保存される様になりました。
 
例えば、パソコン内部のハードディスク、USBメモリ、スマートフォン内蔵メモリ等があります。これらの情報を安全に管理・活用していく為の、前提となるものが、「情報セキュリティ」です。
 
最近も、情報漏洩にまつわるニュースが、世間を騒がせていますが、事故を防ぐためには、「情報セキュリティ」について、まずどのような「切り口」をもって、考えて行けばよいか、今回はお話しさせていただきます。
 

 

り~が~るチェックの資料請求はこちら

 
「情報セキュリティ対策」と聞くと、ウィルス対策ソフトや、ファイアウォールのイメージを持たれるケースが良くありますが、一般的な「情報セキュリティ対策」の定義は、もう少し広い意味とされています。
 
「情報セキュリティ対策」には大きく3つの要素があります。
①人的対策
②物理的対策
③技術的対策
 
それぞれの意味と、対策の例を一つずつ見ていきます。
 
①人的対策
人的な対策とは、人が誤って情報を取り扱い、事故を起こすことのない様、情報の重要性や、その取り扱いの方法について、徹底して伝達し、管理する事です。
後述の2要素含め、すべて重要なのですが、「①人的対策」は特に重要で、世間を騒がす情報漏洩のニュースは、この本対策が不十分である事に、起因するケースが殆どです。
 
例えば、社員が怪しいメールを開き、パソコンがウィルスに感染したまま業務を、続けてしまった、電車の中で機密情報入りのUSBメモリを落としてしまった、SNSで機密情報を配信してしまった、社内で破棄すべきハードディスクを持ち出し、転売してしまった等、全て、①人的対策で、対策されるべき事案です。
 
基礎的な対策例として、以下があります。
(a) 情報を守るためのルールを策定する。
(b) ルールを厳守する様、教育と社内規定整備を徹底する。

 
(a) 情報を守るためのルールとして良くある例としては、
・離席時はパソコンをロックする
・情報へのアクセス権限の管理
・やむを得ずUSBメモリ等で情報を持ち出す際の指針、等
 
他にも、パソコン等の情報機器を破棄する場合は、ハードディスクを取り出し、ドリルで貫通穴を空け、基板はハンマーで破壊する等を、ルール化するケースもあります。
原始的ですが、機密情報の入ったハードディスクを、社員や破棄業者等が、転売しまうといったリスクを、低減する事ができる対策方法です。
(実践される場合は、専門家にご相談のうえ、ケガや別の事故に繋がらない様に、十分ご注意ください。)
 
(b) ルールを厳守する様、教育と社内規定整備を徹底する。
 
法務や契約書に業務で係る方なら、「そんなの当たりまえ」と思われるかもしれませんが、全員が最初から、「情報セキュリティリテラシー」が高いわけではありません。ルールを分かり易く伝え、教育し続ける事が重要です。
 
実施例として、
・罰則付きの社内規定の整備
・定期的なセキュリティ教育の実施。(対策内容も日々進化するため)
等があります。
 
②物理的対策
物理的な対策とは、情報端末や媒体を、文字通り、物理的に保護する事です。
 
基礎的な対策は以下です。
・入退室の管理
・セキュリティ区画への入室権限の管理
・盗難・窃盗等の防止
 
他にも、社内にサーバーがある場合は、サーバーラックのドア開閉に監視システムを付けたり、床にアンカーボルトで固定したりする場合もあります。
 
③技術的対策
冒頭に記述した、ウィルス対策等はこちらに含まれます。
 
③技術的対策の中にも、大きく以下の様な項目があります。
一つ一つの詳細は、次回以降に譲るとして、今回は簡単な例を、各項目の下に箇条書きいたします。
 
(1)システムに対する対策
・例えば、常にOSやソフトを最新にアップデート
・セキュリティパッチの適用等
(2)ネットワークに対する対策
・サーバー等の異常アクセスや負荷検知システム
・ファイアウォールの整備
・重要な情報は、サーバー内で、物理的に切り離された領域(DMZ等)に置く
(3)データへの対策
・データを保存する際に暗号化する。
(4)コンピュータウィルス対策
・ウィルス対策ソフトを導入し、常に最新にしておく
 
少し脇道にそれますが、ニュースで取り上げられるような、ハードディスクの転売事故などは、①人的対策が不十分であっても、「③-(3)データの暗号化」が正しく出来ていれば、事故の規模を多少抑える事が出来たかもしれません。
 
(1)~(4)で記載させて頂いた様な対策は、変化するコンピュータウィルスや、犯罪手口に対抗し、常に監視とメンテナンスしていくことが必要です。
リソースが限られる、中堅中小企業にとって、万全な「③技術的対策」を敷き続ける事は骨がおれます。
 
特にサーバー周りですが、①技術的対策の負荷を大きく減らしてくれる可能性ががあるものが、クラウドサーバーです。
代表的なものに、Azure、AWS、GCPがあります。それぞれ、Microsoft、Amazon、GoogleのITガリバーによって提供されているサービスです。
 
クラウドサーバーを今回のテーマに沿って、端的にいうならば、「ITガリバーが、桁違いの規模とコストをかけて、セキュリティ対策を用意しているサーバー」です。
災害リスクの低い地域に設営された、最新鋭のデータセンターを基盤とし、世界中のサービスプロバイダーから、活用されている為、セキュリティの脅威に対するノウハウも、非常に多く保有しています。
少し前までは不可能だった、ITガリバー達に近いレベルの、③技術的対策を、クラウドサーバーを活用する事で、実現することが可能です。
 
また、Azure、AWS、GCPの中でも、特にMicrosoft社のAzureは、セキュリティ対策に対し定評があり、アメリカ国防総省(ペンタゴン)にも採用されています。
 
当社システムも、Azureを採用しており、高水準で、情報セキュリティ対策・管理・メンテナンスがなされております。
 

り~が~るチェックの資料請求はこちら

 
 


記事一覧

2020年09月30日 売買契約の契約書レビューでチェックするべきポイント
2020年09月03日 契約書の表題の書き方や印紙など契約書レビューでチェックすべき点
2020年08月21日 契約書作成とチェックの品質をあげるWordの基本技術
2020年08月19日 契約書チェックをAIで効率化する方法
2020年07月29日 業務委託契約の書き方 ~その2~
2020年07月10日 業務委託契約の書き方 ~その1~
2020年07月03日 秘密保持契約(NDA)を徹底解説3 ~秘密保持契約における期間と損害賠償~

カテゴリー

メッセージ
対談
技術コラム
法務サポートコラム