COLUMN / SEMINAR

契約コラム・セミナー

COLUMN / SEMINAR

技術関連記事

中堅中小企業の情報セキュリティ対策

2019.12.27

今回は、技術寄りな内容をお送りさせていただこうと思います。

IT(情報技術)が、業務で使われる様になってから、かなりの時間が経ち、企業内で情報という「資産」が、様々な形で保存される様になりました。

例えば、パソコン内部のハードディスク、USBメモリ、スマートフォン内蔵メモリ等があります。これらの情報を安全に管理・活用していく為の、前提となるものが、「情報セキュリティ」です。

最近も、情報漏洩にまつわるニュースが、世間を騒がせていますが、事故を防ぐためには、「情報セキュリティ」について、まずどのような「切り口」をもって、考えて行けばよいか、今回はお話しさせていただきます。

「情報セキュリティ対策」と聞くと、ウィルス対策ソフトや、ファイアウォールのイメージを持たれるケースが良くありますが、一般的な「情報セキュリティ対策」の定義は、もう少し広い意味とされています。

「情報セキュリティ対策」には大きく3つの要素があります。

①人的対策、②物理的対策、③技術的対策

それぞれの意味と、対策の例を一つずつ見ていきます。

人的対策

人的な対策とは、人が誤って情報を取り扱い、事故を起こすことのない様、情報の重要性や、その取り扱いの方法について、徹底して伝達し、管理する事です。

後述の2要素含め、すべて重要なのですが、「①人的対策」は特に重要で、世間を騒がす情報漏洩のニュースは、この本対策が不十分である事に、起因するケースが殆どです。

例えば、社員が怪しいメールを開き、パソコンがウィルスに感染したまま業務を、続けてしまった、電車の中で機密情報入りのUSBメモリを落としてしまった、SNSで機密情報を配信してしまった、社内で破棄すべきハードディスクを持ち出し、転売してしまった等、全て、①人的対策で、対策されるべき事案です。

基礎的な対策例として、以下があります。

(a) 情報を守るためのルールを策定する。 (b) ルールを厳守する様、教育と社内規定整備を徹底する。

(a) 情報を守るためのルール

良くある例としては、

  1. 離席時はパソコンをロックする
  2. 情報へのアクセス権限の管理
  3. やむを得ずUSBメモリ等で情報を持ち出す際の指針、等

他にも、パソコン等の情報機器を破棄する場合は、ハードディスクを取り出し、ドリルで貫通穴を空け、基板はハンマーで破壊する等を、ルール化するケースもあります。

原始的ですが、機密情報の入ったハードディスクを、社員や破棄業者等が、転売しまうといったリスクを、低減する事ができる対策方法です。 (実践される場合は、専門家にご相談のうえ、ケガや別の事故に繋がらない様に、十分ご注意ください。)

(b) ルールを厳守する様、教育と社内規定整備を徹底する。

法務や契約書に業務で係る方なら、「そんなの当たりまえ」と思われるかもしれませんが、全員が最初から、「情報セキュリティリテラシー」が高いわけではありません。ルールを分かり易く伝え、教育し続ける事が重要です。

実施例として、

・罰則付きの社内規定の整備
・定期的なセキュリティ教育の実施。(対策内容も日々進化するため)

等があります。

物理的対策

物理的な対策とは、情報端末や媒体を、文字通り、物理的に保護する事です。

基礎的な対策は以下です。

  1. 入退室の管理
  2. セキュリティ区画への入室権限の管理
  3. 盗難・窃盗等の防止

他にも、社内にサーバーがある場合は、サーバーラックのドア開閉に監視システムを付けたり、床にアンカーボルトで固定したりする場合もあります 。

技術的対策

冒頭に記述した、ウィルス対策等はこちらに含まれます。技術的対策の中にも、大きく以下の様な項目があります。

一つ一つの詳細は、次回以降に譲るとして、今回は簡単な例を、各項目の下に箇条書きいたします。

  1. システムに対する対策
  2. ・例えば、常にOSやソフトを最新にアップデート
    ・セキュリティパッチの適用等
  3. ネットワークに対する対策
  4. ・サーバー等の異常アクセスや負荷検知システム
    ・ファイアウォールの整備
    ・重要な情報は、サーバー内で、物理的に切り離された領域(DMZ等)に置く
  5. データへの対策
  6. ・データを保存する際に暗号化する。
  7. コンピュータウィルス対策
  8. ・ウィルス対策ソフトを導入し、常に最新にしておく

少し脇道にそれますが、ニュースで取り上げられるような、ハードディスクの転売事故などは、①人的対策が不十分であっても、「③-(3)データの暗号化」が正しく出来ていれば、事故の規模を多少抑える事が出来たかもしれません。

(1)~(4)で記載させて頂いた様な対策は、変化するコンピュータウィルスや、犯罪手口に対抗し、常に監視とメンテナンスしていくことが必要です。 リソースが限られる、中堅中小企業にとって、万全な「③技術的対策」を敷き続ける事は骨がおれます。

特にサーバー周りですが、①技術的対策の負荷を大きく減らしてくれる可能性ががあるものが、クラウドサーバーです。 代表的なものに、Azure、AWS、GCPがあります。それぞれ、Microsoft、Amazon、GoogleのITガリバーによって提供されているサービスです。

クラウドサーバーを今回のテーマに沿って、端的にいうならば、「ITガリバーが、桁違いの規模とコストをかけて、セキュリティ対策を用意しているサーバー」です。

災害リスクの低い地域に設営された、最新鋭のデータセンターを基盤とし、世界中のサービスプロバイダーから、活用されている為、セキュリティの脅威に対するノウハウも、非常に多く保有しています。

少し前までは不可能だった、ITガリバー達に近いレベルの、③技術的対策を、クラウドサーバーを活用する事で、実現することが可能です。

また、Azure、AWS、GCPの中でも、特にMicrosoft社のAzureは、セキュリティ対策に対し定評があり、アメリカ国防総省(ペンタゴン)にも採用されています。


CONTACT US

契約書レビューを効率化しませんか?

契約書レビューAIを
無料で試す
契約書レビューAIの
デモを見る