サイバーセキュリティ対策
重要な情報を管理し保護するには、組織にとって何が重要な情報なのかをリストアップすることが第一歩です。講じる対策は、ドアの施錠など物理的対策、ウィルス対策などの情報システム対策、セキュリティ教育など人的対策、機密情報管理規定や事故発生時の体制など組織面の対策、外注先との秘密保持契約など業務プロセス面の対策など、多岐に渡ります。
いずれにしても、重要な情報について、漏洩しないこと(機密性)、破壊・改ざん・ねつ造・喪失のないこと(完全性)、必要な時に利用できること(可用性)が維持されることが求められます。
重要な情報を外部へ提供する場合、情報の利用目的に即して必要な情報だけを、必要な相手に限定して、場所と時間を限定して見せる、といった重要情報の取扱いの原則を守ることが重要です。
サイバー攻撃は、インターネットを通じて入ってくるメールに埋め込まれたウィルスや不正な通信により引き起こされます。従って、組織にとって特に重要な情報は、インターネットと切り離してデータを保管することが基本的な防御策となります。近年増加している「ランサムウェア」による被害が組織の業務停止に至ることを防ぐためにも有効です。
会社としてセキュリティ強化に取り組む場合、まずは「SECURITY ACTION」の★一つ星か、★★二つ星を自己宣言すると良いでしょう。
さらに、お客様の個人情報をあずかる事業を営んでいる場合は、情報漏洩につながるリスクを明確にして対策するとともにPDCAサイクルで改善する仕組みを導入・実施し、プライバシーマークの認証を取得してホームページや名刺にマークを載せると、お客様からの信頼感を高めることができます。
お客様の機密性の高い図面をあずかったり社外秘の技術データを多く保有している場合は、情報セキュリティ保護を組織的・体系的に実施して、ISO-27001(ISMS)認証を受ける必要性が出てきます。
当所はISO-27001審査員及び情報処理安全確保支援士の知見と多くの中小企業様への支援経験から、業務内容や事業規模に応じた最適な情報セキュリティ対策や社内規則・手順を提案し、プライバシーマークやISO-27001(ISMS)の認証取得を支援します。
個人情報保護法と企業活動
消費者の購買履歴やWebの閲覧記録などを取得・蓄積・分析してマーケティングに利用するなど、企業における個人データの利活用に際しては個人情報保護法が適用されます。
氏名や電話番号だけでなく、顔認識データ・指紋認識データなど個人の身体的特徴をデータ化したものや、運転免許証番号・マイナンバーなど、特定の個人を識別できる情報についても個人情報となります。
また、事業者の規模によらず、個人情報をデータベース化して事業活動に利用しているすべての事業者が対象となります。
個人情報の取得、個人情報の保管・管理、個人情報の第三者提供において、すべての企業に個人情報保護法上の義務が課されます。
中小企業の情報セキュリティ対策
情報の重要性による仕分け
社内にある情報・データは、重要性により取扱い上の注意や保管方法を決めて確実に実行しているでしょうか。重要性の大小は、情報の社外流出時の被害の程度、データ破壊の場合の復元の容易さや情報がアクセスできないときのビジネスへの影響度合いなどで決まってきます。重要な情報・データに対して、どのような事件や事故が起こりうるか洗い出して、その起こりやすさ、狙われやすさに応じて対応策を決め、計画的、組織的に実行していきます。
内部不正による情報漏洩
従業員や元従業員による機密情報の持ち出しや悪用が発生しています。また、社内ルールを守らず機密情報を持ち出して紛失し情報漏洩につながるケースもあります。顧客リストなどの個人情報の漏洩は、社会的信用の失墜、経済的保障による費用負担など、事業存続に係るダメージにつながりかねません。従業員への情報セキュリティについての教育は、体系的・継続的に行われているでしょうか。採用時の教育や就業規則によるルール違反時の損害賠償の取り決めも重要です。
ランサムウェアの危険性
ランサムウェアは、パソコンやサーバーのファイルを暗号化して使えなくし、復旧するには金銭を払うよう脅すウィルスです。業務上必要な情報が暗号化され、事業継続が困難になります。指定されたビットコインなどを支払っても復旧できる保証はありません。ファイルのバックアップがあっても、同一のネットワーク内にあると同じ被害を受けるため工夫が必要です。不用意にメールの添付ファイルを開けたり、本文内のURLリンクをクリックしないなどの基本的な対策の徹底が感染対策となります。万一感染してもバックアップから復旧できるように、バックアップはネットワークから切り離して保管するようにし、いざという時にバックアップからの復旧が正しくできるか、模擬訓練などで確認しておきましょう。
ウィルス対策ソフトが無効なウィルス
ウィルス対策ソフトは、あるウィルスが出現してからそのウィルスへの対策を盛り込んだバージョンに更新されるまでに一定時間がかかります。この空白の期間に行われる攻撃をゼロデイ攻撃といいます。すでに防止策が分かっているウィルスを防ぐためにはウィルス対策ソフトが有効です。さらに未知のウィルスに対しては、メールやWebサイトが信頼できる相手が発信したものか、内容に不審な点がないか、注意深くチェックし、少しでも疑問があれば送信者に電話などで確認してから開きましょう。特に添付ファイルや本文中のURLリンクは信頼できると確認できてから開けます。
取引先へ迷惑をかけないために
大企業、中堅企業へのサイバー攻撃を行う者は、まず下請け業者である中小企業へサイバー攻撃を仕掛けてウィルスに感染させ、狙う大企業、中堅企業へのサイバー攻撃の踏み台とします。情報セキュリティ対策が中小企業では弱いとみて狙われるのです。また、仕事の発注に伴って取引先から開示・提供された図面や個人情報などの機密情報が盗まれたり、不注意により漏洩する事態が発生しないよう、中小企業にも対策することが求められています。
Pマーク認証で終わりではない
プライバシーマーク(Pマーク)やISOー27001の認証を取得した企業は、一定レベルの情報セキュリティ対策を実施していることが第三者機関から客観的に認められています。しかし、個々の企業ごとに異なる固有のセキュリティ上の弱点を完全にカバーするものではありません。内部監査などによりそれぞれの企業が自社に合わせた改善策を継続的に実行する必要があります。IPAが公開している「情報セキュリティ10大脅威」を参考に改善策を検討するのも一案です。
IPAの情報セキュリティガイドライン
IPA(独立行政法人情報処理推進機構)は、「中小企業の情報セキュリティ対策ガイドライン」を公開しています。内容は、経営者が認識し実施すべき指針と、社内において対策を実践する際の手順や手法をまとめたものです。経営者編と実践編から構成されており、個人事業主、小規模事業者をも含む中小企業の利用が想定されています。詳細に分かりやすく解説されており、活用されると良いでしょう。
SECURITY ACTION
「SECURITY ACTION」は中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度です。独立行政法人情報処理推進機構(IPA) セキュリティセンターが実施しています。「認定」されるのではなく、「宣言」です。取組み目標に応じて「★一つ星」と、「★★二つ星」のロゴマークがあります。
IT導入補助金の申請要件になっています。
費用もかからず詳細な解説もありますので、自己宣言事業者となり、ホームページや名刺にロゴマークを入れると良いでしょう。