住友建機株式会社SUMITOMO

【Vol.135】
今日から使える「情報セキュリティ」
基本のキ 情報セキュリティ 入門編

社員や顧客の個人情報やプロジェクトの機密情報など、会社には重要情報があふれている。
情報化時代のいま、漏れた情報は瞬時に世界中へ拡散するため、流出した情報を削除することは不可能である。
また、一度でも情報漏洩事故を起こした会社は、社会的な信用を失ってしまう。こうした事態を防ぐには企業経営者として、社内の重要情報を整理し、管理方法や漏洩対策を学んでおく必要がある。
これから2回にわたって、情報セキュリティの「入門編」「実践編」をお届けする。

監修:ITコンサルタント 山口寿義
イラスト:佐藤竹右衛門

「ウチは絶対狙われない」その油断が会社を潰す!

 ニュースなどで頻繁に目にする企業の情報漏洩事故。あなたは、他人ごとだと思っていないだろうか?
「情報を狙われるのはいつも大企業だし、そもそも漏れて困る機密情報なんてものはない」
 そう考えているなら、認識を改める必要がある。情報化社会といわれる現代、情報がお金と同等かそれ以上の価値を持つことが少なくないからだ。例えば、工事情報(図表①参照)や従業員の個人情報は、悪用される恐れがある。長年かけて蓄積した施工技術や取引先ネットワークの情報は、経営を支える大切な資産であり、お客様から預かった機密情報は信頼の証でもある。

過失のほか「故意」による情報漏洩事件も起きている

 「顧客情報を漏らすと損害賠償請求に発展する可能性があります。なによりも一度失った信用を回復するのは容易ではなく、取引解消ともなれば、経営破綻の恐れすら考えられます。しかも、情報漏洩の原因は、故意、過失を問わずさまざまあるため、未然に防ぐには、しっかりとした対策が欠かせません」
 ITコンサルタントであり、企業の情報セキュリティ対策にも詳しい山口寿義氏が指摘するように、パソコン(以下、PC)がウイルスに感染して情報を盗まれるケースもあれば、情報を保存したUSBメモリやスマホを紛失するケースもある。不満を抱えて退職する従業員が、辞めるときに情報を持ち出す事件さえ起きているのだ。だからこそ、「情報漏洩のパターンを知り、それに応じた対策を講じることが重要」になってくる。
 しかし、対策を立てるには、現状を知らなければならない。そこで、まずは図表③にまとめた「情報セキュリティ・レベル 診断シート」を使って、あなたの会社のセキュリティに対する意識レベルを把握してほしい。ここに並んでいる設問は、すべて情報セキュリティの入門レベルなので、一つでもあてはまらないものがあったならば、早急に対処する必要がある。下記で紹介する情報セキュリティ対策のポイントを参考に、今日から取り組んでほしい。

デジタル情報を守るポイントは、「外部脅威」「過失」「モバイル」対策

 ひと口に情報セキュリティ対策といっても、アナログ情報とデジタル情報では、その方法や注意点が異なる。それぞれの注意点を山口氏に聞いた。
「まずアナログ情報ですが、もっとも大切なのは情報の重要度に応じて、管理する『人』と『場所』を明確にすることです。『名刺は社員各自』『図面は部門長』などと管理者を決めることで責任の所在が明らかになり、注意を促すことができます」
 また、情報の重要度に応じて保管場所を分けることも有効だ。そうしておけば、管理しやすいだけでなく、管理者が鍵を保管することで、「誰が」「いつ」情報にアクセスしたのか、把握しやすいという利点もある。
 図面などを社外へ持ち出す場合、紛失しても第三者が見られないよう、「鍵のついた鞄に入れておく」など、重要情報を持ち出す際のルールを決めておくことも大切だ。

怪しいサイト・メールに手を出さないのが鉄則

 一方、デジタル情報を守るためには、「外部脅威への対策、過失への対策、モバイル対策の3つのポイントを押さえておくといい」と、山口氏はアドバイスする。
●外部脅威への対策
「会社で使用しているPCのOSとバージョンは何か、把握されていますか? もしWindows XP以前のOSを使い続けているのなら危険です。ウイルスをはじめとした標的型攻撃は、PCの脆弱性、つまりセキュリティの抜け穴をついてくるからです。これを防ぐには、OSやソフトウェアを常に最新の状態に保ち、脆弱性を解消しておくことが重要です」
 もちろん、アンチウイルスソフトをインストールしておくことも忘れてはいけない。
「注意したいのは、『無料だから』と試用版を使い続けないことと、更新時期が過ぎていないかを確認することです」
 パスワードを強くするのも効果的だ。誕生日や名前など推測されやすいものを避け、英字の大文字と小文字、数字、記号を織り交ぜ、文字数を12桁以上にすると、かなり強化できる。
「ハッカーでさえ、解析するのに1000万年はかかるといわれています」
●過失への対策
 自分の不注意で情報の盗難・漏洩をまねくことがある。最近多いのが、本物そっくりの偽サイトにIDやパスワードなどを入力させるフィッシング詐欺だ。
「IDやパスワードの入力を求めてくる怪しげなサイトは、まず疑ってみること。入力前にネットで検索すると、注意すべきサイトとして警告されていることが少なくありません。不審なメールや添付ファイルも同様です。『不用意に開かない』は鉄則ですよ」
●モバイル対策
 タブレットやスマホなどのモバイル機器は、紛失したときに備えて、必ずパスコードやパスワードを設定しておく必要がある。そのうえで注意したいのは、社外でモバイル機器を使用するときだ。
「必ず、契約者以外は使うことができないモバイルWi-Fiルーターなどの回線を使いましょう。公衆無線LANのなかには、ユーザーのログイン情報などを暗号化せずに通信しているものもあります。通信内容が部外者に丸見えということも少なくありません」
 また、工事現場の写真をスマホやタブレットで撮影するときも注意が必要になる。位置情報を記録する設定を有効にしたまま撮影した写真をネットやSNSで公開すると、場所が特定される恐れがあるからだ。

段階を踏めば意外に簡単!
情報セキュリティのルール化

 情報セキュリティ対策を立てるためには4つのステップが必要である。1つ目は「情報資産」の洗い出しだ。図面や取引先リスト、社員名簿、経理財務関連情報、工事関係者の個人情報など、自社が保有している情報をすべて書き出していこう。
 2つ目は、洗い出した情報の重要度を判断していくこと。マイナンバーをはじめとする個人情報など、法律で安全管理が義務付けられているもの、守秘義務の対象として指定されているものなど、「漏洩することで自社や取引先・お客様に深刻な影響を及ぼすもの」を最上位に設定。以下、「事業に影響のあるもの」、「ほとんど影響のないもの」と振り分けていけばいい。
 3つ目は、情報ごとに管理する部門や担当者を決めて、情報資産を利用していい部門や人物=アクセス範囲を明確化すること。特に、現場で管理すべき情報を個人情報も含めリスト化し、保存期間と廃棄の方法を定めれば、現場における情報の管理を徹底しやすい。
 4ステップ目で、上にある図表⑤⑥を参考に対策をルール化すれば完了だ。

情報漏洩の原因は、取り扱う人の意識

 最後に、情報セキュリティで最も重要なことは何か、山口氏に聞いた。
「情報漏洩というと、ウイルスなどに攻撃されて、無理やり奪われるイメージをもたれるかもしれません。しかし、実際は人的ミスによるものが圧倒的に多いのです。図表⑧を見てわかるとおり、管理ミスと誤操作、紛失・置き忘れの合計で8割以上。このことからも、情報セキュリティ対策は社員の意識改革なくして実現できないと、おわかりいただけると思います」
 ここで重要になるのが社員教育だ。「社内重要情報の種類」、「情報漏洩で何が起こるのか」、「情報漏洩の原因と対策」について研修を実施。さらに、研修が形骸化しないよう、社内外のセキュリティ事故を、経営者の言葉で継続的に情報発信することも定着化のポイントである。
「このように社員の意識が変わるかどうかは、経営者が情報の重要性を理解し、本気で守ろうとするかにかかっています。情報一つで会社を潰すかもしれない危険性を経営者自身が認識して、率先して取り組むのが意識改革を社内に広げるコツです」
 ここまで解説してきた情報セキュリティの方法は、入門編ではあるが、絶対取り組むべき基本でもある。まずはここから始めて、重要情報の正しい扱い方をマスターしてほしい。
 次回は、情報セキュリティ対策の「実践編」をお届けする。

やまぐち・ひさよし

富士通株式会社で10件以上の大規模プロジェクトのプロジェクトマネージャーに従事した経験をもつ。ITコーディネータとしてITコーディネータ協会のWG活動に携わる。現在、フリーランスのITコンサルタント。
問い合わせ先:ワンダーベル合同会社 http://wonderbell.a.la9.jp