【事例】社内における情報セキュリティ対策の取り組み方とポイント
情報漏えいによる多額の賠償金請求や個人情報への不正アクセス、サイバー攻撃などは、資金力のある大手企業のみだと考える方は多いでしょう。
しかし、「社員がうっかり重要な情報を外部に漏らしてしまった……」「退職者が社内の情報にこっそりアクセスしていた……」など、実際は中小企業においても情報セキュリティに関する問題は頻発しており、中でも個人情報の漏えいがトラブルとして非常に多くなっています。
とは言え、大手企業のように莫大な費用をかけることは難しいですし、そもそもどのように対策すれば良いのか、何に取り組めば良いのかもイマイチわかりにくいもの。
そこで今回は、「情報セキュリティとはそもそも何か?」といったところから、基本的なセキュリティ対策のポイント、社内における具体的な取り組み内容についてわかりやすくご紹介します。
情報セキュリティ対策でお悩みのご担当者様は、ぜひ参考にご覧ください。
目次
社内における情報セキュリティとは?
社内における情報セキュリティとは、簡単に言うと顧客情報や売上データ、資料といった大切な情報を守ることです。
社内での情報セキュリティ対策で押さえるべき3要素
情報セキュリティ対策では、「情報セキュリティ3要素」を押さえるべきだと言われています。この3要素とは「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」のことで、それぞれの頭文字を取って「CIA」とも呼ばれています。
【情報セキュリティ3要素】
- 機密性(Confidentiality)
- 完全性(Integrity)
- 可用性(Availability)
情報セキュリティ①:機密性(Confidentiality)
機密性とは、簡単に言うと「許可された人にしか見られないようにすること」です。
機密性が低下していると、情報漏えいや不正アクセス、サイバー攻撃などのリスクが高まりやすくなり、実際にトラブルが発生してしまうと、損害賠償請求や信頼失墜、株価下落、さらに、故意の持ち出しが発覚した際は窃盗罪(刑法235条)が成立する可能性もあります。
機密性を高める社内の取り組みとしては、該当の情報を取り扱って良い人物だけが、その情報にアクセスできるようにする仕組み作りが基本となります。
情報セキュリティ②:完全性(Integrity)
完全性とは「情報が改ざんされたり消去されたりしないようにすること」を意味します。
完全性が低下してると、例えば、ハッキングによってWebページが改ざんされてしまったり、顧客情報の一部が書き換えられてしまったりなどのトラブルに発展することがあります。
過去には、Webサイトに「破産手続き開始のお知らせ」という嘘の情報が掲載されるケースが多発していました。
完全性が崩れてしまうと、企業に対する信頼の失墜や顧客離れ、損害賠償の請求、株価下落などに発展する恐れがあるため、社内においては、該当の情報を取り扱って良い人物を明確化するのに加えて、どのように変更が加わったのかという経緯が記録される仕組みも必要です。
情報セキュリティ③:可用性(Availability)
可用性とは「情報が必要な時、必要な人がアクセスできる状態のこと」です。
可用性が低下していると、例えばサーバーに不具合が発生して情報にアクセスすることができなくなったり、顧客がサービスを利用できなくなったりと、様々な損失に繋がる恐れがあります。
社内においては、該当の情報を必要とする人物にアクセスする権限がある、情報に素早くアクセスできる、そして情報を置いている場所が正常に機能しているという点がポイントとなります。
情報セキュリティを守る社内での取り組み事例
次に、情報セキュリティを守るための具体的な社内の取り組み事例についてご紹介します。
「機密性」を維持する社内での取り組み
機密性を維持する取り組みでは「アクセスできる人を制限すること」「情報が安全な場所に保管されていること」「情報が安全に伝達されること」の3つのポイントを意識してみてください。
【機密性を維持するポイント】
- アクセスできる人を制限する
- 情報を安全な場所で保管する
- 情報を安全に伝達する
例えば、アクセスできる人を制限するには「社内サーバー」や「アクセス権限機能」、「パスワード機能」が便利です。該当のプロジェクトに参加する人のみが閲覧できる状態にし、逆にプロジェクトメンバーから外れたり退職したりした際は、速やかに権限を外す・パスワードを別のものに変更するなどで対応します。
【アクセスする人を制限する具体策】
- 社内サーバー(物理サーバー、仮想サーバー)
- IPアドレス制限
- パスワード管理ツール
- ワンタイムパスワード など
関連記事:プライベートクラウドとは?2つの形態とそれぞれの特徴
また、情報を安全な場所で保管・伝達する手段として「情報の暗号化」があります。暗号化とは、第三者が情報を読み取れないようにするために、内容を解読不可能な別の状態に変換する方法です。チャットツールやUSBメモリなどを選ぶ際に、暗号化に対応しているものを選ぶだけで対策が可能です。
ただし、情報を暗号化する時と、暗号化された情報を元の情報に戻す時に、暗号鍵と呼ばれるパスワードを使用するものがあり、このパスワードの管理について慎重に行う必要があります。
【情報を暗号化する具体策】
- SSL暗号化機能
- メール暗号化機能
- 暗号化USBメモリ など
他にも、社外秘情報の持ち出し禁止を徹底する、情報を破棄する際はシュレッダーで裁断する、パソコンのゴミ箱の中を空にする、使用中のツールは常に最新バージョンにしておく、デスクの上に資料を出しっぱなしにしておかないなどの取り組みも必要です。
「完全性」を維持する社内での取り組み
完全性を維持する取り組みでは、機密性の3つのポイントに加えて、大切な情報が消去・改ざんされない取り組みが必要です。
具体的には「過去の情報が残るようにすること」「情報へのアクセス履歴がわかるようにすること」「情報の変更履歴がわかるようにすること」がポイントとなります。
【完全性を維持するポイント】
- 過去の情報が残るようにする
- 情報へのアクセス履歴がわかるようにする
- 情報の変更履歴がわかるようにする
例えば、操作ミスや災害などで情報が消去される事態に備えて定期的にバックアップを取ることや、ログの管理機能(履歴や情報が記録される機能)を搭載したツールを使うことは、完全性を維持する基本です。
また、外部の人間によって改ざんが行われた際、速やかに気付くことができるように、改ざん検知機能のあるセキュリティ対策ソフトを導入するのも効果的です。
【完全性を高める具体策】
- 定期的なバックアップ
- ログ管理
- 改ざん検知ツール など
「可用性」を維持する社内での取り組み
可用性を維持する取り組みでは、情報が必要な時に素早くアクセスできる状態を作ることが大切です。具体的には「システムが止まらないこと」「アクセス権限が正しく付与されていること」「情報の保管場所がわかりやすいこと」がポイントとなります。
【可用性を維持するポイント】
- システムの安定稼働を維持する
- 必要な人にアクセス権限が付与されている
- 情報に素早くアクセスすることができる
どれだけ優れた機能を持つシステムでも、完ぺきなものは存在しません。開発段階やリリース段階で発見できなかった不具合が後から見つかるケースがあり、アップデートすることでこれらの不具合に対処していきます。そのため、システムやツールでアップデートを要求された時は、安全性を確認した上で、速やかに対応したいところです。
なお、サブスクリプション方式(利用期間に対して料金を支払う方式)でシステムやツールなどを使用している場合は、料金の支払漏れにも注意しましょう。
また、情報へのアクセス権限は最小限に絞るのが重要であるのに対し、その情報を必要とする人がアクセスできないことも問題です。新しくメンバーが加わった際はアクセス権限の付与を忘れないようにしてください。加えて、該当データがどこにあるのか、保管場所へのアクセスのしやすさも考慮します。
社内の情報セキュリティを守るために大切なこと
情報セキュリティを高い状態で維持するには、情報を扱う「人」の意識が最も大切です。逆に言えば、情報セキュリティに対する意識を高く持っているだけで、防げるトラブルは多いものです。
「社員教育」と「社内体制」の観点から、情報セキュリティに対する意識付けについて見ていきましょう。
社員教育の徹底
どれだけ仕組みを万全に整えても、従事するスタッフの認識が甘いと、簡単にウィルスに感染したり、情報が漏れてしまいます。
例えば、送り主の身元が不明なメールを安易に開いてしまう、セキュリティチェックを通していないデータをダウンロードしてしまう、社外秘の内容まで社外向け資料に掲載してしまう、飲み会などの席で仕事の内容を話してしまうといったことが挙げられるでしょう。
特に最近は、仕事の資料などをスマホカメラで撮影したために情報が外部に漏れてしまったケースや、リモート会議中に後ろのデスクに置いてある資料が画面に映り込んでしまい情報が漏れてしまったケースが実際に起こっています。
このような「うっかり」が原因で起こるトラブルの多くは、セキュリティ対策への意識低下によるものだと言われていますので、定期的に研修や勉強会を行って、情報セキュリティに関する知識やリスクの向上を図っていきましょう。
また、気が緩んだタイミングや、業務過多で余裕の無い状態が続く時などは、一層セキュリティリスクが高まります。日頃からこまめにセキュリティ対策を意識する機会を設ける他、余裕のあるスケジュールを組むことも大切なポイントです。
社内体制の構築
セキュリティリスクを最小限に抑えるには、社内コミュニケーションの密度を高める取り組みも必要です。重大なトラブルに発展する前に、気軽に報告・連絡・相談ができる環境、そして互いに管理しあえる環境を作ることを意識します。
具体的な取り組みとしては、社外・社内でのやりとりを高いセキュリティ機能を持つタスク管理ツールやチャットツールに統一して記録が残るようにし、さらにプロジェクトメンバー同士で管理しあえるよう、やりとりを閲覧可能な状態にするのがおすすめです。
また、トラブルが発生しそうな業務や、実際にトラブルが発生した業務については共通のフローを作り、そのフローを守って業務にあたることを徹底します。
この他にも、社内で使用しているOSやアプリケーションにアップデート情報が入った時はそれを使用するメンバー全員に対して速やかに周知する仕組みや、トラブル発生時のガイドラインも作っておくと安心です。
関連記事:社内コミュニケーションが不足する原因とは?具体的な対応方法について
関連記事:「言った言わない」が起こる原因は? 水掛け諭のトラブルを防ぐためにするべきこと
セキュリティ対策も万全!社内コミュニケーションは「SONR」
SONR(ソナー)は1,000社を超える企業に導入されているクラウド型の組織活性化コミュニケーションツールです。
安心してコミュニケーションがとれる環境を作るために、今回ご紹介したようなSSL暗号化通信やIPアドレス制限、ログ管理などの充実したセキュリティ機能が搭載されています。
さらに、『中小企業が導入しやすいコスト・導入の訪問サポートやオンラインサポートなどの支援・多くの業種での生産性向上と業務効率化の実績』などITツールの導入が不安な企業でも安心して導入いただけます。
- シンプルで誰でもかんたんに操作ができる
- 300名までで月々2万円 中小企業が導入しやすいプラン
- 組織外メンバーとも共有可能
- 全国の中小企業1,000社以上での導入実績
さらなるセキュリティ強化にはプライベートブラウズ版
ホスティング型プライベートクラウドの仕組みを利用したプライベートクラウド版SONRは、自社専用のサーバーで運用するためセキュリティも高く、業務に合わせたオリジナル機能が追加できるなど、独自プラットフォームが構築できるパッケージとなっています。
このプライベートクラウド版SONRには、次の5つの特徴があります。
- 自社独自のコミュニケーションインフラを自由に構築できる
- 企業のニーズに合わせた機能を追加
- 既存ツールと連携が可能
- スマホアプリで外出先からアクセス
「自社のセキュリティ要件に合わせた運用がしたい」
「すべてのメッセージログを自社のサーバーで管理したい」
「クラウドに関する知識があまりないため具体的なアドバイスがほしい」
このようにお考えでしたら、まずはSONRにご相談ください。クラウドのプロによるアドバイスやサポートで、お悩みや課題点を解決することができます。