セキュリティ対策といえば、ウイルス対策ソフトの導入や、ログ監視ツールなどセキュリティ関連ツールを入れないといけないと思ってしまいがちです。
ただ、ツールの導入となるとコストがかかる問題であり、そう簡単に決められることではないですよね。

そこで今回は、コストをかけずに今すぐ始められるセキュリティ対策を紹介したいと思います。

1.　アクセス権限の整理をする

皆さんは電子データや紙媒体をどのように管理しているでしょうか。
例えば紙媒体であれば、鍵付きキャビネットに入れて必要最低限しかアクセスできないように管理している組織もあれば、特に鍵などない普通の棚に保管している場合もあるかもしれません。
この項目では、「アクセス権限整理の効果」「紙媒体のアクセス権限整理法」「電子データのアクセス権限整理法」について紹介したいと思います。

Ⅰ.　アクセス権限整理の効果

最も大きな効果は、「不正・不要なアクセスを防ぐことができる」ということです。
アクセス権限を曖昧にしていると、業務上関係ない人までもが情報に触れることができます。
結果として、不正アクセスさせてしまう間口を広げてしまったり、不要なアクセスが認可されることで誤って編集・削除されるといった業務ミスを誘発してしまったりするかもしれません。
アクセス権限を整理することは、不正やアクション・悪意のない業務ミスの両面を防止することに役立ちます。

Ⅱ.　紙媒体のアクセス権限整理法

紙媒体の場合は、重要度やアクセスできる必要のある人数に応じて、管理法を変えることをお奨めします。
例えば、以下のような管理方法が挙げられます。

• 特定の人以外触れる必要のない機密情報：専用キャビネットで施錠管理+鍵も担当者のみ開錠可能
• 部署横断的に触れる必要のある情報：会社の鍵付きキャビネットで施錠管理+鍵は借りることができるようにする
• 誰が触れても問題がないパンフレットなど：鍵なども特にない棚に置いておく

Ⅲ.　電子データのアクセス権限整理法

電子データの場合は、とにかく「業務上必要最低限の人のみに権限を付与する」ことを意識していただきたいです。+αで「管理者」「編集者」「閲覧者」のように複数段階の権限管理ができると、より効果的なアクセス権限の設定を行うことができます。
例えば、以下のような管理方法が挙げられます。

• 部署ごとにグループ分けして、必要なフォルダに部署単位でアクセス権限の付与・管理を行う
• 情報共有したいものは、編集の必要がある人のみ編集権限を与えて、それ以外の人は閲覧のみ可能にする
• 公開情報の場合でも、むやみやたらと編集権限を与えない（改ざんや誤記などが発生する可能性があるため）

今回は媒体ごとのアクセス権限の管理について簡単にご紹介しましたが、アクセス管理は実はもっと深いテーマでもあります。「アクセス管理でセキュリティレベルを上げる」という記事で、対応方法などを詳細に解説していますので、興味があればぜひご参照いただければと思います。

2.　パスワードルールを策定する

業務において複数のツールを並行して利用している組織は、多いのではないでしょうか。複数ツールを利用するということは、それだけアカウント情報を管理する必要があるということです。
複数のアカウント情報を管理しないといけないとなると、どうしても同じパスワードを使いまわしたり、覚えられるように簡単なパスワードを設定してしまう人も多いのではないでしょうか。

ここでは、「パスワードルール設定の効果」と「パスワードルールの例」を紹介したいと思います。

Ⅰ.　パスワードルール設定の効果

効果としては、「パスワードの解読リスク・不正アクセスリスクに対処できる」ということです。
現在、パスワード解読技術がどんどん発展しており、ある程度のレベルのものであれば簡単に解読することができます。
そこで、組織として最低でもこのレベルのパスワードを作成してくださいというパスワードルールを作ることで、パスワードの質の低下を防ぎ、アカウント情報の解読リスクや、それに伴う不正アクセスリスクに対応できるようにしましょうということになります。

Ⅱ.　パスワードルールの例

パスワードルールの内容としては、以下のようなものが挙げられます。

• 名前や生年月日など個人から推測しやすいものを利用しない
• 辞書に載っているような単語を利用しない
• 英語大文字+英語小文字+数字+記号を混合した10桁以上のパスワードにする
• 同じパスワードは使いまわさない

もちろん上記をできる限り適用し複雑化する方が好ましくはありますが、それだけ管理も煩雑になります。
また、英数字のみでも桁数を増やすと解読は難しくなるといったこともあるため、現状の従業者のパスワード管理状況などを見ながらまずは対応できるレベルを探っていきましょう。
「結局安全なパスワードってどういうものなの？」という記事の中で、パスワードの解読リスクや管理方法についてより詳細に紹介していますので、興味があればぜひご参照いただければと思います。

3.　従業者のセキュリティリテラシーを上げる

ここまでご紹介した二つの方法は、どちらかというと、仕組みとして管理者側がメインとなって行う取り組みでした。それに対し、この取り組みは、従業者自身のセキュリティリテラシーを上げることがセキュリティ対策につながるという考え方です。

ここでは、「従業者のセキュリティリテラシーを上げることによる効果」と「従業者のセキュリティリテラシー向上策の例」を紹介したいと思います。

Ⅰ.　従業者のセキュリティリテラシーを上げることによる効果

実は組織で発生するセキュリティインシデントの中で、従業者のミスなどが原因となる事象が大きな割合を占めています。
（参考：「情報セキュリティの敵は外部の脅威や悪意のある何者かだけではない」）

つまり、従業者の意識を上げるだけで組織のインシデントを抑えられる可能性があることの裏返しとも言えます。
そして、セキュリティリテラシーを上げるための活動自体には、コストをかけずにできる方法が複数あるため、中から一番行いやすい方法を選んで取り組むことも可能です。

Ⅱ.　従業者のセキュリティリテラシー向上策の例

従業者のセキュリティリテラシーを向上させるための方法としては、以下のようなことが挙げられます。

• eラーニングや集合研修などの情報セキュリティ教育を実施する
• 組織のセキュリティルールブックを従業者間で読み合わせを実施し、認識共有を行う
• セキュリティニュースをチャットツールで発信・共有する
• チーム会議や全体会議で各個人が気になったセキュリティニュースを発表する場を設ける

これらの策はすでに導入している場合もあるでしょうし、また、すぐに導入できるものばかりです。
従業者の現状のセキュリティリテラシーに合わせて取り組みを行ってみてはいかがでしょうか。
上記で紹介した情報セキュリティ向上策については「組織の情報セキュリティレベル向上には『従業者のセキュリティリテラシー向上』が鍵！」という記事でより詳細に紹介していますので、興味があればぜひご参照いただければと思います。

まとめ

今回はコストをかけずにできるセキュリティ対策について考えてきました。
ツールや機材の導入はもちろん効果的なセキュリティ対策になりますが、その前に今すぐできることをまず実践してみて、その上で、対処しきれないリスクが見つかった場合に集中的に投資していくことで、より効果的なセキュリティ対策を行っていくことができるのではないでしょうか。