活用テクニック

創業まもないベンチャー企業や中小企業の経営者の方とお話をすると、「セキュリティ対策なんて、うちにはまだ早いでしょう」といったふうに考える方が意外と多いことがわかります。しかし、情報漏えいが起きると大々的に報道され、その結果、倒産・罰金といった事態に陥ることもある昨今、規模が小さい会社でもセキュリティ対策をおこなうに越したことはありません。

規模が小さいときからセキュリティ対策に取り組んでいれば、会社が大きくなったときに慌てて取り組む必要がありませんし、「まだ小さい会社なのに情報セキュリティに対する意識が高いな」と商談の場で相手が好印象を受ける可能性もあります。とはいえ、「セキュリティ対策にはお金がかかる」「忙しくて時間がない」といった理由から、なかなか手が出せない方も多いようです。

そこで以下では、お金をかけずに気軽に始められるセキュリティ対策をいくつかご紹介します。

この記事でわかること

1. お金をかけずに気軽に始められるセキュリティ対策

全部タダ！明日から気軽に始められるセキュリティ対策

では、具体的にどういったセキュリティ対策が存在するのでしょうか。例をいくつか見てみましょう。

セキュリティ対策例

• パスワードの設定ルールを作成
• 電子データや紙データの保管/処分ルールを作成
• 業務で利用できるソフトウェア/Webサービスを取り決め、リスト化
• SNS利用のルールを作成
• 情報漏えい事故発生時の対応をシミュレーション

それぞれの対策について、詳しく説明していきます。

パスワードの設定ルールを作成

パスワード設定に関するルールとして、以前は「8文字以上で設定しましょう」「定期的に変更しましょう」といったものが一般的でした。

しかし、近年は内閣サイバーセキュリティセンター(NISC)が、

• 英大文字小文字、数字、記号混在で10ケタ以上
• 定期変更はおこなわない

を推奨しており、時代の流れとともに安全とされるパスワードのルールは変遷しています。

時代の流れに沿ったパスワードの設定ルールを設け、従業員に周知するだけでも、それは立派なセキュリティ対策です。

また、そもそも「パスワードをメモした付箋がディスプレイに貼られている」「パスワードが1111などの初期設定から変更されていない」というような場合は、「パスワードを誰でも見える場所で管理しない」「パスワードは必ず初期設定のまま使わず、変更する」といったルールを設けるのも良いでしょう。

パスワードに関するルール例

• 英大文字小文字、数字、記号混在で10ケタ以上のパスワードを設定する
• パスワードは紙に書かない
• パスワードをひと目につく場所で保管しない
• 初期パスワードから必ず変更する

電子データや紙データの保管/処分ルールを作成

みなさんの会社では、個人情報が書かれた資料を廃棄する際どうしていますか。シュレッダーにかけたり、専門の業者に引き取ってもらったりしていますか。

個人情報が読める状態で破棄しないようルールを設定し、そのルールが社内で浸透していれば理想的です。

また、資料の保管ルールは決まっていますか。従業員の健康診断の結果、履歴書、お客様との契約書など、大事な情報を机の上に散乱させてはいませんか。

大事な資料はファイリングし、部外者が安易に見ることができないように鍵付きのキャビネットに保管するなど、対策が必要です。

もし机上に書類が散乱しているのであれば、まずは個人情報が書かれている資料と書かれていない資料を仕分けることから始めてみましょう。

電子/紙データの保管ルール例

• 個人情報が記載された資料を捨てる際はシュレッダーにかける
• 机の上は常に整理整頓し、退勤時には机上に資料を残さない
• 資料を机上に置く際は、裏向きにしておく
• 資料はかならずファイリングし、背表紙に中身がわかるラベルを貼る
• 契約書は鍵付きのキャビネットに保管する
• 履歴書はスキャンしてデータで保管する
• ファイルサーバにはフォルダごとに権限設定をおこなう

業務で利用できるソフトウェア/Webサービスを取り決め、リスト化

従業員がそれぞれどういったソフトウェアやWebサービスを利用しているか、把握していますか。

従業員が無断で怪しいサイトからダウンロードしたソフトウェアや、得体のしれないWebサービスを利用した結果、PCがウイルスに感染してしまい、会社の情報が漏えいしてしまう…というような事態になる前に、それぞれの従業員が現在何を利用しているか把握し、必要に応じて利用を止めさせるなど、対応をおこないましょう。

また、利用して良いソフトウェア/Webサービスの一覧(ホワイトリスト)や利用してはいけないソフトウェア/Webサービスの一覧(ブラックリスト)を作成しておくと、従業員が利用するサービスを判断する際に便利です。

SNS利用のルールを作成

従業員が個人のSNSアカウントに企業の機密情報を投稿した結果、情報漏えいが発生し、炎上する事件が相次いでいます。
そのため、SNSの取り扱いルールを定めておくとよいでしょう。

例えば、「オフィス内で撮影した写真は個人のSNSアカウントに投稿しない」「SNSではお客様の会社名や個人名は出さない」といったようなルールが挙げられます。

SNSの利用ルール例

• 業務に関する事柄を投稿しない
• 企業アカウントと個人アカウントを同じデバイスに登録しない
• オフィス内で撮影した写真は投稿しない
• お客様の企業名や個人名は伏せる

情報漏えい事故発生時の対応をシミュレーション

情報漏えいは、対策することで発生する可能性を低減させられますが、ゼロにすることはできません。
そのため、情報漏えいを防ぐための対策だけでなく、情報漏えいが発生した後の対策も練っておきましょう。
なぜなら、情報漏えいが発生した際、直後にどういった対応を取るかどうかで、その後の企業に対する印象や企業が受けるダメージが大きく変わってくるからです。

例えば、自社のWebサイトがサイバー攻撃を受け、お客様の情報(名前、住所、電話番号など)が漏えいしたとします。その際、「直後に漏えいの事実に気づき、Webサイトの閉鎖、警察への届け出、お客様への謝罪をおこなった」場合と、「情報漏えいに気づいたのは1ヶ月後。情報漏えい時の対応方法がわからなかったため、調べながら進めた結果、Webサイトの閉鎖までに1ヶ月、警察への届け出までに2ヶ月、お客様への謝罪に半年がかかった」場合、どちらの方がお客様や第三者から見て印象が良いでしょうか。もちろん、テキパキと適切な対応をおこなった前者の方が良いはずです。

「どういったルートから情報が漏えいする可能性があるのか」「情報漏えいが発生した場合、誰に報告するのか」「どこに届け出る必要があるのか」といったことを事前に調べ、手順化して社内で共有しておくと良いでしょう。

おわりに

以上、あくまで例ではありますが、無料で対応できるセキュリティ対策をご紹介しました。
このほかにもお金をかけずにできることはたくさんありますので、ぜひ少しずつでもご対応いただければと思います。

弊社が提供している「セキュリオ」でも、情報セキュリティ教育特化のeラーニング機能・法令管理機能・委託先管理機能・標的型攻撃メール訓練機能などの多数の機能を無料トライアルでご利用いただけますので、お気軽に無料トライアルをお試しください。