中小・小規模企業のセキュリティ対策については多くの課題が山積しています。そんな状況下では、「何から着手したらいいのか分からない・・・」という経営者が多いのではないでしょうか。
「よく分からないから今はいいや」「もう少し勉強してから対策を考える」といった意見も多くあります。
経営者の皆さまには、情報セキュリティに対する意識を高めていただきたいということをここでは強くお伝えしておきます。
とはいえ、中小企業の実務においては使えるリソースが限られているのが現状なのではないでしょうか。
そこで、今回は中小・小規模企業の情報セキュリティ対策において”やるべきこと”と”やらないこと”を整理しながら『必須項目5つ』をお伝えします。何はともあれ、これをやらないことには始まりませんので、チェックしていきましょう。
目次
パソコン端末のセキュリティ対策
まずは、ご自身で使用しているパソコン端末のセキュリティ対策についてです。
普段、使用しているパソコンの対策を疎かにしてはいけません。
OSや各ソフトウェアの最新化
もうこれは定番中の定番になります。
普段から、使用しているOSやソフトウェアは常に最新の状態を保つようにしましょう。OSなどのソフトウェアは、毎月第2火曜日(水曜日)に更新プログラムが提供されます。これに合わせて、各種ソフトを最新化するように意識しておくといいでしょう。最初の内は、カレンダーや予定表などに記載しながら意識をしておくことで習慣化されます。
アンチウイルスソフトの導入
お使いのパソコンにはアンチウイルスソフトは入っていますか。もし導入していなければ何かしらのソフトを導入するようにしましょう。
MacOSをお使いの場合、一昔前はAntiVirusソフトを導入する必要がないと言われていましたが、ここ最近では、Macユーザも増えてきていてMacユーザを標的にした攻撃も増えてきています。ですので、何かしらの対策をするようにしましょう。
Windowsの場合も同様ですが、標準で導入されているWindowsDefenderを上手に使うことで、精度の高い対策をすることも可能です。ただ、これに関しては、細かな設定をすることで精度を高めていく仕組みとなっています。面倒な方や設定に自信がないかたは、外部のサービスを導入することをオススメします。
覗き見防止用のフィルム
アナログな対策ですが、「覗き見防止用のフィルム」を貼ることも重要なセキュリティ対策の1つになります。
最近では、喫茶店やコワーキングスペース等で働く方が増えてきています。テレワークやリモートワークの普及によって、重要なデータやメールなどが背後から覗き見されるシーンが増えてきました。
これを「ショルダーハッキング」といいますが、PCモニターの後方から覗き見されたり、写真に写ってしまったりしたら大問題に繋がる可能性があります。そういった”事故”を防ぐためにも、覗き見防止用フィルムを貼るなどして対策をとるようにしましょう。
値段も2-3,000円程度とそこまで高くありませんので、ぜひ導入することをオススメします。
パスワードの強化
ネット系のサービスや各種クラウドサービスの普及により、インターネット環境さえあれば、どこでもサービスが利用できるようになりました。
いつでもどこでも利用できる反面、セキュリティ対策の強化を怠ると一発で情報漏えいにつながる可能性があります。パスワード関連の強化はしておきたいところです。
パスワードを複雑にする
パスワードを第三者に推測されにくいものにするために、複雑にすることをおすすめします。
具体的には、「長さ」と「文字種の多さ」を掛け合わすことです。
長さを8文字以上にしたり、使う文字を数字やアルファベットだけでなく、記号や大文字などを織り交ぜることを要件にすることで、強化できます。
また、辞書に載っているような単語や規則性の高い数字羅列、誕生日や電話番号などの個人を特定しやすいもの、簡単に見破られてしまいますので、絶対に避けるべきでしょう。
2段階認証の利用
サービスによっては、「2段階認証機能」がついているものもあります。
例えば、G Suiteなどの先進的なクラウドサービスでは、ログイン機能に2段階認証機能がついていて、それを有効にすることで、登録した携帯電話にSMSで送られてくる認証コードによってログインできるようになります。
これは、仮にパスワードが漏洩したとしても、登録した携帯電話を持っていない限り、ログインできないためセキュリティ上かなり安全になります。
ただし、2段階認証機能をONにすることで、かなり面倒にはなってしまいますので、業務効率と天秤にかけながら対策をしていく必要があるでしょう。
セキュリティ対策と業務効率はトレードオフなのです。
情報の管理方法
情報管理のしかたについても普段から徹底しておくことが大切です。これにより、情報が消えていたり、動かされていた場合においても早期発見ができ、対処がしやすくなります。
サーバのアクセス制限
社内やクラウド上の共有ファイル設定に関して、適切なアクセス制限はかけていますか?
権限に応じて、閲覧可能なファイルやフォルダを設定することは、業務上だけに限らず、セキュリティ上も非常に有効です。
情報漏えいは、データの漏洩だけとは限りません。閲覧する権限のない情報を見ることで、噂やSNSなどで公開してしまい問題になるケースが後を絶ちません。
そういった、情報漏えい被害を防ぐためにもアクセス権限は適切に設定するようにしましょう。
データの管理方法
アクセス権限に限らず、データの管理方法も重要です。
普段からデータの管理方法に関して、画一的なルールを設けていることで、どこに何があるのかを把握しやすくなります。
これにより、情報を見つけやすくなるだけではなく、消えていたり、不自然な動きがあった際に早期発見ができます。
情報を扱いやすくすることも、重要なセキュリティ対策になります。
例えば、ファイル名を「yymmdd_プロジェクト名_ファイル名」にするなどルール化するようにしておくとよいでしょう。
一人ひとりの意識強化
最期になりますが、様々な仕組みやルールを導入しても、最終的に実行するのは従業員や役員など「人」になります。
一人ひとりが、「なぜセキュリティ対策をするのか」をきちんと理解していなければ全く意味がなく、ただ単に、業務効率を下げてしまう、面倒くさいものとして扱われます。
一度や二度、インシデントが発生すると、社内のセキュリティ意識は一気に向上するのですが、問題が発生してからでは遅いのです。
一人ひとりの意識を強化するために、月に1回程度の勉強会の実施や、ペネトレーションテストを実施することで、セキュリティ対策をより身近に感じる機会を増やすことが重要だと考えています。