顧客情報に営業データ、社外秘の情報・・・。社内には外に漏れてはいけない情報がたくさんあります。
しかしながら、セキュリティ対策対策が万全か?と言えば、あまり自信のない経営者の方も多いのではないでしょうか?
今回はそんな「情報セキュリティ対策」について、
- 社内でどんな取り組みをしていけばいいのか?
- 情報漏洩を防げる通信環境はどう作るのか?
詳しくお伝えしていきます。
あなたの会社のセキュリティ対策が今どこまで整っているのか?一緒に確認していきましょう。
ウイルス感染や情報漏洩を防ぐ!5つのセキュリティ対策
次の5つの項目は、会社のパソコンやネットワーク回線の不正利用や、コンピューターウイルスなどによる情報漏洩を防ぐために整えておきたい基本のセキュリティ対策です。
あなたの会社では整っていますか?
- OSやアプリケーションの定期的なアップデート
- 社内の通信機器全台にセキュリティソフトを導入
- 社内のネットワークを外部の攻撃から守るUTMの導入
- 重要情報のバックアップ体制を整える
- 全社員のセキュリティ意識を上げる
それぞれどのような対策か、具体的に説明していきますね。
【対策①】OSやアプリケーションのアップデートは定期的に!
社内で使っているパソコンのOS(Windowsなど)やアプリケーションは、定期的にアップデートをかけて最新の状態にしておきましょう。
WindowsなどのOSや、業務で使うアプリケーションをアップデートする理由は、攻撃を受けやすい「プログラムの穴」を埋めるためです。
これらは全てプログラムで作られているわけですが、人の手で作った以上、多くの場合「穴」があります。(”脆弱性”や”バグ”とも言います)
この穴が、ウイルスをばらまいたり重要データを抜き取ったりする側にとっては、格好の攻撃ポイントとなるのです。
OSやアプリケーションの修正アップデート版(プログラムの穴を埋めたもの)は、定期的にリリースされます。
社内のパソコンだし・・・(私用のパソコンではないし)と油断せず、こまめに更新をしておきましょう!
【対策②】セキュリティソフトで端末を守る!
家庭用のパソコンでも導入が進んでいるセキュリティソフトですが、会社で使用する端末にももちろん必要です。
セキュリティソフトを社内で使うパソコンやタブレット、スマホなどに導入すると、
- ウイルスやフィッシング詐欺(偽の入力フォームなどからIDやパスワードなどを盗む行為)が仕組まれているWEBサイト
- ランサムウェア(重要なデータを使用不能にするプログラムを侵入させ、解除のために金銭を要求してくる行為)
- スパイウェア(ソフトのインストールなどに紛れて端末内に侵入し、重要データを盗む行為)
など
これらをブロックしたり、端末内に侵入した際に駆除することができます。
ただし侵入を許した後の駆除なので、セキュリティソフトだけでは100%完全な対策とは言えません。顧客データや機密情報などを扱う会社であれば、次の章以降で説明する対策もプラスで必要です!
法人向けのセキュリティソフトであれば、複数台数の一括設定・社内全体の端末の一括管理ができる場合が多く、使い勝手が良いです。
業務に関係のないWEBサイトの種類に閲覧制限をかけたり、特定の外部ストレージ(USBなど)のみしかパソコンに繋げないようにしたりと、ソフトの機能を使って社内の端末のセキュリティ性を高められます。
【対策③】UTM導入で社内のネットワークを守る!
UTMとは「Unified Threat Management」の略称で、日本語に訳すと「統合脅威管理」です。
その名の通り、1台であらゆる脅威に対応できるセキュリティ機器のことを指します。
このUTMを取り付けることで、会社全体のネットワークを守ることができます。
前の章で説明したセキュリティソフトは、パソコンなどの端末そのものを守るためのものです。UTMは、端末同士を繋いでいる社内ネットワーク(LAN)を脅威から守ります。
そうすることで、データをネットワーク上でやりとりしている最中に抜き取られるのを防ぐのです。
インターネットを介して会社のネットワークに侵入する手口は年々巧妙化しています。代表的なものを挙げると・・・
【スパイウェア】
メール添付・フリーソフトと一緒にインストール・WEBサイトからのインストール誘導などさまざまな経路で潜り込み、顧客情報などを抜き取る手口。
【ボットネット】
「ボット」と呼ばれるプログラムをインターネット経由で端末に感染させ、外部からのコントロールを可能にする手口。セキュリティソフトが対策できない場合がある。
【トロイの木馬】
一見問題のないソフトと見せかけダウンロードさせる・メール添付・社内ネットワークへの不正アクセスなどで侵入。一定の時間をおいた後に端末のデータを消去したり、外部に転送したりする攻撃。
【フィッシング】
本物そっくりの偽サイトや偽メールを装い、パスワードやIDを盗み取る手口。法人口座の情報などを狙う。
【不正アクセス】
セキュリティ設定のない無線LANから侵入したり、端末のパスワードを解析して侵入したりする手口。端末内の情報の破壊や盗み見、ウイルス感染、インターネット回線の不正利用などがおこなわれる。
【コンピュータウイルス】
ウイルス付きメール・感染したWEBサイトの閲覧・感染した記録媒体(USBやCD、DVDなど)・セキュリティ性の低いネットワーク経由などから侵入。端末内の情報の破壊や漏洩などを引き起こした後に、別の端末に感染する。
【スパムメール】
不必要な広告メールなどが大量に送られてくること。
【DoS攻撃】
セキュリティ性の低いネットワークに対し、大量のデータを送信。端末やサーバーの動きを止めて企業活動を妨害する攻撃。
【ファイル共有ソフトからの情報漏洩】
インターネット上でファイルを共有できるソフト(P2Pソフト)にウイルスを紛れ込ませ、ファイルと一緒に端末にダウンロードさせる。その後ウイルスが勝手に端末内の情報を流出させる仕組み。
このように、会社のネットワークとインターネットとの間には、実は数々の危険が潜んでいるのです。
UTMは上に挙げたさまざまな攻撃に対して、1台で対応ができる機器です。
従来ならば「アンチウイルス用の機器」「WEBフィルタリング用の機器」「不正アクセスブロック用の機器(ファイアウォール)」などと分けて設置しなければならなかったのを、オールインワンにしています。
そのため設置のための費用や工数が減りますし、管理運用の手間も少なくて済みます。
会社のネットワークとインターネットの間に関所のようにしてUTMを挟めば、外部から社内ネットワークに侵入される危険性を最小限にすることができます。
【対策④】ファイルサーバーで情報のバックアップを!
会社の情報セキュリティに関して意外と多いのが、
- パソコン内のデータを誤って上書きや削除をしてしまった
- パソコンが壊れてしまってデータが取り出せない
- データを入れておいたUSBを紛失してしまった
などといった「バラバラの場所で情報を管理しているが故のトラブル」です。
重要なデータの保存先が各従業員のパソコンやUSBなどに散らばっていると、上記のように紛失のリスクが高まります。
このようなデータの紛失リスクを減らすには、ファイルサーバーを導入し、その中に情報をまとめて保管しておきます。さらにバックアップも取っておきます。
ファイルサーバーに保管されたデータには、「アクセスできる人」「閲覧のみできる人」「閲覧と編集ができる人」と言ったように、社員のレベルに合わせて細かい制限を設けることができます。
また、誰がどのデータにアクセスしたか?の記録も残りますので、社員の情報管理に対する意識向上にも役立ちます。
重要データの保存をセキュリティ性の高いファイルサーバーに統一することで、うっかりが原因の情報紛失を防ぐことができます。
【対策⑤】最も重要なのは・・・?
セキュリティソフトやUTM、ファイルサーバーの運用など、会社の重要データを守るための設備は欠かせません。
ですが、それよりもさらに重要なことは「社員ひとりひとりのセキュリティ意識を高めること」です。
会社の信用を奈落の底に落としてしまう情報漏洩の多くは、「ほんの少しの油断・ほんの少しの知識不足」から起こります。
例えばあなたの会社では、次のような項目に対してきちんと社内規定やチェック体制が整っていますでしょうか?
- パソコンのログインパスワードは設定されているか?
- 各種パスワードは簡単すぎるものではないか?
- 公共の場でむやみに社内データを閲覧していないか?
- 業務に関係のないWEBサイトを閲覧していないか?
- 許可なくフリーソフトをダウンロードしていないか?
- メールの送り先は間違えないように確認しているか?
- 送り主不明のメールに付いているファイルやURLをクリックしていないか?
- 社外に持ち出した端末はなくさないように保管場所を決めているか?
- 許可されていない記録媒体(USBなど)を使っていないか?
- 私用の端末に勝手にデータを送っていないか?
「細かいことを決めなくても、うちは多分大丈夫」という油断が、大切な顧客データや営業情報の漏洩に繋がります。
もしも、あなたの会社で保管している個人情報が漏洩したらどうなると思いますか?
損害賠償・ハッキングされて壊れたデータや機器の復旧・社会的信用の損失・営業停止・売上の減少・・・
セキュリティ対策が甘かっただけで、これだけのダメージを負います。事が起きてから慌てて対処しても遅いのです。
まずは、少し油断しただけでこんな未来に向かう可能性が高いということを、全社員が理解する必要があります。
そして、各通信端末の管理方法やデータの扱い方について、統一した規定を作成。会社のセキュリティ対策は社員1人1人が担っているという意識付けをおこなっていきましょう。
端末の適切な管理やデータの扱い方について、具体的にどんな規定を作っていけばいいのか?
社員へどう意識付けをしていけばいいのか?
もしも通信に詳しい人材がおらず不安な場合は、弊社までご相談ください。
毎月1万5千円~3万円でできる社内全体のセキュリティ対策や、社員への意識付けのポイントなどをアドバイスいたします。
まとめ
個人情報が含まれた顧客データや極秘のマーケティングデータ、販促用の営業マニュアルデータ・・・などなど、会社の資産とも言える情報はたくさんあります。
資産(価値のあるもの)だということは、同時に狙われる可能性も高いことを意味します。
毎日の業務に追われて、ついつい後回しにしがちな情報セキュリティ対策ですが、何かあってからでは遅いです。
大切な社内データは野ざらしの状態にせず、きちんと安全性を確保した環境で守っていきましょう!