企業が行うべき情報セキュリティ対策

企業は個人に比べ、万が一トラブルに巻き込まれた場合、従業員の個人情報や社内の機密事項が漏れると、従業員だけでなく顧客や場合によっては社会に影響を与える可能性があるため、より強固なセキュリティ対策が必要であると前回の「【情報セキュリティ】知らなかったじゃ済まされない！？企業のセキュリティ対策とは」にて解説をしました。

今回は、具体的な対応方法とリスクについて、以下の10項目ごとに解説していきます。

• パスワードを安全に管理する
• ソフトウェアのアップデートを怠らない
• ウイルス対策を行う
• 電子メールを不用意に開封しない
• Webブラウザの設定を見直す
• 安全な無線LANを利用する
• ハードウェアを適切に処理する
• テレワーク時の端末の利用ルールを徹底する
• メディアの持ち運びに関するルールを徹底する
• クラウドサービスは注意を払って利用する

パスワードを安全に管理する

企業におけるパスワードは、機密事項や従業員の個人情報を守るために重要です。外部からの不正アクセスを防ぐためには、わかりにくいパスワードを作成し、他人の目に触れない方法で保管しましょう。

例えば、規則性がなく文章にならないような複数の単語をつなげたり、数字を挟んだりしたものは、外部からわかりにくいです。管理方法はツールやサービスを利用すると、失くしたり忘れたりするリスクを防げます。またパスワードは使い回さずに1つずつ用意すると、セキュリティを強化できます。

ソフトウェアのアップデートを怠らない

ソフトウェアのアップデートはこまめに行いましょう。ソフトウェアが古くなると、脆弱性と呼ばれる不具合が起こります。メーカーからの通知を無視していると、サイバー攻撃を受けるリスクが上がり、最悪の場合は機器の買い替えが必要になります。

会社や組織の場合、サイバー攻撃を受けると仕事が進まなくなるなどのリスクがあります。また複数のパソコンが使えなくなってしまうと、買い替えコストもかかり余計な費用も必要になります。

ウイルス対策を行う

企業の場合は、個人よりも強固なウイルス対策が必要です。ソフトウェアの更新や対策ソフトの導入に加えて、怪しいメールが届いた場合は、管理部門に連絡しましょう。

万が一ウイルスに感染してしまったら、パソコンのLANケーブルを抜く、無線LANのスイッチを切るなどの対応が必要です。まずは社内のネットワークから、自分のパソコンを切り離すのが大切です。そして必ず社内の管理部門や管理会社などに連絡してください。

ウイルスに感染したままネットワークにつなげていると、企業全体のネットワーク機器に蔓延させてしまう可能性があります。

電子メールを不用意に開封しない

企業のアドレスには、さまざまなメールが届くでしょう。しかし不用意に開封するのは、避けたほうが無難です。近年、ソーシャルエンジニアリングによる被害が急増しています。

ソーシャルエンジニアリングとは、ネットワークに侵入するためのパスワードなどを、情報通信技術を使用せずに盗み出す方法です。具体的には、電話や画面越しに情報を盗み出します。

最近では特定の組織を狙った標的型攻撃メールで、業務に関する内容を装うなどの手法も増えています。標的型攻撃メールとは、対象組織から情報を盗むことを目的とし、被害者に開封するように促したウイルス付きメールを指します。

怪しいメールが届いた場合は、開封せずに上長や情報システムの担当者などに相談しましょう。

Webブラウザの設定を見直す

インターネット上にはさまざまなホームページが存在します。しかし中にはアクセスしただけで、コンピューターシステムが壊れたり、ウイルスに感染したりするものもあります。

対策として、Webブラウザを最新の状態に更新しておくのがポイントです。ウイルス対策ソフトを利用するのもよいでしょう。 またWebブラウザの設定の見直しも大切です。

JavaScriptの実行時に警告を出すようにする、信頼できるWebサイト以外では実行させないなどの対策が有効です。

安全な無線LANを利用する

近年では企業や組織でも、無線LANの導入が進んでいます。また駅やレストランなどの公共の場でも、無線LANを利用できる場所は多いです。そのため、リモートワークなどでオフィスや自宅以外の場所で仕事のパソコンやスマートフォンを使用する従業員もいるでしょう。

しかし、無線LANは電波を利用する通信という性質上、他人に情報を盗まれる危険があります。また公共無線LANの場合は、悪意を持つ第三者が設置している可能性も考えられます。無線LANを利用する際は、必ず安全性を確認しましょう。

ハードウェアを適切に処理する

パソコンやスマートフォンを処分する際は、データを取り出せない状態で捨てるのがポイントです。データを残したまま処分すると、他人に情報を抜き取られる可能性があります。画面上では消えていても、本体にデータが残っていると、特殊なソフトで復元されてしまうケースも存在します。

• データ消去用のソフトウェアを利用する
• データ消去サービスを利用する
• 暗号化消去をする

上記を使用して、必ずハードウェアのデータを消去してから処理をしましょう。

テレワーク時の端末の利用ルールを徹底する

テレワークでは、端末の使用ルールをきちんと決めるのがおすすめです。パソコンを電車に置き忘れる、外出先でインターネットにアクセスしてウイルスに感染するなどの事例が、多数報告されています。

具体的には、以下のようなルールを定めましょう。

• 持ち運ぶ必要のない機密事項や個人情報を保存しない
• ログインパスワードは複雑なものにする
• ハードディスクを暗号化する
• ソフトウェアの更新やウイルス対策ソフトを導入する
• 端末が入ったかばんを電車の網棚などに置かない
• 端末にパスワードを書いたメモを貼らない

ただし外部に端末を持ち出す以上、情報セキュリティ上のリスクがあることは覚えておきましょう。

メディアの持ち運びに関するルールを徹底する

メディアとは、USBや外付けHDDなどを指します。小さいのでパソコンよりも紛失しやすく、情報漏洩のリスクが高いです。

テレワークと同様に、ルールを決めるのがおすすめです。

• 持ち運ぶ必要のない機密事項や個人情報を保存しない
• セキュリティ機能つきのUSBメモリや外付けHDDを利用する
• ファイルを開く前はウイルスチェックを行う
• 私物のUSBメモリは使用しない

基本的に持ち出すのは控え、やむを得ないときは注意して管理しましょう。

クラウドサービスは注意を払って利用する

近年、クラウドサービスにデータを保管する企業や組織が増えています。しかしアカウント情報の管理不足などが原因で、不正アクセスによる情報漏洩の被害報告が挙がっているのも事実です。

パスワードは厳重に保管し、限られた人だけが閲覧できるような仕組みを整えるのがポイントです。万が一クラウドのデータが飛んでしまった場合を考え、バックアップを取っておくと安心でしょう。

最適な情報セキュリティ対策がご提案可能です！

ここまでの中で、具体的な対策方法はわかったがどのように実行に移したらいいかわからないと不安に思っている方も多いのではないでしょうか？

名古屋ITサポートならお客様の内容や事業規模をヒアリングし、それぞれのお客様に合わせた最適なセキュリティ対策のご指導、ご提案が可能です。中小零細企業を得意とする名古屋ITサポートに安心してご用命ください。

「何か対策しなきゃいけないけど、何が何だかわからない！」そんなお悩みでも結構です。「丸投げどんとこい」でご相談をお待ちしております！

まずはお気軽に名古屋ITサポート株式会社へお問い合わせください。