記事FV情シス

情シスで行うべきセキュリティ対策とは?課題とその解決方法について紹介

2024/02/21 更新

情シスに求められている重要な仕事の1にセキュリティ対策があります。近年、業務のIT化とリモートワークの増加で、企業は情報漏洩・サーバー攻撃・不正アクセスなどの危険にさらされやすくなりました。

しかし、情シスがセキュリティ対策を行うにはさまざまな課題があるのが事実です。この記事では、情シスが行うべきセキュリティ対策と課題について解説します。ぜひ参考にしてください。

情シスが抱えるセキュリティ問題

情シスの職員はITに関して広く深い知識を持っています。しかし、情シスは慢性的に人手不足なうえ毎日の業務で手一杯です。サイバー攻撃やコンピューターウイルスが年々高度化・複雑化する中、新しい知識を身に着ける余裕もなく、情シスが十分なセキュリティ対策をしきれない企業もたくさんあります。

情シスのセキュリティ対策が不十分になって起こるのは、情報漏洩やネットバンクへの不正送金などが挙げられます。どれも企業にとって重大な問題ばかりです。情シスが十分な対策を実施するには、十分な人員配置と予算が求められます。

セキュリティ対策を怠ることによるリスク

情シスが主にセキュリティ対策の対象とするものは、ウイルス感染や不正アクセス・ランサムウェア・人的ミスによる外部漏洩の3点です。項目ごとに解説します。

ウイルス感染・不正アクセス

ウイルス感染とは、マルウェアと呼ばれるプログラムがパソコン等のシステムやシステムに取り付くことです。取り付いたマルウェアは増殖し、パソコンの使用者が意図しない動作を行います。メールやサイトの閲覧で感染するうえ拡散しやすいのも特徴です。近年はEmotetのような感染力・拡散力ともに高い不正プログラムも増えています。

不正アクセスとは、アクセス権限のない他人がIDやパスワードを勝手に使用し、端末やシステムにログインすることです。大切な情報を盗まれたり、サーバーやシステムがダウンしたりするなど重大な被害を及ぼします。

ランサムウェア

ランサムウェアは、英語で身代金を意味するランサムとソフトウエアを組み合わせて生まれた言葉です。マルウェアの一種で、不正な手段でお金を請求をされます。2020年には企業などの組織を脅かした脅威の第1位に挙げられました。

ランサムウェアに感染すると、パソコンなどがロックされたり使えなくなったりすると同時に、お金を払えば元に戻せる旨のメッセージが表示されます。しかし、要求に応じても端末やシステムが復旧する保証はありません。

人的ミスによる外部漏洩

情報漏洩の原因は、情報機器の紛失・置き忘れ・誤操作などの人為的ミスが半分以上を占めています。近年はリモートワークが増加したため、企業の外部に持ち出される端末の数が増えたのも一因です。

端末の置き忘れ・紛失・盗難に対して情シス部ができるセキュリティ対策は、端末にパスワードや指紋認証など強いロックを設定して、第3者のアクセスを防ぐ程度に限られます。誤操作による情報漏洩については、研修などで全職員のセキュリティ対策への意識を高めるのが有効です。

情シスが行うべきセキュリティ対策

企業内では情シス部だからこそできるセキュリティ対策がたくさんあります。具体的にするべきことは、パスワードの管理・アクセス制限の設定・セキュリティソフト導入の3点です。それぞれ解説します。

パスワード管理を行う

情シス部の職員は、企業内のサーバーやシステムのIDやパスワードが流出しないよう、徹底的に管理しましょう。IDやパスワードの流出は不正アクセスの原因です。IDやパスワードを作成する際は、他人が推測しにくいよう以下の4点を守ってください。

  • 大文字・小文字・数字などを組み合わせて文字列を作る
  • 名前や電話番号など個人情報にかかわる数字や言葉を使わない
  • 10文字以上の文字列にする
  • 同じ文字や数字を連ねない

パスワードは時々変更するようにしましょう。情シス部から他部署の職員にパスワードの管理を徹底するよう周知するのも大切です。

アクセス制限をする

情シス部は無関係の方が企業のシステムなどにアクセスしないよう、アクセス制限を設定しておくようにしましょう。社内パソコンで閲覧できるサイト・ダウンロードできるアプリやソフトに制限をかけておくと、ウイルス感染のリスクが下がります。

セキュリティソフトを導入する

セキュリティソフトは、パソコンのウィルス感染や不正アクセスを防ぐのにもっとも一般的で有効な方法です。社内のパソコンにはもちろん、在宅ワークで使っている私用のパソコンにも導入しましょう。

セキュリティソフトは世界中のコンピューターウィルスを探し、種類を特定します。最新のウィルスに対応できるよう、セキュリティソフト・OS・アプリ・仕事で使っているソフトは常に最新版であるかチェックしてください。

情シスが社員に徹底させるべきセキュリティ対策

企業のITセキュリティ対策は、全職員で取り組むべきことです。情シス部から全職員に徹底を促すべきセキュリティ対策を4つ解説します。

不審なメールを開かない

知らないアドレスから届いたメール・心当たりのないメールは絶対に開かないよう呼び掛けてください。近年はメールから感染するコンピュータウィルスが増えています。メールを開く前には、送信者や件名を確認したうえで開くようにする習慣付けが大切です。

近年は非常に精巧な作りのウイルスメールが増えています。よりよいセキュリティ対策をするなら、ウイルスメール対策ソフトを導入し、届いたメールを監視できる仕組みを作るのがおすすめです。

クリアデスクを徹底する

クリアデスクとは、業務終了後にデスク上の書類やパソコンなど大切な情報が入ったものを片付けて、きれいな状態にしてから退勤することです。パソコン・タブレット・書類・USBメモリなどは鍵付きの引き出しなどに片付けましょう。

一時的に離籍するときは、パソコンにロックをかけるなどの対策がおすすめです。クリアデスクを徹底すると、社内でも一部の職員しか知らない情報を流出させたり、悪意ある社員が大切な情報を盗み出したりするトラブルも防げます。

重要情報の持ち出しは最小限にする

社内にあるパソコンなどの機器を持ち出すのは、必要最小限にするよう呼びかけましょう。情シス部は持ち出しについてのルールを決め、機器のパスワード設定を徹底して行うようにしてください。

IT機器の持ち出しでよくあるトラブルは、USBメモリなどコンパクトな機器の紛失です。コンパクトな機器を持ち出す際は、保存しているデータを暗号化する、機器本体にストラップを付けるなどの対策をしてください。

デバイスを廃棄する際はデータを完全消去する

パソコンなど、企業の大切な情報が入ったデバイスを廃棄する際は、保存したデータを完全に消去してください。データの消去方法にはハードディスクを取り出して物理的に破壊する・データ抹消ツールを使って削除する・データ消去業者に依頼する等があります。

ディスクは、カッターナイフでディスクの表面を傷付けてから廃棄する・シュレッダーで裁断するのいずれかの方法がおすすめです。

情シス部はあらかじめデバイス廃棄についてのルールを作り、全職員に周知しておきましょう。

情シスのセキュリティ対策でよくある問題

企業内のITセキュリティ対策を情シス部だけで対応するのが厳しい会社がたくさんあります。多くの企業が抱えている問題は以下で解説する3点です。

知識不足・技術不足により適切に対処できない

情シス職員は毎日激務の企業が多いので、新しい知識や技術を身に着ける機会になかなか恵まれないのが事実です。情シス部がない中小企業では、他職員より少しITに詳しい程度の方を担当者にしてしまっているところがたくさんあります。

ネットワークやシステムなどに疎い方をIT専門員にしてしまうと、トラブルに対応したり社内のIT設備について相談したりできなくなり、セキュリティ対策が不十分になるだけでなく、企業全体の業務が非効率になる事態も招きかねません。

人手が不足している

情シス部はたとえ部署として設置されていても、多くの企業が人員不足になっているのが事実です。経営陣には仕事のIT化に理解のない方が多いので予算を割いてもらえず、費用不足でもあります。

企業によって内容は異なりますが、情シス部の1人1人が担う業務は膨大です。人員が少ないとセキュリティ対策にまで手が回らない原因には、人員と費用の両方が足りない点も挙げられます。

社内に相談相手がいない

情シス部は少人数で回っている部署です。仕事の専門性が高いので、社内の業務について相談したり自分の考えや意見を理解してくれる相手が少ない点もよく問題として挙げられます。

相談できる相手が少ないとセキュリティトラブルなどが起きたとき、情シス職員は1人で悩みを抱えたまま業務を続けざるを得なくなり、メンタルヘルス上よくありません。また、自分の意見や考えの理解者が少ないと、経営陣にセキュリティ対策の重要性を訴えても理解されず、非承認にされが地にになってしまいます。

情シスのセキュリティ対策に関する課題の解決方法

情シスのセキュリティ対策にはたくさんの課題がありますが、解決する方法もあります。おすすめの方法を3つ紹介するので、悩んでおられる方はぜひ参考にしてください。

ルールを明確化する

情シスのセキュリティ対策問題を解決する方法の1つには、情シスからセキュリティに関するルールの明確化が挙げられます。特に、以下の3点は徹底してルール化し、全職員にしっかり周知しましょう。

  • IDやパスワードの管理方法
  • システムなどへのアクセス制限
  • 私有機器の使用・持ち込み制限

ルールを明確化するだけでなく、全職員にセキュリティ対策の重要性を理解させ、ルールを守りやすい環境を作るのも大切です。

サイバーセキュリティ教育を行う

企業内の全職員にセキュリティ対策の重要性を理解し、正しく実行してもらうには、サイバーセキュリティ教育が有効です。社内で研修などを実施するのが難しい場合は、外部の会社に研修を依頼したり、eラーニングを活用したりしましょう。

アウトソーシングを活用する

企業内に情シス部の人材を十分に配置できない、十分な知識や技術を持つ職員がいない場合は、アウトソーシングを活用しましょう。高度な人材をそろえている専門業者に依頼すれば、IT関連のさまざまなトラブルへの対応を迅速にしてくれます。

アウトソーシングはコストの面でも企業にとってお得です。情シス部がある企業でもアウトソーシングを利用すると、情シス部職員を増員しなくても仕事の負担が軽減するうえに相談相手もできて、快適な仕事環境を整えられます。

企業のセキュリティ対策は情シスを中心に全職員で取り組もう

情シス部の業務でセキュリティ対策のウェイトは大きくなる一方です。情シス部は少ない人員と予算で回っているので毎日激務ですが、この記事で紹介したような方法を実行すれば、セキュリティ対策に関する負担を減らせます。

企業のセキュリティ対策は、企業内の全職員が意識し行うべきものです。情シス部からは全職員に明確なルールとセキュリティ対策の重要性を周知しておきましょう。予期しないアクシデントを回避できるだけでなく、企業全体の業務がスムーズになる可能性が高くなるかもしれません。

著者画像

株式会社WARC

向井 達也

レバレジーズに入社し、IT領域を中心とした人材紹介事業に従事。その後ベンチャー企業の紹介事業においてグロースフェーズに携わり、2020年WARC入社。現時点でのキャリアやスキルを掘り下げ、潜在的な希望を引き出すキャリアアドバイスを心がける。ベンチャー、スタートアップにおける情報システム部門に強みを持ち、国家資格キャリアコンサルタントを保有。