情シスに求められる重要な仕事の1つに、セキュリティ対策があります。近年、企業は情報漏えいやサーバー攻撃、不正アクセスなどの危険にさらされやすくなっており、対策に一層気を配る企業も多いでしょう。しかし、情シスが万全なセキュリティ対策を行うには、対策以前の課題が潜んでいることも事実です。日々の業務が忙しく、「わかっていても時間がない」という状況に目を向ける必要があります。
この記事では、情シスが行うべきセキュリティ対策について述べたうえで、対策を行うにあたっての課題についても解説します。
セキュリティ対策は、データ漏えいやサイバー攻撃から企業の情報資産を守るために重要です。近頃の情報システムは企業運営の中核を担っており、その安全性が直接的に組織へ影響を及ぼします。
適切なセキュリティ対策を施さないと、ハッキング、ランサムウェアなどにより大きな損害を被るため危険です。また、セキュリティシステムを導入しても、人的ミスにより情報が漏えいするケースもあります。
技術的な対策と社員教育の両面から、企業の貴重な情報資産を守る姿勢が求められています。
情シスがセキュリティ対策を怠ると、以下のような被害が起きる可能性が高まります。
上記3点について、詳しく解説します。
ウイルス感染は、マルウェアと呼ばれるプログラムがパソコンやシステムに取り付くことで発生します。メールの開封やサイトの閲覧のような日常的な行為で感染するため、拡散しやすいのも特徴です。また、不正アクセスとは、アクセス権限のない他人がIDやパスワードを勝手に使用し、端末やシステムにログインすることをいいます。ウイルス感染・不正アクセスともに、大切な情報を盗まれたり、サーバーやシステムがダウンしたりするなど被害は深刻です。
ランサムウェアは、英語で「身代金」を意味するランサムと、ソフトウェアを組み合わせた言葉です。
ランサムウェアに感染すると、システムがロックされて使えなくなり、お金を払えば元に戻せるとのメッセージが表示されます。要求に応じても端末やシステムが復旧する保証はないため、極めて悪質なソフトウェアです。
情報漏えいの原因は、情報機器の紛失や置き忘れ、誤操作などの人為的ミスによるものが半数を占めています。リモートワークの増加により、企業の外部に端末が持ち出される回数が増えたのも情報漏えいが減らない一因です。
人的ミスによる情報漏えいは、スタッフへのITリテラシー教育が足りていないことが原因で起こります。情シスには技術的側面へのセキュリティ対策だけでなく、システムを使うスタッフに対する教育も求められるのです。
情シスがシステムに対して行うべきセキュリティ対策は、以下の3点です。
それぞれについて、詳しく解説します。
マルチファクタ認証とは、ワンタイムパスコードや生体認証などに代表される二段階認証のことをいいます。アクセスに段階を設けることで、システムに簡単に侵入できなくする技術です。
マルチファクタ認証付きのシステムを導入することで、なりすましや不正認証を防ぐことができます。なお、二段階認証のパスワードを作成する際は、以下の4点を守るようにしましょう。
関係者以外が企業のシステムに侵入しないよう、アクセス制限を行いましょう。アクセス制限とは、権限を持つユーザーのみがシステムに入れる仕組みです。
管理部門のみ、社員のみというように必要最小限のユーザーだけがシステムに入れるようにすれば、物理的な被害数を減らせます。
セキュリティソフトは、パソコンのウイルス感染や不正アクセスを防ぐための最も効果的な方法です。セキュリティソフトを入れておけば、不正なウイルスを自動で削除し種類の特定まで行えます。
最新のウイルスに対応できるよう、セキュリティソフトのバージョンは常に最新版にしておくことが必要です。なお、セキュリティソフトは社内パソコンにはもちろん、在宅ワーク用のパソコンにも導入しましょう。
全社員に対して徹底させるべきセキュリティ対策は、以下の4つです。
それぞれについて、詳しく解説します。
心当たりのないメールは、絶対に開かないよう呼び掛けましょう。近年は精巧な作りのウイルスメールが多く、普段から気をつけている人でもうっかり開封してしまうケースが増えています。
メールを開く前には、送信者や件名を確認したうえで開くようにする習慣付けが大切です。よりよいセキュリティ対策をするなら、ウイルスメール対策ソフトを導入し、届いたメールを監視できる仕組みを作るのもよいでしょう。
クリアデスクとは、業務終了後にデスク上にある大切な情報が入ったものをきれいに片付けてから退勤することです。パソコンやタブレット、書類やUSBメモリなどは、鍵付きの引き出しなどに片付けましょう。
一時的に離席するときは、パソコンにロックをかける対策がおすすめです。クリアデスクを徹底すると、社内でも一部のスタッフしか知らない情報の流出や、悪意のある社員による情報の盗み出しなどのトラブルも防げます。
重要な情報が入った電子機器や書類の持ち出しは、必要最小限にするよう呼びかけましょう。重要な情報が入った機器は持ち出さないことが理想ですが、やむを得ない場合はルールを決めて管理する必要があります。
IT機器の持ち出しでよくあるトラブルは、スマホやUSBメモリなどのコンパクトな機器の紛失です。保存しているデータの暗号化や、退勤時に既定の場所に返却されているかをチェックするなどの対策が有効でしょう。
企業の大切な情報が入ったデバイスを廃棄する際は、保存したデータを完全に消去しましょう。データの消去方法には、以下の3つが挙げられます。
情シスはあらかじめデバイス廃棄についてのルールを作り、全スタッフに周知しておきましょう。
ここまでで情シスが行うべきセキュリティ対策について紹介しましたが、十分に対策を行えない背景には別な理由もあります。多くの情シスが抱える悩みについて、以下の3つの観点から解説します。
情シスは日々の仕事に追われ、新しい知識や技術を身につける機会になかなか恵まれないのが事実です。中小企業では専門外の人が情シスを担当するケースも多く、本来ならITに詳しい先輩に教われる内容を適切に習得できないという事情もあります。
ネットワークやシステムなどに精通していないと、トラブルへの適切な対処ができません。セキュリティ対策が不十分になるだけでなく、企業全体の業務が非効率になる可能性もあります。
情シスは、人件費を多く割けない影響で「一人情シス」「兼任情シス」の問題が起こっています。一人情シスとは部門を一人だけで担当すること、兼任情シスとはほかの部門と兼任で担当することです。
情シスには、日々他部門からの問い合わせが多く寄せられます。日々の業務をこなすのに手一杯で、セキュリティ管理まで手が回らないという情シスは少なくないでしょう。
一人情シス問題について詳しく知りたい人は、以下の記事もご覧ください。
情シスは専門性の高い部門であるため、業務についての相談や自分の考えを表現できる相手が少ない点も問題として挙げられます。
相談できる相手が少ないと、経験のないトラブルが起きたときに正しい対処法がわからず、悩みながら業務にあたらなければなりません。また、理解者が少ないと経営陣にセキュリティ対策の重要性を訴えても理解されず、提案が非承認になりがちです。
日々の業務が忙しくセキュリティ対策がおろそかになりがちな情シスには、以下のような根本的な対処法を講じる必要があります。
最もシンプルで有効な対策は、上層部への情シス増員の願い出です。人員が増えると情シス1人あたりの仕事量が減るうえ、優秀な人材が入社すれば部内全体のレベルが向上する可能性があります。
上層部へ願い出る場合は、人員不足により今後起こりうるセキュリティリスクについての説明を行いましょう。ただし、求人情報の掲載が決まっても優秀な人材がすぐに見つかるとは限らないため、増員は長期戦になるという意識が必要です。
情シスの負担を減らすには、業務のアウトソーシングを行うのも有効です。事務作業やヘルプデスク機能を外注すれば、本来注力すべきセキュリティ対策に専念できます。
アウトソーシングは人員を増やすよりもコストが安いため、比較的取り入れやすいのがメリットです。
多くの情シスにとって、セキュリティ対策を万全に行いたいものの忙しくて手をつけられないのが本音でしょう。基本的な対策を施すのはもちろん、部内の体制を整備しコア業務に時間を割けるような工夫が求められます。
情シスとしてセキュリティ対策を万全に行えるよう、今日からできることを始めていきましょう。
なお、以下の記事では、情シスが抱えやすい悩みや対処法についてさらに詳しく解説しています。
情シスの職員は日頃の業務や問い合わせで忙殺されています。しかし、情シスの抱える悩みはこの記事で紹介したような方法で解消できるので、コストなどと見合わせて、企業ごとに合った方法で対応を図りましょう。
情シスの職員は他部署の職員から、IT関連なら何でも知っていると思われがちです。私用のスマートフォンや家電の相談まで受けさせられている職員もたくさんいます。情シスの悩みを軽減するには、情シスの担当範囲を明確にする・企業全体のITスキルやリテラシーを向上させて自力解決の力を養うなどの対策も重要です。