情報セキュリティ対策

情報セキュリティ対策

セキュリティ分野では、情報の安心を3つの要素に分けています。「機密性」「完全性」「可用性」の3つです。

 「機密性」とは許可された人だけが情報に接することができること。例えば「社外秘情報」は社員だけが見ることができる情報です。
 「完全性」とは情報の内容や処理が正しくて、間違っていないこと。例えば社員リストの住所が違っていたり、残業代の計算が違っていては安心できません。
 「可用性」とは普段は使わない言葉ですが、情報を利用したいときに利用できること。例えばサーバが故障していて、仕事に必要なファイルが使えないと安心して業務ができません。

 セキュリティというと「機密性」つまり情報漏えいだけが強調されますが、情報が間違っていたり、使えないことも情報セキュリティの事故なのです。このようにセキュリティは広い意味で考えて頂きたいと思います。

情報セキュリティ対策は次の3つに分類して考えると理解しやすいのです。
つまり「物理的対策」、「技術的対策」、「管理的対策」です。管理的対策は人的対策や組織的対策ともいいます。

 「物理的対策」とはサーバ室やマシン室を別室にしたり、監視カメラを設置したりする目に見える対策のことです。
 「技術的対策」とはファイアウォールの設置や暗号化、パスワード認証などのいわゆるセキュリティ技術のことです。
 「管理的対策」とは情報の取扱についてのルールを決めて、それを遵守することをいいます。例えばPCの取り扱いルール、電子メールやインターネットの利用ルール、鍵の管理などがあります。

 「物理的対策」、「技術的対策」の2つは設備投資が必要ですが、その効果が明確であり、即効性があるために理解しやすいものです。
 それに比べて管理的対策は、設備投資は必要ありませんが、人による運用を中心としますので定着・浸透するのに時間がかかります。

セキュリティ対策を行う前にセキュリティポリシー(社内ルール)を作成し、社員への周知・徹底を行いましょう。
ワーキンググループの設立 → 社内ル-ルの検討 → 社内ルール作成 → 社員への周知・徹底 → 運用の定期チェックを行う

1.ウイルス対策

・ウイルス対策ソフトの導入
・ウイルス定義ファイルのの更新
・定期ウイルスチェックの実施(毎週実施)
・ウイルス対策ソフトの契約更新漏れの防止
swfu/images/net/pc29.jpgswfu/images/net/arrow-r.jpgswfu/images/net/pc30.jpgswfu/images/net/arrow-r.jpgswfu/images/net/pc31.jpg

※社内PCが5台以上の場合はビジネスエディションを導入しサーバーにて一元管理する

2.インターネットの利用規程の制定

・業務時間は勿論、休み時間にも興味本位のサイトは閲覧しない。
  (サーバ側で閲覧できないサイトを指定することもできます。)
・インターネットを使用中に不審な動作を感じたら、LANケーブルを外す。
  LANケーブルを外せば絶対にウイルスは侵入しません。また、他のパソコンへのウイルスの感染を防げます。
・フリーソフトの利用は安全なものだけとする。
  出所不明のフリーソフトは非常に危険です。

3.メールの利用

  ・顧客にメールを送るときは宛先を間違えないように十分注意する。
     情報漏えいで最も件数が多いのはメールの打ち間違いです。A社に送るべき情報をB社に送ると、
     場合により重要な情報漏えい事故になりかねません。
  ・メールの添付ファイルの暗号化
  ・迷惑メールはすぐ削除する。
  ・出所不明の広告メールなどには返事を出してはいけない。
     うかつに返事をすると、ますます広告メールが増加してしまいます。
  ・不明な添付ファイルは開かないで削除する。
     開くとウイルスに感染することがあります。
  ・私用メールは常識の範囲内での利用に止める。(これはセキュリティというよりビジネスマナーですが)
     私用メールの乱用を防止するためには、会社がメールを閲覧できる旨を労使の間で合意しておくとよい。
     但しプライバシー侵害の問題もあるので、必ず労使で合意をとることが必要です。

4.情報漏えい対策

・PCのパスワード設定(BIOS、HDD、ログイン、スクリーンセイバー)
  パソコンの起動時にパスワードをかける
  パスワードを社内で共有しない
  重要情報を画面に表示したままでは離席しない。
  パスワード解除のスクリーンセーバーを5分程度で立ち上げるように設定する。
・ネットワーク監視ソフトの導入
・セキュリティ対応USBメモリの使用
・ファイル交換ソフトの使用禁止(Winny、WinMX、Cabos、Limewire 等)
・個人所有パソコンの業務での使用禁止、社内LANへの接続の禁止
  コンピュータウイルスによる情報漏えい事故は、私物のPCを会社内のLANに接続することで多く発生しています。
・会社のPCを社外に持ち出さない。
  社外でのPCの紛失や盗難は情報漏えいとなります。対策として、持ち出し専用のPCを設ける、PCの持ち出しは上司の許可を必要とするなどがあります。

swfu/images/net/1178683346.jpg

5.盗難対策

・ノートPCは退社時には鍵付きのキャビネットなどに保管する。
・盗難防止機器の設置(PC1台当り3,000円~)

swfu/images/net/security.jpg

6.その他

・WindowsOSやOffice等のソフトウェアーの違法コピーの防止
swfu/images/net/cd.gif
・パソコン廃棄時のハードディスクの消去(情報漏洩防止)