2017年11月13日

【第3話】失敗しない「セキュリティ対策」には何が必要か(渋屋隆一)

情報セキュリティは、ひとつ対策を打てば終わりではありません。会社全体としてセキュリティレベルを高め、大切な情報を守るために必要なこととは?3話連載の最終回です。

1. 「セキュリティ対策」を実行するには何が必要か

第1話では「何を守るのか?」「情報を守らないと、どうなるのか?」、第2話では「お金をかけない対策」や中小企業の実態を紹介しました。今回は、これまでのおさらいと、セキュリティ対策を成功させるためのポイントや、全体を把握し多様なリスクに対応する「多層防御」の重要性についてお伝えします。

2. 「方針」なくしてセキュリティ対策は成功しない

セキュリティ対策を実施するには、経営者の強いリーダーシップが必要です。セキュリティ対策の「方針」を明らかにして、企業としてどのようにセキュリティ対策に取り組むのか、意志を示さなくてはなりません。多くの社員にとって面白くない情報セキュリティ対策は、経営者が「やる」と意識表明しなければ始まらないからです。最初に情報セキュリティ対策を行うと決めるのも、そのために人材を配置したり、投資を決定したりするのも、経営者の役割です。この役割を現場任せにしてはいけません。最初から現場任せにして情報セキュリティが浸透した組織はありません。

では、セキュリティ対策方針とは具体的に何を決めればいいのでしょうか。まず、個人情報の扱いを見てみましょう。突然「個人情報を大切に扱え」とだけ指示されても、誰が、何をすれば良いのかわかりません。経営者はまず、個人情報保護に対する体制を整えることを表明します。体制の構築にあたって、まず情報セキュリティ管理者を選定し、人員を配置することが必要です。そして、情報セキュリティ管理者に対して、何が個人情報なのかを洗い出し、どのようにその情報を扱えば良いのかを検討するよう指示します。

指示を受けた情報セキュリティ管理者は、実務全般を担当します。社内各部署の協力を得ながら社内の個人情報を洗い出し、その取り扱い方法を文書化します。さらには社内に通知し、教育を施したり、社員からの問い合わせに対応したりして、社内の意識を高めていきます。

情報セキュリティ管理者は、経営者の意思を形にして実現していく、重要な役割です。このように対策方針の文書化や、一般社員への教育やヘルプデスク、さらには新たな仕組み(システム)の企画や導入管理も行います。経営者への報告をする一方、一般社員への通知・案内も行います。決定された対策方針にしたがって、一般社員は業務を行います。何か問題を発見したときには、速やかに報告するとともに、積極的な改善提案も期待されます。

例えば、情報セキュリティ対策のためにパソコンの持ち出しを禁止されてしまい、業務効率が著しく落ちてしまったとします。それを肌身に感じるのは経営者でも管理者でもなく、一般社員です。受け身の姿勢ではなく、自らがより良いルールをつくる意識を持つことが肝心です。なお、ここでの経営者・管理者・一般社員という区別は便宜上のものです。規模の大きな会社では、もっと役割が詳細に分かれるかもしれません。逆に小さな会社では経営者と一般社員という2つになるかもしれません。それぞれの会社の実情に合わせて、読み替えていただければと思います。

3. 「社員教育」を継続するだけで、組織の情報セキュリティは向上する

第2話で紹介したように、情報セキュリティ事故の大半は人のミスが原因で発生しています。誰にでも予想できてしまう簡単なパスワードを設定してしまうのも、大切なデータが入ったパソコンを紛失するのも、人のミス(ヒューマンエラー)です。したがって、情報セキュリティ教育を行うことは不可欠で、継続的に行うことで、その組織の情報セキュリティ対策は向上するのです。

社員教育を行うためには、その前提となるルールづくりが欠かせません。先ほど紹介した「セキュリティ対策方針」はルールづくりの礎になるものです。教育の前に、経営者・管理者が対策方針を決めておく必要があります。情報セキュリティ教育は、最初はコストが掛かるでしょう。まだ自社にノウハウがなく、外部の専門家に支援してもらうからです。しかし、ノウハウを蓄積して自社で運営ができるようになれば、お金を使うことなく教育を行えます。教育は、あまりお金をかけず、最も効果をもたらす対策です。

逆に言えば、どんなに素晴らしい対策方針を立てたとしても、それを全社員が認識して、実施しなければ意味がありません。ひとりでも意識の甘い社員が残っていると、そこが弱点になってしまうからです。継続的な社員教育の実施こそが、情報セキュリティ対策の本丸です。

4. 企業情報を強固に守る「多層防御」とは

現在の情報セキュリティが難しいのは、対処方法がひとつでは済まされないからです。代表的なセキュリティ対策である「ウイルス対策」や「ファイアウォール」ですら手段に過ぎず、多様なリスクに対応することは困難。そこで、起こりうるリスクを網羅し、全体を把握するために必要な概念が「多層防御」です。

5. 大企業でも全てを守ることはできない

多層防御とは幾つものセキュリティ対策を組み合わせることで、情報漏えいなどの被害を極小化する考え方です。

大企業は中小企業に比べて、システムに多くのお金を投資することができます。さらに専門の情報システム部門がある場合がほとんどです。にも関わらず、大企業ですら、完璧な防御をすることは困難です。大企業には中小企業以上に多くのシステムがあり、膨大なデータがあります。しかし、投資できるお金と人員には限りがあります。だからこそ、守るべき情報に優先順位をつけ、毎年、最も有効と思われる対策から順番に施しています。そうすることで多層防御を実現しているのです。

中小企業もデータは増える方向にありますから、同じように優先順位をつけて対策を打つのが良いでしょう。

6. お殿様はどのように守られてきたか?

多層防御が有効であることは、戦国当時のお城からも学ぶことができます。当時、お殿様を守るものはひとつだけではありませんでした。時代やお城によって異なりますが、お城を攻めるには、土塁・堀・石垣・虎口・城門・櫓・天守を次々に突破していく必要がありました。

そしてようやく天守まで攻め込んだとしても、既にお殿様(城主)は脱出口から逃げているかもしれません。実際、名古屋城には脱出口があり、木曽路まで逃げられる上、逃走時専用で活動する城主直属の護衛集団もいたそうです。

現代の情報セキュリティも同じです。たったひとつの手段で大切な情報を守り抜くことはできません。幾重ものセキュリティ対策を組み合わせることで、ひとつの対策が突破されても被害を受ける確率を劇的に減らすことができるのです。これがセキュリティにおける多層防御です。

多層防御は、数多くの層からなります。秘密文書やIT機器を施錠するなどの「物理セキュリティ」、利用者の「認証」、インターネット・社内(LAN/WAN)などの「ネットワーク」、パソコンやスマートフォン・タブレット、あるいはIoTデバイスなどの「エンドポイント(端末)」、利用する「アプリケーション」、そして暗号化などを施す「データ」です。そして、これら全ての層を連携して機能させるために必要なのが、全体としての対策方針であり、社員教育です。

「ネットワーク」と「エンドポイント」の例を見てみましょう。社外ネットワークであるインターネットと、LANやWAN等の社内ネットワークの間に城壁(ファイアウォール)を築き、門番(侵入検知装置)を置きます。これで社内は安全になるはずですが、昨今は攻撃手法の進化によって、それだけでは脅威を防ぎきれない場合があります。そこで一つひとつの「エンドポイント(端末)」にウイルス対策などの防御を施して、さらに全体としてのセキュリティレベルを上げるのです。

このようにひとつのシステム(層)に依存するのではなく、システム全体で守るべきものを守る「多層防御」が現在の主流になってきています。

7. 全体プロセスの復習と経営者の役割

情報セキュリティ対策の全体プロセスをあらためて確認します。

最初に守るべき情報を特定します。次に守るべき情報に対して起こりうるリスクを想定し、点数化して対策の優先順位をつけます。それから対策を実行し、結果を受けてルールを作成します。さらに、ルールをまとめて従業員に教育することによって、情報セキュリティ対策を組織に文化として根付かせていきます。

ルールの例をあげると、パソコンを紛失してしまったときにはどうすれば良いか、誰に連絡をするか、といったことです。従業員に関わる具体的な対応策をルール化しておくことで、いざというときスムーズに対処でき、被害の拡大を防ぐことができるのです。ルール化と教育で情報セキュリティのプロセスは終わりではありません。終わりと同時に、最初のプロセスからまた始まるのです。継続的かつ定期的に、このプロセスをまわすことで、少しずつセキュリティ対策のレベルを上げていきます。経営者には、最初にこのプロセスを始めるためのリーダーシップが求められます。まわり始めた後も、プロセスが機能し続けているのかを確認し、必要な資金・体制を構築する決断が必要です。

全3回にわたる記事も最後となりました。ここまでお読みいただき、ありがとうございました。最後に、ここまでの記事を読み、あなたは何から始めますか?情報セキュリティ対策は、多くの経営者にとって、必ずしも楽しい仕事ではありません。だからこそ、いつまでに何をするのかを具体的に決めなければ、いつまでも対策は進みません。事故に遭ってからからでは遅いのです。

このページを離れる前に、最初に何をするか?を決めることが、情報セキュリティ対策のスタートです。

著者:渋屋 隆一(しぶや・りゅういち) 株式会社 B.S.JAPAN
大手システムインテグレータにて、ITエンジニアとマーケティングとして活動。2012年に中小企業診断士登録後、2015年に独立。以降、中小企業を中心に、IT導入支援やマーケティング支援を行っている。
著書:『【図解】コレ1枚でわかる最新ITトレンド』(技術評論社)、『「埋もれた数字」が利益を伸ばす 社長はデータをこう活かせ!』(日本実業出版社)など

関連するコラム
  • 記事を読む
“あおり運転”から営業車両を守るドラレコ

自動車社会の深刻なリスク「あおり運転」。このリスクに対しては、一般のドライバーのみならず、営業車両を保有し、日々の業務に活用している企業も対策を講じなければなりません。そうした対策としてのドライブレコーダーの有効性についてご紹介します。

  • 記事を読む
セキュリティ管理が重要な医療現場でのモバイル利用

医療現場では、モバイル端末で患者や医療に関する重要な情報を日常的に扱うため、セキュリティ管理が重要です。今回は医療現場でのモバイル端末の利用法をご紹介します。

  • 記事を読む
データで確認!情報インシデントの傾向と対策

情報セキュリティは重要と知っていても、どんな施策がいいか悩むことがありますよね。そんな悩みを解消すべく、いま気になる情報セキュリティ対策についてご紹介します。

  • 記事を読む
新入社員を情報漏えいリスクから守る

社会人一年目の社員の方は、スマートフォンを仕事で使うことに慣れておらず、安全対策上のミスを冒してしまうリスクがあります。そのリスクを低減する方策をご紹介します。

関連する導入事例
  • 記事を読む
クラウド型ビジネスツールで市議会運営を効率化

秋田市議会の運営を行う議会事務局。2018年度にタブレットを導入したが連絡業務に費やす時間に頭を悩ませていた。しかし、Gsuiteの導入により議員との意思疎通もスムーズに。他にも多様なビジネスツールが事務局職員を助けている。

  • 記事を読む
タブレットの紛失盗難対策を強化して営業効率アップ

富国生命の営業活動を支えるタブレット端末。ドコモの運用管理サービスを導入してセキュリティ対策を強化したことにより、大切なお客様情報を守りつつ、活用頻度が向上。営業効率のアップに成功した。

  • 記事を読む
スマホで変える銀行のコミュニケーション

愛媛県松山市に本拠を構える伊予銀行は約2,850台のスマートフォンを一挙に導入し、ビジネスチャットとクラウド電話帳によるコミュニケーションの効率化を推し進めている。

  • 記事を読む
通話を効率化する「オフィスリンク+」で働き方改革
サブ画像

「最もお客さまに支持される損害保険会社」をめざす、損保ジャパン日本興亜株式会社。全国に約6,000名在籍する営業社員の業務効率化を図るため「オフィスリンク+」を活用しています。

メールマガジン登録

Biz Solution by docomoでご紹介する導入事例や最新ビジネストレンドなどの記事を無料でご案内いたします。

お問い合わせやご相談はこちら

サービスについて詳しくお知りになりたい場合は、
メールまたはお電話でご依頼ください。