ビジネスに役立つ情報サイト。 ヤマダ電機法人営業部と連動し、中小企業に役立つ経営情報やIT情報を発信します。

RSSfeed

2006.07.20

ヤマダ電機とコクヨが提案|段階別「情報漏えい対策

ヤマダ電機とコクヨが提案
段階別「情報漏えい対策

セキュリティ意識を高める
レベル1から着手せよ!

セキュリティ対策品の導入前に社員の意識改革が重要
オフィスレイアウトを見直すだけでも十分な効果
必ず実践したい紙、PC、記憶メディアの管理

今年に入って、有名企業や警察など公共団体で使用しているPC、もしくは仕事を家に持ち帰った社員・職員の個人用PCから機密情報が流出する事件が相次いでいる。

事件の多くは、ファイル交換ソフト「ウイニー」が原因。ウイニーを介して感染するウイルス「アンティニー」がユーザーの知らないうちにPCの情報をインターネットで公開してしまうのだ。ウイニー以外でも、PCおよび周辺機器の盗難・紛失、ネットワークへの不正アクセスを原因とする情報漏えいが相変わらず多い。最近でも、都内のオンラインゲーム会社のサーバーから6万5000人分の顧客情報を記録していたハードディスクが盗まれる事件が起きている。

05年度から個人情報保護法が施行され、従来なら不問に付されていたような情報漏えいも、内部告発や報道などで明るみに出るようになった。確たるセキュリティ体制を持たない企業・団体はいつ被害に遭うか分からない。

社会的影響力の大きい大企業や公共団体のみならず、そうした組織と取引する中小企業でも発注元のセキュリティ体制に準じた仕組みが求められる。今一度、セキュリティ対策を見直す必要がある。

絶対に着手すべきレベル1

一口にセキュリティ対策といってもその範囲は膨大だ。いきなり完璧を求めることも決して不可能ではないが、相当額の支出を覚悟する必要がある。かといって何も対策を講じないままでは、これからの企業活動は難しい。そこで提案したいのが、レベルに応じた段階的セキュリティ対策である。

図1はレベル1から5までの段階に応じたセキュリティ対策をまとめたもの。まずはレベル1のベーシックな取り組みからスタートし、徐々にセキュリティレベルを高めていけば、コスト負担で無理をすることなく、会社としてのセキュリティ体制が整うことになる。

特にベーシックなレベル1が社内に浸透していなくては、どんなに高価なセキュリティシステムを導入しても、その効力を最大限に発揮することは難しい。そこでまずはレベル1の徹底を図ることから始めたい。
レベル1で最も重要なことは、全社員のセキュリティ意識を高めること。そのために必要なことは、セキュリティに対する自社の考えを社内や社外に知らしめるセキュリティ基準(セキュリティポリシー)を設け、その意義を社員へ周知徹底させること。それを怠るとあらゆるセキュリティ対策も、社員には煩わしい”規制”と受け止められかねない。

■図1) 段階別セキュリティ対策

段階別セキュリティ対策

前述したウイニー対策という観点なら、次のようなシナリオが考えられる。経営トップが「機密情報の取り扱いには細心の注意を払って守る」といった方針を示し、「PCで使用するソフトは会社指定のものに限る」「自宅PCで会社業務を行なわない」などの基準を設ける。

もちろん、それだけでリスクは減らない(人は間違いを犯すもの)。各基準に合わせた具体的な対策として、専用ツールを使って各PCのソフト使用状況を把握したり、外部の装置・メディアにデータを書き込めなくすることも大切である。

オフィスレイアウトを再確認

レベル1ではオフィスレイアウトの見直しも重要だ。ここでポイントとなるのは「外部との区分」である。具体的には「受付機能」「情報機器の設置場所」「会議室の位置」など。
まず受付であるが、外部の人間がオフィスへ簡単に入れるようなってはいないだろうか。本来は受付に担当者を置くことが望ましいが、カウンターやパーテーションなどで仕切るだけでも違ってくる。受付近くの人間が来客者へ対応するなどのルールを決めておくことも必要だろう。

情報機器については、コピー、プリンター、FAXなどを来客者の動線からはずれた場所に設置することが望ましい。こうした機器から取り忘れた書類を、外部の人間が簡単に持ち出せるような位置に置くことは避けた方が賢明である。

会議室も同様で、関係者以外にも内容が筒抜けになる状態は避けたい。スペースの問題もあり、そう簡単に会議室を移動できない場合もあるだろう。例え移動できなくても、四方を天井まで仕切るだけでも効果は大きい。会議室は可能な限り外部と遮断できる状態にすべきだろう。

このようにレベル1は、トップの考え方だけで、すぐにでも実行可能な対策ばかりだ。しかも、レベル2以降の効果を最大限に発揮するための基本的な準備段階でもある。

対策すべき3つの観点

レベル2〜4はいずれもセキュリティ対策機器等の購入が必要になる。必要になるコストの違いで3つの段階に分けている。これをコストではなく、対策すべき3つの観点から分けたものが表だ。情報漏えいのタイプは①内部漏えい、②情報管理不備、③外部からの侵入、などの3つが代表的であり、それぞれに応じた対策用品が販売されている。

まず、①の内部漏えい対策であるが、ここでは第一にパソコンなどのハードをしっかりと管理することが重要だ。例えば会社のパソコンは社外に持ち出さず、退社時には鍵のかかるキャビネットなどにしまって管理することなど。

また、部外者に画面情報を見られないためには、のぞき見防止フィルターの装着が効果的だ。のぞき見防止フィルターは、ノートPCを社外で使用する場合にも必需品といえるだろう。
さらは、出力した紙の管理

関連記事がありません。

 

コメント

コメントはありません

コメント