まずは社内のセキュリティ状況をチェックしよう
漠然としたセキュリティへの不安を抱えているものの、何から着手すればいいかわからないというご担当者も多いかもしれません。そのような時は、まず現状を確認することが必要です。ここでは、IPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン※」を参考にチェックシートを作成しました。チェックシートを確認すれば自社のセキュリティレベルが把握できますので、優先順位を判断して取り組んでいきましょう。
※出典:中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構より
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
目次
1.基本対策 ポリシーや規定の設定、教育等
まずは、セキュリティ対策の前提となる「基本対策」です。ポリシー設定や社員教育などの状況を確認してみましょう。
| 1 基本対策 | ○or× | |
|---|---|---|
| 1 | 従業員に守秘義務の教育をし、業務上知り得た情報を漏らさない等のルールを徹底していますか? | |
| 2 | 個人情報等の重要な情報を業務で利用する場合のセキュリティ対策を明確にしていますか? | |
| 3 | 重要情報の授受をともなう取引先との契約書には秘密保持条項を規定していますか? | |
| 4 | クラウドサービス等外部サービスは、安全・信頼性を確認して選定していますか? | |
2.情報漏えい対策 難解なパスワード、不正侵入防止等
次は情報漏えい対策が実施されているかどうかです。端末管理や不正侵入対策は行っていますか?
| 2 情報漏えい対策 | ○or× | |
|---|---|---|
| 1 | パソコンやスマホ等情報機器のOSやソフトウェアは常に最新の状態にしていますか? | |
| 2 | パスワードは破られにくい「長く」「複雑な」パスワードを設定していますか? | |
| 3 | 個人情報等の重要情報に対する適切なアクセス制限を行っていますか? | |
| 4 | 重要情報が記載ざれた書類や電子媒体を持ち出す時は、盗難や紛失の対策をしていますか? | |
| 5 | 外部からの不正侵入に対する対策を講じていますか? | |
3.ウィルス対策 最新のパッチ適用、個人に依存していないか等
ウィルス対策も確実な実施が求められます。PC端末だけではなく、ネットワーク側でのウィルス対策も行っていますか?
| 3 ウィルス対策 | ○or× | |
|---|---|---|
| 1 | パソコンやスマホなどにはウィルス対策ソフトを導入し、ウィルス定義ファイルは最新の状態にしていますか? | |
| 2 | 電子メールの添付ファイルやURLリンクを介したウィルス感染に気を付けていますか? | |
| 3 | 重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか? | |
| 4 | パソコンやスマホだけでなく、ネットワーク側でのウィルス対策を実施していますか? | |
4.その他 サイト閲覧等
4つ目がWebサイトの閲覧についてです。Webフィルタリングなどは行っていますか?
| 4 その他 | ○or× | |
|---|---|---|
| 1 | インターネットを介したウィルス感染やSNSへの書き込みなどのトラブルへの対策をしていますか? | |
| 2 | 会社でアクセス禁止のWebサイトを設定していますか?厳守されていますか? | |
| 3 | 使用禁止のアプリケーションをインストールしていませんか? | |
UTMによるセキュリティ対策
以上で16問となりますが、いかがでしたか?これらは対処が当然と思われるもののみを列挙しています。対処できていないものはすぐに着手し、自信がない、あるいは不安があるものは完成度を上げていきましょう。
セキュリティ対策は「教育・訓練」「入口対策」「内部対策」「出口対策」の4項目が考えられます。社員への教育・訓練は、セミナーやこれらチェックシートなどを活用し、徹底していきます。
入口対策にはファイアウォール、アンチスパム、アンチウィルスなどゲートウェイ、アプリケーションコントロールでの侵入対策があります。
内部対策はネットワークの監視、ログ収集と分析、エンドポイントへのウィルス対策などがあります。
出口対策はウィルスをばらまくWebサイト等へのアクセス禁止などとなります。
UTMはこれら4項目の中で入口対策と出口対策に有効です。UTMにはファイアウォール、IDS/IPS、アンチウィルス、アンチスパム、アプリケーションコントロールなどの機能が搭載されており、セキュリティレベルを強化できます。
対策の優先順位はどうする?
○×を付けて、×から始めようにも、それぞれの優先順位に迷うことがあるかもしれません。
本来ならすべて同時スタートすべきところですが、お客さまに即迷惑をかける「2 情報漏えい対策」は最も重要と考えます。個人に依存する対策と組織としてガードしなければならない情報漏えいがあり、企業の責任として早急にセキュリティ対策を講じる必要があります。
ポイントまとめ
UTMでセキュリティレベルを強化
セキュリティ対策は単一の対策では限界があり、複数の対策を重ねていく必要があります。16問のチェック項目の多くに○が付けられるよう、計画的なセキュリティの強化をおすすめします。