情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
中小企業情報セキュリティ.COMでは【情報セキュリティ対策を通して会社を強くする】ことを目指したサービス提供を行っております。セキュリティ機器、バックアップシステム等の導入にあたり選定等でアドバイスをさせてもらう機会が多いですが、その中で、よくあるケースとして、「ウチの会社には何が必要か分かりません。」というケースが多いです。その場合は何を守らなくてはいけないのか、どのように守るのかというところから一緒に考えるようにしています。
セキュリティ対策の順序としては本来、情報セキュリティポリシー策定が必要となります。ただ中小企業の会社で情報セキュリティポリシーを策定していないケースがまだまだ多いです。セキュリティポリシーがまだない状態であれば、下記の様な順序で検討していくと分かりやすいと思います。
①会社として守るべき情報のピックアップ
顧客情報、NDAに該当する情報、財務情報、マイナンバー等
②対象の情報が漏えいした場合の損害金額の算出
③そのリスクに対して、リスク低減、リスク回避、リスク保有、リスク移転のいずれかを選択
④リスクが発生しうる原因と対策をピックアップ
⑤リスク低減を選択した場合に想定リスクに対していくらまでかけられるかを明確にする
⑥セキュリティ機器の選定基準を明確にする
⑦etc
①~④が明確になっていない状態で⑤の機器選定から始めているケースが非常に多く見受けられます。そうすると金額以外での判断が非常に難しくなります。あくまでも目的はUTMやセキュリティ機器の導入ではなく、会社として安心安全に事業に集中できる状態を作る為の手段でしかありません。
情報資産の漏洩、Webサイト改ざん等により発生する、損害賠償請求や、売上ダウン、従業員の意識低下等への対策です。
漏れたら困る情報
例:財務情報、従業員の人事情報、技術情報、顧客情報等
・行政からの指導
業務の停止、免許の剥奪、刑事責任(懲役、罰金)、損害賠償責任
・社会的信用の低下
ブランドイメージの失墜、市場でのシェアが低下、風評被害、株価暴落
・売上の減少
顧客からの取引停止、営業機会の損失
・セキュリティ対策コストの増大
見舞金・謝罪費用、情報システムの改善費用
・組織内のモラルが低下
従業員の不安、不満、モラルが低下
個人情報保護法
個人の権利や利益を保護するため、個人情報を取り扱う事業者に一定の義務を課した法律。事業者は、個人情報の利用目的を明確にし、適正に取得し、安全に管理しなくてはならない。
不正競争防止法
企業の研究開発や業務活動の遂行の中で得られる新しい技術手法やノウハウを営業上の秘密として保護し、万が一その営業的秘密が盗まれた時に指し止め請求や損害賠償請求を行うことが出来る法律です。
不正アクセス禁止法
他人のIDやパスワードを無断使用やOSやソフトウェアの弱点の悪用により、コンピュータを不正に利用したり、保存してあるデータやプログラムを改ざんしたりする行為を禁止した法律です。
著作権法
第三者の著作物である音楽、画像、プログラムやデータベースの無断使用を禁止する法律です。
物理的脅威(事故,災害,故障,破壊,盗難,不正侵入 等)
技術的脅威(不正アクセス,盗聴,なりすまし,改ざん,システムエラー, 等)
人的脅威(誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング 等)
サイバー攻撃,情報漏えい,故意,過失,不正行為,妨害行為,SNS炎上,迷惑メール,ファイル共有ソフト
コンピュータウイルス,マクロウイルス,ワーム,ボット、ボットネット,遠隔操作型ウイルス,トロイの木馬,スパイウェア,ランサムウェア,キーロガー,ルートキット,バックドア,偽セキュリティ対策ソフト型ウイルス
・自社のWebサイトが、改ざんされるとWebサイトを閲覧した人が感染するので加害者になってしまう
・ウイルスに感染したメールを取引先に送信してしまい、顧客企業のネットワークに感染を広げる加害者になってしまう
・メールサーバが踏み台になり、自社のメールアドレスで迷惑メールを外部に送信して加害者になってしまう
自社の方針、役割、責任を決定し、情報セキュリティの管理を行うことです。
抑止:従業員が不正を行おうという気持ちを抑制する
防止:脅威が実際のインシデントに繋がるのを防止する
検知:インシデントを発見する
回復:インシデントからの復旧、回復をする
情報セキュリティポリシーの策定を推奨致します。
情報セキュリティ対策の方針や行動指針を定めた社内ルールです。
【どのような情報資産があるのか】を洗い出して【どのような脅威があるのか】を考え【どのように守るのか】を決めることです。
このポリシーで決めた内容を実現する為には「どんな機能を持っているUTM等が必要」、「バックアップはここまで取得できる様にしたい」、「社内の重要情報にアクセスした記録を取る機器が必要」、「リスク回避にそこまで予算がかけられないので○○の情報についてはリスクを受容するというポリシーに変更しよう」という風に色々判断がしやすくなるので、場当たり的なセキュリティ対策ではなくなります。情報セキュリティポリシーを策定することで何かインシデントが発生した際にステークホルダーに対しての説明責任を果たすことができますし、何よりも企業としての責任を果たすことに繋がるので、従業員の意識も変わり、社内の雰囲気も代わっていくはずです。そうすることで情報セキュリティ対策を通して会社を強くするということの実現に繋がると考えます。
