中小企業情報セキュリティ.COMでは【情報セキュリティ対策を通して会社を強くする】ことを目指したサービス提供を行っております。セキュリティ機器、バックアップシステム等の導入にあたり選定等でアドバイスをさせてもらう機会が多いですが、その中で、よくあるケースとして、UTM等の選定以前に、組織として会社として情報セキュリティ対策に取り組む、取り組まないが決まっていないケースが非常に多いです。
会話の始まりとしては「UTMを入れていれば安心ですよね?」「ウイルス対策ソフトをいれておけば安心」「バックアップを取れる様にしたい」「どのUTMがいいのですか?」という所から入ることが多いです。例えるなら旅行の行き先が決定していない状態で、どの航空会社の飛行機がいいの?と質問されている状態に近い感覚があります。我々はその旅行先が決まっていない段階から一緒に「あたたかい所にいきたいですか?」、「いつ旅行にいきたいですか?」と打ち合わせを繰り返しながら「どこに旅行に行きたいのか」を一緒に決める様にしています。情報セキュリティ対策も同じです。打ち合わせを通して、一貫して我々がお客様に、お伝えしていることとして【セキュリティ機器を導入するのは御社の望むセキュリティ体制を実現する為です。】ということを御伝えさせてもらっています。会社によって目指す状態も、規模、人数、資金、守るべき情報も、ひとつとして同じケースはありません。ですので【御社の望むセキュリティ体制とは具体的にどんなものなのか?】、【守るべき情報はどんな種類があるのか?】といったところから一緒に紐解いていく様にしています。
そうすることで社内のセキュリティ意識も向上し、計画的にセキュリティ機器導入もできます。一番御伝えしたいこととしては、「セキュリティ機器を導入することは手段であって目的ではない」、「お金をかけることだけがセキュリティ対策ではない」、社内でセキュリティについて向き合うことからセキュリティ対策は始まると思います。少しでも参考になればと思い、我々の考え方をそもそものところから下記に羅列させて頂きました。会社として、組織として情報セキュリティ対策に取り組む、意思決定の参考になれば有り難いです。
情報資産の漏洩、Webサイト改ざん等のインシデントへの対策です。
漏れたら困る情報
例:財務情報、従業員の人事情報、技術情報、顧客情報等
・行政からの指導
業務の停止、免許の剥奪、刑事責任(懲役、罰金)、損害賠償責任
・社会的信用の低下
ブランドイメージの失墜、市場でのシェアが低下、風評被害、株価暴落
・売上の減少
顧客からの取引停止、営業機会の損失
・セキュリティ対策コストの増大
見舞金・謝罪費用、情報システムの改善費用
・組織内のモラルが低下
従業員の不安、不満、モラルが低下
個人情報保護法
個人の権利や利益を保護するため、個人情報を取り扱う事業者に一定の義務を課した法律。事業者は、個人情報の利用目的を明確にし、適正に取得し、安全に管理しなくてはならない。
不正競争防止法
企業の研究開発や業務活動の遂行の中で得られる新しい技術手法やノウハウを営業上の秘密として保護し、万が一その営業的秘密が盗まれた時に指し止め請求や損害賠償請求を行うことが出来る法律です。
不正アクセス禁止法
他人のIDやパスワードを無断使用やOSやソフトウェアの弱点の悪用により、コンピュータを不正に利用したり、保存してあるデータやプログラムを改ざんしたりする行為を禁止した法律です。
著作権法
第三者の著作物である音楽、画像、プログラムやデータベースの無断使用を禁止する法律です。
物理的脅威(事故,災害,故障,破壊,盗難,不正侵入 等)
技術的脅威(不正アクセス,盗聴,なりすまし,改ざん,システムエラー, 等)
人的脅威(誤操作,紛失,破損,盗み見,不正利用,ソーシャルエンジニアリング 等)
サイバー攻撃,情報漏えい,故意,過失,不正行為,妨害行為,SNS炎上,迷惑メール,ファイル共有ソフト
コンピュータウイルス,マクロウイルス,ワーム,ボット
ボットネット,遠隔操作型ウイルス,トロイの木馬,スパイウェア,ランサムウェア,キーロガー,ルートキット,バックドア,偽セキュリティ対策ソフト型ウイルス
・自社のWebサイトが、改ざんされるとWebサイトを閲覧した人が感染するので加害者になってしまう
・ウイルスに感染したメールを取引先に送信してしまい、顧客企業のネットワークに感染を広げる加害者になってしまう
・メールサーバが踏み台になり、自社のメールアドレスで迷惑メールを外部に送信して加害者になってしまう
自社の方針、役割、責任を決定し、情報セキュリティの管理を行うことです。
抑止:従業員が不正を行おうという気持ちを抑制する
防止:脅威が実際のインシデントに繋がるのを防止する
検知:インシデントを発見する
回復:インシデントからの復旧、回復をする
情報セキュリティポリシーの策定を推奨致します。
情報セキュリティ対策の方針や行動指針を定めた社内ルールです。
【どのような情報資産があるのか】を洗い出して【どのような脅威があるのか】を考え【どのように守るのか】を決めることです。このポリシーで決めた内容を実現する為には「どんな機能を持っているUTM等が必要」、「バックアップはここまで取得できる様にしたい」、「社内の重要情報にアクセスした記録を取る機器が必要」、「リスク回避にそこまで予算がかけられないので○○の情報についてはリスクを受容するというポリシーに変更しよう」という風に色々判断がしやすくなるので、場当たり的なセキュリティ対策ではなくなります。情報セキュリティポリシーを策定することで何かインシデントが発生した際にステークホルダーに対しての説明責任を果たすことができますし、何よりも企業としての責任を果たすことに繋がるので、従業員の意識も変わり、社内の雰囲気も代わっていくはずです。そうすることで情報セキュリティ対策を通して会社を強くするということの実現に繋がると考えます。