社内SEの仕事

中小企業のセキュリティ~重要なポイントはたった2つ!

 
記事内に商品プロモーションを含む場合があります

今日は中小企業のセキュリティについて、実際に中小企業の社内SEをしている立場からお話したいと思います。

※あっさり読めるよう、物足りないぐらいの文章量にしていますので基本の基本だと思ってくださいね。

私は現在も中小企業の社内SEとして勤務していますが、業務の中で何より頭が痛いのはセキュリティ対策です。

今や個人情報の保護は企業の命綱ですからね。

重要なことは以下の2つ!

  • 社員のセキュリティリテラシー教育
  • 社内システムのセキュリティ対策

たった2つだけといっても、この2つがそれぞれ重い!

という訳で、2つのポイントを簡単にご紹介します。

社員のセキュリティリテラシー教育

古今東西、今も昔もセキュリティリスク(情報漏えいなど)のカギを握るのは人です。

どんなに強固なセキュリティ対策を講じても結局、内部の人間がそれを適切に扱わなければ情報は漏洩するのです。

故意であれ、過失であれ…。

故意に情報を持ち出す人

故意に情報を漏えいする人は、悪意をもって犯罪を犯す人です。

このようなケースは金銭目的であって、根底には会社への不満がある場合がほとんどでしょう。

こういったケースを防ぐには社内の風通しを良くすることや、働きやすい環境の整備、賃金の見直しなどで社員の不満を取り除く必要があります。

一朝一夕に社員の不満を一層することはできませんので、まずできることは「活発なコミュニケーションを取り社内の信頼関係を構築すること」ということでしょうか?

過失で個人情報を漏えいしてしまう人

情報セキュリティの仕組みを導入して防げるものもありますが、基本は

個人情報の取り扱いについて個々人が十分にリスクを理解することから始まります。

社員1人1人に正しくリスクを理解させるためには社内教育が非常に重要です。

  • SNSで社内で知り得た情報の一部をつぶやいてしまう…
  • 一括メール送信する際、BCCではなくCCを使ってしまう…
  • 怪しいメールを何のためらいもなく開いてしまう…
  • 個人情報が含まれる資料をゴミ箱に捨ててしまう…

基本的なことはしっかり指導してセキュリティリテラシーを上げてもらうことが大切です。

以下の本はKindle版(電子書籍)では0円で販売されています。

読みやすく、評判も良いので一度読んでみられてはいかがでしょうか?


セキュリティ 7つの習慣・20の事例

※社員教育を担当する側の人も分かりやすく指導する教本になるかと思います。

エムオーテックス株式会社 (MOTEX Inc.)にて講師用のPDFやポスターなどもダウンロードできます。(無料でダウンロードなんてありがたいです…神!)

社内教育にぜひ活用したいですね!

社内システムのセキュリティ対策

こちらは物理的な対策となります。

物理的な対策の中にも、ハード(機器やシステム)を導入する対策とソフト面(運用でカバーする)の対策があります。

運用でカバーする対策

以下のように運用でリスクを低減する方法は、最もコストがかからず今すぐにできる対応の一部です。

  • 個人のモバイル端末(タブレットやスマホ、ガラケーなど)を執務室内に持ち来ないように周知徹底する。
  • メール送信時のダブルチェック実施

 

仕組み(システム)を導入する対策

  1. 重要な書類は鍵付きの書棚に保管する。(鍵の管理も重要)
  2. 細かく裁断できるシュレッダーの導入や溶解処理業者への持ち込み
  3. 執務室に入るドアにICキーの導入(入退室管理)→ログの管理
  4. 監視カメラの設置
  5. 社内基幹システム、クラウドシステムのセキュリティ対策ソフトウェアを導入する

 

これらの中でも①から④は非常に分かりやすい対策ですが

⑤については、社内のIT部門(セキュリティ担当部門)の人間でないと分からない点が多いものです。

また、IT部門の担当者がいても日々発生するリスクに目を光らせ、対策を取り続けることは非常に困難です。

そこで、こういった防御システムの導入と保守は専門家にお任せするのが一番!

社内のシステム構成に合わせて的確な防御方針をご提案いただき、どの程度のセキュリティレベルで保護するのか(※)、相談に乗ってもらいましょう。

その上で、日々のモニタリング・有事の時の対応などの担当範囲を決定します。

※扱う情報が機微情報であればあるほどセキュリティレベルを上げ、多重構造で守り抜く必要があります!(ちなみに私の所属する会社では4層構造で保護しています)

もちろん、IT部門にお任せできる人材がいれば、ファイアーウォール、UTM、セキュリティソフトウェアの選定から管理までお願いすることもできます。

ただ、中小企業の場合、IT部門そのものがなかったり、あっても1人か2人の社内SEがハードウェアの保守から業務効率化までの全てを担っていたりすると、なかなか難しいことが多いのではないでしょうか?

総合的にお任せして月々のランニング費用を払うことで人材確保の心配もなくセキュリティが保たれるのであれば、それがベストだと思うのです。

▼▼ こんな感じのおすすめプランがあります ▼▼

↑↑まずは資料請求で内容を確認しましょう↑↑

中小企業のセキュリティ対策まとめ

ざっくりまとめると、社員の教育が大事だということ。

そして、運用を変更することでリスクを低減できるのであればできるだけ早く対応すること。

複雑なセキュリティシステムの導入は専門家に費用を払ってお任せすること。

ざっくりこんな感じです。

ABOUT ME
アズビーパートナーズ
プログラマー→社内SE→SIerのお仕事をしています。 メーカー勤務を経て、中小企業の社内SE、フリーランスなど様々な形態で働いてきました。 業務上生まれた困った…を解決してきたTipsを備忘録も兼ねて公開しています。 困っている誰かのお役に立てれば幸いです。
関連記事