2. 企業としての情報セキュリティ対策
今や情報セキュリティ対策は、企業の経営課題のひとつとなっている。会社によってはJ-SOXやISMS、内部統制といった側面から単独企業にとどまらずグループ全体での対策が必要な場合もある。情報資産を明確化し、セキュリティ対策の基本方針(セキュリティポリシー)や対策基準を制定し、セキュリティ管理体制を確立して全社への展開を行うことになる。対策基準は社内規定等の形式で文書化しそれを定着させなければならない。現状、一般的にルール化される事項の主なものは次の通りである。
- 情報システムの利用制限(業務外での使用禁止)
- 電子メール(業務外での使用禁止、不審なメールは開封しない、等)
- インターネットの利用制限(業務外での使用禁止、等)
- 情報システム機器の取り扱い(持ち出し、持ち込み、保護、保守、等)
- 電子記憶媒体の取り扱い(運用、保管、廃棄、等)
- ソフトウェアの利用(社内標準外ソフトの利用制限、不正コピー禁止、等)
- 派遣社員及び外部委託業者との必要な秘密保持契約
- パソコン盗難防止用設備(ワイヤー、保管用棚、等)
- ウイルス対策ソフトやEDRの導入(最新の対策ソフト、EDR の利用、等)
- ユーザーIDとパスワード管理(パソコン、ネットワーク、情報システム、等)
- セキュリティ事故発生時の報告と再発防止(報告と再発防止策立案手順、等)
- 罰則規定(規定を守らないときの処罰、等)
- 社員、派遣社員等へのセキュリティの教育と訓練、等
このような管理面での対策と同時に、技術的な対策が必要となる。これは社内の情報システムを担当する部門や担当者が、自社の情報システムの脆弱性(セキュリティホール)を解消するための対策を実施する。主な対策事例は以下の通りである。
- 社内ネットワークへの不正侵入防止のためのファイヤーウォールの設置
- Windows等の基本ソフトウェアの最新バージョンへの更新
- ウイルス対策ソフト、EDRの選択
- 指紋認証などの生体認証システム
- アクセス制御、記録(システムへのアクセス管理、ログ保管等)
- データの暗号化(通信経路、パソコン、USBメモリ等)
- 情報システムの監視(SOCやMSS等のセキュリティ専門監視サービス)
このように情報セキュリティ対策は、管理面と技術面との両面からの対策が必要になる(図2-1)。
|
図2-1 情報セキュリティ対策の骨子 |
|