社員・職員全般に浸透させよう!情報セキュリティ対策の基礎知識
目次社員・職員全般の情報セキュリティ対策は、情報社会の昨今では企業の使命のひとつであるといえます。今回は、従業員のセキュリティ教育に関するポイントなどを詳しくまとめました。
社内のセキュリティポリシーに
沿ったストレージ運用を。
-
全社的なセキュリティ強化におすすめのクラウドストレージ「DirectCloud」。
ファイルサーバーを超える厳格かつ柔軟な管理で、情報漏えい対策にも効果的。本資料では、セキュリティや各種機能、コストメリットを詳しくご紹介しています。
情報セキュリティ対策の教育の必要性
情報セキュリティ対策の教育がなぜ必要なのかと言えば、現代の企業活動はほとんど全て、インターネットに繋がったネットワークの中で行われているからです。
そのため、企業や組織の従業員の情報セキュリティ意識が低いと、そこをセキュリティホールとして、人的な要因が引き金となり、情報漏洩につながる可能性が考えられます。
せっかく経営陣が情報セキュリティ意識を持ってさまざまなセキュリティ対策のソフトウェアなどを導入したとしても、末端の従業員の情報セキュリティ意識が低ければ意味がありません。だからこそ今、教育が急務だと言えるのです。
情報セキュリティポリシーの策定
情報セキュリティポリシーとは、企業が情報セキュリティ対策を行う際に立てる対策の方針や行動指針をまとめたものを意味しています。
情報セキュリティポリシーを策定する目的は、企業や組織の持っている知的財産、顧客情報、その他の機密情報を外部からのサイバー攻撃や人的な要因のミスによる情報漏洩などから守ることにあります。
企業が一度でも、情報漏洩を起こしてしまうと、それがサイバー攻撃であれ、従業員の人的ミスであれ、最悪の場合は損害賠償も含めた大規模な損失を被る可能性があります。そのような事態を避けるためにも、情報セキュリティポリシーの策定は必須であると言えるでしょう。
情報セキュリティポリシーの伝達・周知の重要性
情報セキュリティポリシーの策定が終わったら、それでミッション完了というわけではありません。情報セキュリティポリシーは、きちんと伝達・周知を行い、末端の社員に至るまで浸透させた上で運用を実施する必要があります。
この時、役に経つのが以下に記載したPDCAサイクルです。このサイクルを循環させることにより、情報セキュリティポリシーが正しく伝達・周知され、運用されていく流れを作ることができます。
PLAN
PLAN=計画及び目標の策定のことを意味しています。まずは、情報セキュリティポリシーの基本方針や、具体的な対策の基準、実施手順などを策定していきます。
DO
DO=導入及び運用のことを意味しています。策定完了した情報セキュリティポリシーの実際の運用を始めるために、必要なシステムやソフトウェア、ツールなどを適時導入し、役員から末端の社員に至るまで、組織全体に教育を実施します。
CHECK
CHECK=監視及び見直しを意味しています。策定された情報セキュリティポリシーが正しく伝達・周知され、運用されているのかを確認し、ポリシーが遵守されているか、内容に問題点や運用上の欠陥がないかなどを徹底的にチェックします。
ACT
ACT=改善及び処置を意味しています。チェックを行なった際に、問題点や欠陥が見つかった場合には、情報セキュリティポリシーを適時見直し、うまく機能するように改善を行います。
なお、PDCAサイクルでは、ACTまで回って改善をし終えたら、冒頭にもお伝えした通り、このサイクルを循環させてブラッシュアップしていきます。
情報セキュリティポリシーの教育方法
情報セキュリティポリシーの教育方法については、具体的に以下のような方法が挙げられます。
役員だけでなく全従業員を対象とする
経営陣や役員だけが情報セキュリティポリシーに詳しくても、他の従業員のセキュリティ意識が甘ければ、そこがセキュリティホールとなるリスクがあります。そのため、教育に関しては全従業員を対象とすることが重要だと言えるでしょう。
情報セキュリティポリシーの運用開始や改訂時に教育を実施
教育を実施する時期ですが、情報セキュリティポリシーの運用開始や、改訂時に行うのが良いでしょう。PDCAサイクルを回しながら、改善が行われたタイミングで繰り返し教育を浸透させていくことが大事です。
デバイスのウイルス対策の徹底
社内及び社外で利用するパソコン、スマートフォン、タブレットなどのデバイスに対して、ウイルス対策の実施を徹底する必要があります。各従業員が利用しているデバイスもセキュリティホールになる可能性があるため、注意しましょう。
パスワード管理の厳格化
パスワードが漏洩または突破されてしまうと、簡単に社内ネットワークや機密情報にアクセスされてしまうことになります。そのため、パスワード管理を厳格化し、なるべく複雑な設定を行い、漏洩を防ぐようにしましょう。
電子メールなどの誤送信防止
個人情報漏洩の人的ミスとして代表例となるのが、電子メールなどの誤送信です。一斉送信でミスをしてしまった場合、ユーザーの大量のメールアドレスが添付されたままで送付されてしまう危険などもあるため、誤送信防止の対策も徹底すべきです。
バックアップの徹底
サイバー攻撃を受けた場合、Webサービスやサイトなどが表示できない事態になることがあります。その際には復旧にバックアップが必須となるため、最新のバックアップを常に取るように対応することが重要です。
SNS利用の注意喚起
従業員がSNS利用を行う場合、個人の不用意な発言や不謹慎な行動の発信などにより、他のユーザーから集中的な批判を受け、その被害が会社まで及ぶ「炎上」と呼ばれるケースにつながる可能性があります。そのため、SNS利用の注意喚起は必ず行いましょう。
安全な回線の利用
サイバー攻撃は、基本的にインターネット回線を通じて行われます。そのため、社内ネットワークを活用する際には、安全な回線を確保して利用するように心がけることが大切です。
社員・職員全般の情報セキュリティ対策は万全に
今回は、社員・職員全般に教育すべき情報セキュリティ対策の基礎知識について詳しくお伝えしてまいりました。まだ社内の情報セキュリティに対する意識が甘いと感じられる経営者の方や、情シス管理者の方は、ぜひともこの機会に情報セキュリティ対策について見直してみてください。
社内のセキュリティポリシーに
沿ったストレージ運用を。
-
全社的なセキュリティ強化におすすめのクラウドストレージ「DirectCloud」。
ファイルサーバーを超える厳格かつ柔軟な管理で、情報漏えい対策にも効果的。本資料では、セキュリティや各種機能、コストメリットを詳しくご紹介しています。
