株式会社オールコネクト
オペレーション・コンサルティング本部 管理部 通信インフラ課
野澤 秀彰 さん
インターネットサービスの提供等を行う通信業の㈱オールコネクト(福井市栂野町15の1の2)。同社の野澤氏は、社内のネットワーク・サイバーセキュリティを担当するほか、国家資格である「情報処理安全確保支援士」を有し、情報処理安全確保支援士会の北陸担当理事としても活躍しています。近年、情報漏洩等のセキュリティ事故は増加傾向にあり、多大な損失発生の可能性もはらんでいます。今回は情報セキュリティの考え方について伺いました。
情報漏洩のリスクは「社内」に潜んでいる
業務効率化や生産性向上、売上・集客力アップなど、デジタル化には様々な効果が期待できます。しかし、デジタル化の必要性が叫ばれる前から危惧されてきたことですが、情報漏洩のセキュリティ対策も忘れてはいけません。ここ数年、大企業だけではなく中小企業・小規模事業者においてもセキュリティ事故が増加傾向にあります。それらは外部からのハッキングによるケースもありますが、内部の対策不足や従業員の認識不足が原因となることが多いです。
今や「デジタル化に着手していない」という事業所であっても、事務所でパソコン(PC)を利用し、顧客とメール等でデータのやり取りしている方が大半かと思います。そこでどんなに外部からのサイバー攻撃に対して防壁を築いていたとしても、内部の不注意で顧客・個人情報や会社の機密事項を流出させてしまいかねません。複数のPCのインターネット接続を行う「ルーター」や、外部からの侵入を防ぐ「ファイアウォール」などといった装置は「外部から内部」への攻撃に効果を発揮しますが、「内部から外部」への通信等については簡単にセキュリティを突破してしまいます。
普段の業務で気を付けたい場面は
紙媒体であれば「保管すべき場所に戻しておかないといけない」と不安に駆られ、すぐ情報を守る行動を起こすかと思います。一方、データ化されたものは実体がなく、管理がおろそかになりがちです。例えば、顧客情報をPC上で確認している途中に来客があった場合、画面を開いたまま席を長時間空けてしまっていないでしょうか。IDやパスワードを他のPC等と同様にする方もいますが、スリープ状態に入りロックがかかっても従業員であれば誰でも簡単にログインできてしまいます。一人ひとりに異なるIDとパスワードを付与するようにしましょう。
また、最近はオンライン会議システムが浸透し、社内外の打合せもPCやタブレットの画面越しに行う機会も増えています。その際、注意したいのは自分の画面に思わぬ情報が映り込んでいないか、です。画面共有時には相手方にも自分の画面が見えているのでメールのプッシュ通知、顧客情報が表示されることがないよう、オンライン会議専用のPCを用意した方が良いでしょう。
福井商工会議所では、職員の情報モラル向上のため、標的型メール訓練を実施しました。その結果、「怪しいメールは開封しない」という意識が職員に浸透しました。
自社の規模に合ったセキュリティを
セキュリティ対策は売上に直結せず、むしろコストがかかるものです。しかし、万一、情報漏洩等の問題が発生した場合、金銭トラブルや信頼低下など会社にとって大きな不利益を被ってしまいます。一方で、かなり高度なセキュリティを設けようとすると多額の費用がかかり、負担が大きくなります。
一概には言えませんが、PCの台数やネットワークの広さ、やり取りする情報量の多さ等が必要なセキュリティレベルの判断基準になるかと思います。内部のセキュリティモラルがしっかりしていればルーターや低コストのソフトだけで十分な場合もあります。まずは自社がどこまでセキュリティ対策ができているのか認識することが大切です。
以前、私が訪問した運送会社様では、社内で10台の業務用PCを所有しているものの、外部とメールでやり取りに使用する一部の機器にしかセキュリティソフトを導入していませんでした。しかし、一つのルーターでネットワークを共有しているのであれば等しくサイバー攻撃を受ける可能性があり、セキュリティの甘い端末が標的とされてしまいます。そのため全てのPCにソフトを入れるようアドバイスしました。
セキュリティの考え方は「今起きていないから大丈夫」ではなく、「今後何か起こるかもしれない」と用心することです。交通事故と同じで明日は我が身と思って留意いただきたいです。
表のようなセキュリティ事故が実際に多く発生しています。福井商工会議所では、専門家との相談機会を設けております。自社のセキュリティレベル診断や対策実施のため、お気軽にお問い合わせください。