近年、サイバー攻撃や情報漏えいのニュースは大企業だけでなく、中小企業にも広がっています。「うちは規模が小さいから狙われない」「特別な情報は持っていないから大丈夫」と考えている企業ほど、実は攻撃者にとって狙いやすい存在になりがちです。
そこで今回は、企業のセキュリティ担当者に知っておいてほしい、情報セキュリティで気を付けたいポイントについて、実務目線で解説します。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。多くの方にご満足いただいている無料セミナーは、東京国際フォーラムにて定期開催中です!Webからもご参加いただけます!
まず意識すべき3つの要素
情報セキュリティを考えるうえで、まず意識すべきなのは「情報セキュリティの3要素」です。ISMSに関する国際規格(ISO/IEC 27000 シリーズ)では、情報セキュリティについて、以下の3要素を維持することだと定義されています。
■機密性 (Confidentiality)
■完全性 (Integrity)
■可用性 (Availability)
それぞれの頭文字を取って「CIA」と呼ばれることもあります。それぞれの内容について解説します。
「機密性」は、権利を持つ人だけが特定の情報を取り扱える状態のことを指します。機密性が維持されていないと、情報漏洩や不正アクセスに繋がってしまいます。
「完全性」は、その名のとおり組織・企業が持つ情報が、正確であり改ざんされていない状態であることを指します。完全性が維持されていないと、情報の利用価値が失われ、組織・企業の信頼にも大きな影響を与えます。
「可用性」は、組織・企業が持つ情報をいつでも使える状態にしておくことを指します。維持されていないと企業活動が停止してしまう可能性もあるため、重要な要素といえます。
近年では新たに以下に挙げる4つの要素が追加され、より高度な情報セキュリティ体制の構築が求められるようになっています。
■真正性 (Authenticity)
■信頼性 (Reliability)
■責任追跡性 (Accountability)
■否認防止 (Non-repudiation)
今後も、時代の変化とともに要素が追加されることも考えられますが、まずは基本の3要素を意識することから始めるといいでしょう。自社で徹底するのはもちろんですが、新たな取引先と契約するときや新しい社外サービスの利用を開始するときも、チェックを徹底するようにしてください。自社の情報資産に関わる組織・企業にも、同じ意識レベルで情報を扱ってもらうことが非常に重要です。
特に注意すべき具体的ポイント
情報セキュリティ対策というと、高額なシステム投資や専門部門が必要だと思われがちです。しかし、実際には「基本的な対策ができていない」ことが原因で被害に遭うケースも少なくありません。業務効率を優先するあまり、セキュリティが後回しになり、結果として重大インシデントを引き起こしてしまうと本末転倒です。
こうした事態を避けるために、特に注意すべき具体的なポイントについても解説していきたいと思います。
◎パスワード管理を徹底する
今なお「123456」「会社名+数字」といった推測しやすいパスワードが使われているケースがあります。複雑なパスワードを設定し、使い回しを避けること、可能であれば多要素認証を導入することが望ましい対策といえます。
◎メールを適切に取り扱う
標的型攻撃メールやフィッシング詐欺は年々巧妙化しています。「請求書」「至急確認」といった件名は特に注意が必要です。ウイルス対策ソフトの導入だけでなく、「不審に感じたら開かない・相談する」という社内文化を作ることが重要です。
◎データをバックアップする
ランサムウェア対策としても、定期的なバックアップは欠かせません。
バックアップデータを社内ネットワークから切り離して保管することで、被害を最小限に抑えられます。
◎情報を適切に預ける
業務委託先やクラウドサービスの利用が増える中で、「情報を預ける」というリスクも意識する必要があります。契約内容やセキュリティ対策の有無を確認したうえで、事前に責任範囲を明確にしておきましょう。
上記は基本中の基本と言っても過言ではありません。まだ対策が完全ではない場合は、すぐにでも対応することをおすすめします。
自社に潜むリスクは…?とお悩みのセキュリティ担当者へ。
分からないことはプロに聞くのが一番!オプティマ・ソリューションズでは、メールでのお問い合わせも受け付けております。まとまった時間が取れない方や遠方の企業様も、フルサポートいたします!
セキュリティ対策は経営課題であることを忘れずに!
一度重大インシデントが起きてしまうと、組織・企業は金銭的損失だけでなく、顧客や取引先からの信頼を失う可能性があります。セキュリティ担当者だけではなく、経営層が情報セキュリティに関心を持ち、従業員に取り組む姿勢を示すことが、最も効果的なセキュリティ対策といえるでしょう。
情報セキュリティ対策は「難しい」「コストがかかる」というイメージを持たれがちですが、基本的なルール作りや意識改革から始めることで、リスクは大きく下げられます。できるところから着実に取り組むことが、結果として企業を守る最善の方法となるのです。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
