1/2

情報セキュリティ

情報セキュリティーは、企業の存続を左右するほど重要な課題ではありますが、その重要性を十分に理解されているとは言えない状況です。

しかし、最新のOSのシステムに替えてシステムアップデートを励行し、脅威についての知識をもって、日々の行動に気を付ければ、かなりのリスクを低減できます。

まずはできることから始める。これが、情報セキュリティを向上させる唯一の方法です。

ITCなら、幅広い情報セキュリティに対応できます。

​ご質問があれば、お気軽にご相談ください。

OSの保守切れに「ご用心」

多くコンピュータウイルスやワームと呼ばれる脅威は、OS(パソコンの基本ソフト)の脆弱性(不備)を狙って侵入してきます。OSメーカーも脆弱性の修正を日々行っていますが、古いOSのメーカ保守が終了すると修正プログラムの提供がなくなり、修正されなくなり、脆弱性が放置されることになります。ここを悪いハッカーや犯罪集団が狙ってくるのです。
もし、使用しているソフトウエアーの関係で最新のOSに移行できないようであれば、そのパソコンはインターネットに接続しないで運用すべきです。仮にウイルス対策ソフトを使用していたとしても、OSの脆弱性が修復されていない以上、ウイルス対策ソフトが検知できないウイルスに感染して情報漏洩やランサムウエアー(データを暗号化して身代金を要求する手口)を防止できないからです。
​しかし、最新のOSを導入して、ウイルス対策ソフトも常に最新状態にしてもリスクがゼロになることはありません。(ただし、以下の対策を行うことでかなりリスクを抑えることができます)

まずは、対策が必要だと認識する

パソコンも家電製品や事務機のような感覚で利用していますが、現代のようにインターネットに接続されるようになって、ウイルス対策・情報セキュリティー対策が必須となりました。
 
近年、テレビやビデオデッキなどもインターネットに接続され、パソコンと同じように狙われる時代になりましたが、そこにある情報にあまり価値がなく、情報漏洩の心配はありませんが、第三者を攻撃する踏み台に使われたり、プライベートな写真や動画が流出するリスクがあります。
 
ですから、インターネットにつながる機械には、それぞれ対策が必要だと認識してください。
情報セキュリティー対策の普及を目指しているIPA(情報処理推進機構)では、「Security Action」という活動を行っていて、「セキュリティー対策自己宣言」を行うとロゴが使用でき、かつ「IT導入補助金」を受ける条件を満たすことができます。
一度、ホームページでご確認されることをお勧めします。

情報セキュリティーの教育が重要

パソコンのOSなど技術的な対応も必要ですが、実は、セキュリティーに対する理解が大切なのです。統計的に言っても「パソコンの盗難・紛失による情報漏洩」や「書類の盗難・紛失」など、情報紛失によるリスクの大きさの認識不足による安易な取り扱いが原因である場合が多いのです。
実際に純粋(感染経路が不明)にウイルス感染で情報漏洩が起きたケースは少ないのが現実です。
たとば、「安易に知らないメールの添付文書を開かない」とか「仕事用のパソコンでは仕事上必要なサイトしか閲覧しない」などの啓蒙を行うだけでも、かなりの効果があります。
​このような研修や教育はITCなど、IPAの指導を受けた専門家がいますので、ご希望があればご相談ください。

社内規定の整備

情報漏洩の原因に、内部犯行の占める割合がかなり高いと統計に出ています。
内部犯行を犯す条件として「機会」「動機」「正当化」の3つの条件が揃うと発生リスクが高まります。
「機会」は、機密情報の取り扱い時には、担当者を二名で行うとか、USBメモリーの使用を制限するなどの方法があります。
「動機」は、仕事や上司への不満など、コミュニケーションで察知し解決します。
「正当化」は、今実行しようとしている行為が、会社として禁止されていないと考える事を指します。これを防ぐには、就業規則や退職時の誓約書に情報漏洩防止義務を明確化して、場合によっては罰則規定を設けるなどが有効です。

​事故に備える

どんなに対応しても100%安全であるとは言い切れません。仮に発生しても被害を最小化するための対策も必要です。
最近流行しているランサムウエアーですが、通常のバックアップ(他のドライブにコピーする)方法では防げない可能性が高いのです。感染したパソコンがドライブ(例えば z: など)として認識していれば、そのドライブも人質として暗号化されてしまいます。
そんな場合に備えて、バックアップソリューションを導入するのも方法です。
​検討する価値はあると思います。