執筆原稿
どう取り組む、中小企業のITセキュリティ対策
| 掲載誌 | 会誌「中小企業だより 新年特別号 1月5日・15日合併号」 (東京都中小企業団体中央会) |
|---|---|
| 掲載年月 | 2005年1月 |
| 執筆者 | 井上きよみ |
| 記事の解説 | 中小企業の経営者および経営指導をする人向けに、経営的視点でネットセキュリティの必要性を易しく解説。 |
1.ITセキュリティに対する経営者の誤解
コンピュータウイルス、ネットワーク詐欺、情報漏えい等の事件が新聞を賑わしています。しかし、ほとんどの中小企業では「対岸の火事」と言わんばかりに他人事です。そして、ITセキュリティに関して、多くの経営者が誤解をしています。
(1) 誤解その1:当社には盗まれて困る情報はない
例えそうだとしても、不正アクセスを試みる犯罪者は、あなたの会社の情報を狙っているわけではありません。標的の企業や組織に直接攻撃を仕掛けると「足がつく」ため、隠れ蓑となるアジトを物色するためにやって来るのです。そのため、結果的にセキュリティの弱い中小企業や個人が狙われ、攻撃の「踏み台」とされます。
ある日突然、大企業などから「あなたの会社から攻撃された。証拠もそろっている。損害賠償してほしい」と、驚愕の事実を突きつけられるのです。まさに寝耳に水。気づかなかった、何の記録もとってなかったでは済まされません。これだけネットワークが発達した世の中で、何ら対策を講じていなければ「自己責任」を問われるのは当然です。「被害者=加害者」の図式が描けるのは、コンピュータウイルスだけではありません。
(2) 誤解その2:セキュリティはコンピュータに詳しい者に任せればいい
泥棒や雨風からお金や大切なものを守るために、金庫を置こうとか、保険をかけようとか、専門家のアドバイスを仰ぎつつも、最終的には経営者自ら決断しているはずです。
ITセキュリティも全く同じで、単に「技術」的問題ではなく、危機対策であり、経営的課題として捉えなければなりません。これは何らかの事故・事件があった時によくわかります。
情報漏えいなどの事件が発覚した時、直後の経営者の対応によって信頼回復できるか、それともされに信用失墜となるかが分かれます。2004年の事件で言えば、前者の典型例がジャパネットタカタ、後者がヤフーBBというところでしょう。ちなみにジャパネットたかたでは事件後、社長自ら情報セキュリティ最高責任者となり、安全で強固なセキュリティ環境実現を図る、と宣言しています。
2.経営的視点が欠かせないITセキュリティ
2-1. 情報セキュリティポリシーを策定しよう
これからは企業としてどのように取り組んでいくか、経営者の姿勢や方針を内外にきちんと示すことが重要です。ウイルスメールを送るなど取引先の迷惑になることをしない、もしくは顧客情報や技術ノウハウの流出を防ぐ等々、自社にとって重要なことが何かを経営者自身が考え、結論を出します。それを「情報セキュリティポリシー」として、わかりやすいことばでまとめ、掲げましょう。つまり、セキュリティポリシーによって、企業としてのITセキュリティに対する取り組み姿勢や考え方がわかるようにします。
一般的に表に示した内容を盛り込めばよいと言われていますが、記載の順番も含め、絶対的なものはなく自由に構成できます。
| 項目 | 内容 |
| 目的、(趣旨、背景) | 情報セキュリティ対策を実施する目的や、その背景。なぜセキュリティ対策が重要かや、セキュリティポリシーを策定する目的など。 |
| 基本声明 | 組織トップからの宣言。もしくはポリシー本文の前後に「代表取締役 ○○ ○○」と入れることで、トップの言葉であることを明確にする。 |
| 適用範囲 | セキュリティポリシーを適用する範囲。全社か、例えば顧客情報を扱う部署やシステムに限定するといったこと。 |
| 構成と位置づけ | セキュリティポリシーがセキュリティ対策の頂点にあり、すべての対策のよりどころとなること。そして、ポリシーの文書類が複数あれば、その文書名と関係を書く。多くは頂点に「基本方針」(狭義のセキュリティポリシー)、その下にもう少し具体的な「対策基準(スタンダード)」、さらにその下に「実施手順書(プロシージャ)」という三層構造をとる。 |
| 用語の定義 | 文中で使われる用語(セキュリティポリシー、ネットワーク等)の意味や示す範囲。 |
| 方針 | セキュリティ対策の方針。何をどう守るかという内容。守るべきもの、それに対する脅威をあげ、その脅威にどのように立ち向かうかを具体的に記してもよい。 |
| 体制 | セキュリティを推進する体制。だれが責任者で、どのような役割を持つ部署や担当を配置するかということ。小さい組織では社長が責任者で、特に新たな部署は作らずとも、全員が適宜担当となるはず。 |
| 責務 | 社長、役員、従業者の責任と義務。 |
| 罰則 | ポリシーやそれに沿う規則に違反した場合は罰則を適用するという文面。罰則自体を詳しく書く必要はなく、「就業規則にしたがって懲戒を行う」という形でよい。しかし、セキュリティポリシーを強制力あるものにするため、必ず入れたい項目である。 |
| 関連法規等の遵守 | 関連する法規やすでにある社内規定に遵守するということ。 |
| 定期的な評価と 見直し | 定期的にセキュリティポリシーの運用状況をチェックし、必要であれば修正等を行う旨を書く。 |
2-2. 形式よりも実質的な周知徹底
しかし、「形」を整えることよりもずっと大切なのは、社内の全員にセキュリティポリシーが周知徹底され、だれもがそれに基づいた行動を起こせるようになることです。根付いてこそ、意義があります。
たくさんの会社や団体がWeb上で自社ポリシーを公開しているので、それを参考にするのはかまいませんが、あくまで自社の姿勢がよくわかり、実行に移せることを第一義としてください。
2-3. 具体的行動に結びつく「マニュアル」
セキュリティポリシーは、その性格上、理念的な表現になりがちですが、ポリシーに則って、具体的な行動が起こせる「マニュアル」を作成しましょう。例えば「出社から退社までに守ること」という具合に、全員が守るべきルールを箇条書きにし、その中にITセキュリティも含めればいいでしょう。
| <例> パソコン利用に際して |
| ・自分のID、パスワードでログオンする ・パスワードは他人に教えない、紙に書かない ・スクリーンセーバにパスワードを設定し、5分で起動するように設定する ・業務に関係ない電子メールやホームページ閲覧は、休憩時も含めて行わない ・パソコンの調子がおかしくなった時は、直ちにネットワークケーブルを抜き、○○さんに連絡する |
| <例> 退社時のルール |
| ・書類やフロッピー類はきちんと片づけ、机の上には何もない状態にする ・パソコンは必ずログオフして、電源を切る ・窓の施錠を確認する ・最後に退出する場合は、電気を消し、入り口の施錠と警報装置をセットする |
最小限のルールを決めて、全員がきちんと行動に結びつけられるようにしましょう。
2-4. 規定・誓約書で精神的な「縛り」を
セキュリティは各個人の「意識」にゆだねられる部分が最も多く、大手企業では監視用のソフトを入れたり、アクセス記録をとることによって、抑止力を高めていますが、中小企業では金銭的、運用的に難しいでしょう。
そこで、ほとんどお金をかけず、一定の抑制力を期待できるのが「誓約書」です。「不正使用しないことを誓います」という旨の誓約書を配布し、記名捺印してもらいます。
社員の不正の多くは辞めた後に発覚します。誓約書内に「重大な損害を与えた場合は、退職後もその賠償の責を負う」という条項を入れておけば、就業規則では縛れない退職後についても補えます。
3.受注獲得にもITセキュリティは必須に
政府のかけ声の下、急速に電子商取引の波が押し寄せてきました。ネットワーク時代に対応できなければ売上増はおろか、社会から取り残されていきます。電子入札などでは、ウイルスチェックがしっかり実施されているといった、一定のITセキュリティ要件を満たさなければ参加できないものもあります。今までITセキュリティを強化しても「経営のプラスにならない」という声をたくさん聞いてきましたが、これからは全く異なります。ITセキュリティの強化は、経営の必須課題となりつつあります。
EDIT
コメントする