2006年11月15日
074.社内の機密管理体制を見直す
■コンピュータの機密情報保護
個人情報保護法が施行されてから一年近く経過しました。社内では個人情報のみならず、機密情報の保護対策が進んでいると思いますが、現在に至っても情報漏洩事件や事故が後を絶ちません。
ほとんどの企業がコンピュータやネットワークシステム(「コンピュータ等」といいます)を利用していますが、漏洩の大部分が、ここから発生しているといえます。
社内でコンピュータ等を利用する際の危険、つまりサイバーリスクには、たとえば、コンピュータウィルスやハッカーによる社内システムへの侵入、また社員による機密データの漏洩などが挙げられます。
これらを見ると、「外部からの不正アクセスは起こりえない」、「コンピュータウィルスには感染しない」、「社員が機密情報を無断で持ち出さない」、「業務上で持ち出した機密データを社外で盗まれたりはしない」とは言い切れません。
そこで、社内のサイバーリスク対策についてお話したいと思います。
■外部からの攻撃対策
企業が外部から受けるサイバー攻撃には、ホームページの改ざん、サービス妨害、機密情報や個人情報の盗難・漏洩・改ざん・消去、不正プログラムの侵入、コンピュータウィルスの感染などがあります。
サイバー攻撃を受けると、修復不可能な事態へと発展します。そうなると、当然、業務が妨げられたり、会社の信用が落ちたり、時には感染したコンピュータウィルスが他社に攻撃をすることにより、加害者になる可能性もあります。
このような被害を防ぐには、コンピュータ等に下記のような対策システムを導入することが必要となります。
①ファイアーウォール
②最新ソフトウェア(パッチソフト)
③ウィルス対策ソフト
④定期的なバックアップ
それぞれ、外部からの不正アクセスを防ぎ、コンピュータの脆弱性を取り除き、コンピュータウィルスの感染を予防した上で、万が一に備えて、データの保全をするものです。
しかし、これらは導入していればいいというものではありません。社内環境や利用方法に合わせた適切な設定をした上で、定期的なチェックを行わないと、不十分なセキュリティになってしまいます。
■内部からの漏洩対策
サイバーリスクというと、外部からの攻撃を連想されがちですが、実は内部(社員や関係者)から機密情報が漏洩する事件や事故は、機密情報漏洩全体の8割を超えます。
内部からの漏洩を防ぐためには、以下のような対策が必要となります。
①機密情報保護規程の作成
②監視・管理体制の整備
③アクセス権限
④パスワード設定
⑤パソコンの使用制限
⑥大容量記憶媒体の使用制限
⑦社員教育
様々なルールを決めたとしても、実践して効果が出なければ意味がありません。社内研修や勉強の機会を設け、社員のモラルを向上させるとともに、業務や情報の流れを管理して、漏洩の危険を事前に発見する仕組みを作る必要があります。また、社員一人ひとりと「秘密保持誓約」を結ぶことは、意識の向上と漏洩の抑制の効果が期待できます。
■最後に
コンピュータが普及して久しくなりましたが、その進化は今も加速し続けています。当然、それを用いた事件や事故が多発しており、前述のように対策方法も多種多様になっています。しかし、残念ながら、コンピュータを使う企業の対応は全く追いついていないと言えます。
サイバーリスクについて、外的対策と内的対策に分けて見てきましたが、今一度、社内の環境を振り返り、対策を整える必要があります。
トラックバック
このエントリーのトラックバックURL:
http://www.somu99.com/cgi/mt/mt-tb.cgi/87