================================
経営コラム SOLID AS FAITH 19周年記念特別号
================================
第1章:ご挨拶
第2章:情報セキュリティとは
第3章:中小零細企業の情報セキュリティ事件簿
第4章:これだけは知っておきたい!情報セキュリティ用語集
第5章:中小零細企業の情報セキュリティ事件簿
=セキュリティ対策解答編(前編)=
第6章:仮想空間の落とし穴
第7章:中小零細企業の情報セキュリティ事件簿
=セキュリティ対策解答編(後編)=
第8章:終わりに
あとがき
================================
☆注意:お読みになる際には、枚数がかさみ恐縮ながら、プリントアウト
の上お読みになることを、心よりお勧め申し上げます。
================================
第1章 ご挨拶
ソリアズをご覧の皆様、こんにちは。17周年記念特別号に引き続き、19周年
記念特別号を担当させていただくことになりました、合同会社アイソリュー
ションの山口佳織です。通算して5回目の登場となりますが、今回もどうぞ
最後までご笑覧いただけますと幸いです。
ここ最近、お客さま情報や取引情報を蓄積するデータベースやシステム構築
の相談を受けることが増えてきました。その時に必ずと言ってよいほど聞か
れるのが、「このシステムの実現方法で、セキュリティは問題ないのでしょ
うか?」という質問です。情報をDropboxなどのクラウドストレージに保存
しましょう、という提案をするときも、同様の質問を受けることがあります。
インターネット上に情報を保存することで、大事な情報が漏洩してしまうの
ではないかという不安を感じる方が多いようです。実際には、Dropboxなど
のクラウドストレージの方が、金融機関並みに堅牢な環境で情報を保存・管
理していることが多く、自社内で情報を保存・管理するよりも物理的には安
全なことが多いのです。
今まで、私が訪問させていただいたクライアント企業では、「ウチは漏れて
も良いような情報ばかりだし……」という話を聞くことが多くあります。た
だ、情報漏洩で失われるのは情報だけではなく、外部企業からの信頼も損ね
てしまいかねません。また、多くの企業が後継者不足で廃業する中、今まで
は取引のなかった大手企業との直接取引が増えてきたという事例も聞きます
が、大手企業とのやり取りこそ、信頼が重視されるように思います。
情報セキュリティが不十分になってしまう理由を考える時に、何を使うかも
重要な要素ですが、それ以上にどのように使うかの方が大事になってきます。
今回の19周年記念特別号では、情報セキュリティに関するよくある誤解から、
中小零細企業の日々の企業活動でどのような情報セキュリティのリスクがあ
り、どのように気をつければ情報漏洩や情報セキュリティにまつわるトラブ
ルを防げるのかを詳しく解説いたしました。企業の信頼を損ねないために、
どのようなことをすればよいのか、19周年記念特別号が多少なりとも情報セ
キュリティ対策を見直すきっかけとなりましたら幸いです。
================================
第2章 情報セキュリティとは
「情報セキュリティ」という言葉を聞くと、多くの方はハッキングやウイル
ス感染をイメージされるのではないでしょうか。
●自社にはそこまで貴重な情報も保管されていないから、漏洩に関しては気
にしなくても大丈夫
●情報漏洩は大変だけど、わざわざ自社を狙ってハッキングされることはな
いだろう
●必要最低限の対策(ウイルスソフトを導入するなど)だけ済ませていれば
大丈夫
●なぜ手間を増やしてまで情報セキュリティを意識して企業活動をしなくて
はいけないのかが分からない
というのが、よく聞く中小零細企業の情報セキュリティに対する認識です。
もちろん、ウイルスソフトは必要最低限な情報セキュリティ対策の一つでは
ありますが、実際の情報セキュリティ対策を考えるときには、より広範囲の
ことを考えなくてはいけません。何を考えるかを知るためには、そもそも情
報セキュリティとは何であるかを知る必要があります。
情報セキュリティの要素には、「完全性」「可用性」「機密性」の3つがあ
ります。一般的に「情報セキュリティ」という言葉からイメージされる情報
漏洩は、機密性に含まれるものになるため、情報漏洩の対策だけしていても
情報セキュリティ対策が十分とは言えません。
情報セキュリティの各要素について、もう少し詳しく、具体的に説明します。
【完全性】情報が常に正しい状態であることを保証することを指します。
例えば、住所録が複数あった時に、移転したお客さまの移転先の住所が1つ
の住所録でしか修正されない場合は、完全性が満たされないことになります。
住所録を1つにまとめるか、修正時は必ず複数の住所録を修正するようにル
ールをつくる必要があります。
【可用性】使いたい時に使いたい情報にアクセスできることを指します。
例えば、PCのデスクトップ上にのみ、業務に使うExcelやWordデータを保
存している場合、PCが壊れてしまったら使いたい時に使いたい情報にアクセ
スできないことになるため、可用性が満たされていません。適切にバックア
ップを取る必要があります。
【機密性】情報が漏洩しない状態であることを指します。
例えば、ハッキングや、よくニュースになっている派遣社員の顧客情報持ち
出しもそうですが、メールの送信先間違いをすることで、本来知らされるべ
きでない方に、知らされるべきでない情報が伝わってしまうこともあるため、
機密性が満たされません。常にデータのバックアップをしたり、誰にどの情
報を渡したいのかを意識する必要があります。
このように、「うちの会社には関係ない」とついつい思いがちな情報セキュ
リティですが、案外身近なところで起きてしまうものです。やってしまった
従業員本人に悪意がなかったとしても、PCが壊れてしまって、作成中の見積
もりデータが出せなくなってしまったり、競合先に自社あるいはお客さまか
らお預かりした機密情報を送ってしまったとしたら、お客さまからの信頼を
損なった上に、取引を中止せざるを得ない局面に追い込まれてしまったり、
場合によっては数億円単位の損害賠償請求を求められるかもしれません。情
報セキュリティの各要素が満たされない状態となると、経営上、大きな支障
が出てしまうのです。
一方で、多くの中小企業で為されている情報セキュリティ対策は、ウイルス
ソフトを導入するだけというのが大半です。少し意識が高い会社になると、
PCのデスクトップ上にはデータを保存せず、サーバにデータを保存すること
になっていたり、そのサーバのデータをコピーしてバックアップしておくよ
うになっていたりします。
もちろん、ウイルスに感染してしまうと、PCが動かなくなってしまったり、
勝手にファイルが削除されたり、突然画面に意味不明なメッセージが現れた
りしますし、最悪のケースではアドレス帳に登録されているメールアドレス
宛に、ウイルス付きのメールを一斉送信してしまうこともあるため、ウイル
ス対策そのものが重要であることには変わりありません。
しかし、会社として、取引先からの信頼を損ねないためには、単にウイルス
ソフトを入れておくだけに過ではなく、情報セキュリティの各要素を満たす
ための対策に打って出る必要があるのです。
================================
第3章 中小零細企業の情報セキュリティ事件簿
そろそろ今日の仕事もおしまいかな、と思い始めた夕方頃、「ちょっと困っ
たことがあったから、来てほしい」と、しばらくご無沙汰していた製造業の
クライアント社長が慌てた声で電話をかけてきたので、急いで電車に飛び乗
る。どうやら、派遣で勤務していた従業員と険悪になって無理に退職を迫っ
たところ、メールやホームページが急に使えなくなってしまったとのこと
だった。IT専任の担当者がいないその会社では、「若いからPCに詳しいだろ
う」という理由で、その派遣社員にIT関連の業務一切を丸投げしていたらし
い。
会社に到着早々、社長が私を見つけて走り寄ってきた。「まったく、困った
よ。ホームページが見れなくなっただけかと思ったら、メールアドレスのパ
スワードもいろいろと変えていったようだよ。管理者用の画面のパスワード
も変えられてしまったみたいで、ウチではもうどうにもできない。いつも管
理者として、メールアドレスを発行してもらっていたりしたから、それが仇
になってしまったのか……。とにかく、仕事にならなくて困っているんだよ。
メールに関しては『今日はたまたま調子が悪い』と言い訳しているけど、何
日も続くようだと取引先からも信頼を失ってしまう」と早口で捲し立てる。
とにかく復旧を急いでいたので、セキュリティ対策に詳しい業者を呼ぶこと
にした。
業者の到着を待つ間、久々に訪れた事務所の様子を見て回る。社内は、いつ
もは使えるはずのメールが使えないので、顧客に電話をかけて情報を確認す
るしかなく、慌しい様子だ。限られた台数しかないPCを、何人もの従業員
が代わる代わる使っている。夕方になると荷物の出荷手配などがあったりし
て、ただでさえ忙しいとは聞いていたが、その日に限って普段見積もりを出
すことの多い営業担当者が休みで、顧客からの急な見積もり依頼に「前回出
した見積もりのExcelファイルが見つからない」と慌てている人もいた。
ふいに、ある従業員の方から、「見てほしいものがある」と声をかけられる。
「いつも画面に表示が出るんですけど、どうしたら良いかわからなくて」と
言いながらPCの画面を見せてもらうと、Gmailの画面が表示されている。
「メールで何かお困りですか?」と聞くと、「いえいえ、こちらではなく
て……」と画面を切り替えて、「ウイルス対策ソフトのデータベースを最新
にしますか」という表示を見せてくれた。最新状態にしてもらえるようにお
願いする傍ら、Windows Updateの状況を確認すると、更新対象となるファイ
ルが沢山あったので、そちらも対応してもらうように伝えた。「毎回シャッ
トダウンするときに、更新するかどうか聞かれませんか?」と聞くと、「普
段、電源を切って帰ったりしないんですよ」と言っていた。
そうこうしているうちに、セキュリティ対策に詳しい業者が到着する。担当
者を応接室に連れていき、社長と引き合わせると、早速状況確認が始まる。
「ホームページはどこのサーバを使っていますか」「契約時の資料はありま
すか」などの質問が繰り広げられ、その度に社長が「それはどこにしまった
かな」「ああ、ここにあった」などと、資料をあちこち探し回っている。数
時間経ってひとしきり状況確認が済むと、業者が、遠隔で対応を始めるため
に一旦帰社しますと帰っていった。セキュリティの当面の対応は業者に任せ
ることにして、私も社長と一緒に会社を後にすることにした。「少しだけ用
があるので」と言う社長についていき、事務所に立ち寄る。就業時間後の事
務所は全員が退社した後のようで、がらんどうだ。机の上には、今日処理が
終わらなかった書類が重なっていた。社長に「お待たせしました。駅までで
よければ、車で送っていきますよ」と声を掛けられて建物の外に出て、駐車
場に向かった。
翌日の午後、セキュリティ専門業者の対応でメールは復旧したと社長から連
絡があった。ホームページは元データを残していなかったためすぐには直ら
ず、完全復旧したのはその一週間後のことだった。
================================
第4章 これだけは知っておきたい!情報セキュリティ用語集
【Windows Update】
第3章にも登場したが、PCの電源を切る時に「更新プログラムをインストー
ルしてシャットダウン」と表示されることがあります。この「更新プログラ
ム」を提供している機能がWindows Updateです。2014年に、「Windows XPを
使うのを止めましょう」と大々的に呼びかけがありましたが(2014年問題)、
これは、2014年以降はWindows XPにはWindows Updateで更新プログラムが提
供されなくなるため、使用を控えるようにという呼びかけでした。2014年問
題により、多くの企業がWindows XPからWindows7に鞍替えをしましたが、そ
のWindows7も2020年1月にはWindows Updateを提供しなくなるため、今度は
2020年問題が起こると囁かれています。更新プログラムが必要な理由は、後
の第5章で説明します。
【コンピュータ・ウイルス】
情報セキュリティと言えば第一に思い出すのがこの「コンピュータ・ウイル
ス」です。PCやスマートフォンなどの情報端末に、メールやホームページ、
USBメモリなどを介して入りこみ、悪さをします。どのような悪さをするか
というと、PCの動作が遅くなったり、ウイルスバスターなどのセキュリティ
ソフトを勝手に止めてしまったり、重要なファイルを書き換えてしまったり
するため、仕事をする上でかなり支障が出てしまいます。以前はコンピュー
タ内で悪さをするシステムの総称をコンピュータ・ウイルスと呼んでいまし
たが、今は、コンピュータ・ウイルスは「マルウェア」(悪意を持ったソフ
トウェアの総称)の一種とされています。仲間には、自身の感染ファイルが
添付されたメールを大量送信するなどの悪事を働く「ワーム」や、悪意のな
いソフトのふりをして入り込み、こっそりとPC内部の情報を盗み取ったり、
外部からの侵入経路を作ったりなどの悪さを働く「トロイの木馬」、後述す
る「ランサムウェア」などが存在します。一般的には、ウイルス対策ソフト
をPCに入れて、対策を行ないますが、万が一感染してしまった場合は、その
PCに繋がっているLANケーブルを抜きましょう。
【ランサムウェア】
「ランサムウェア」はマルウェアの一種で、便利で有益なソフトなどのふり
をしてこっそり入り込みます。一旦感染するとPC内部のファイルを通常の
操作では開けないようなファイルに変換してしまいます。変換したファイル
を元に戻してほしければ、お金を払うように……と、身代金(ランサム)を
要求することからランサムウェアと名付けられました。ただし、入金をして
も、PCのデータが元に戻らないケースもあるため、そもそも感染しないよう
に気をつけましょう。不用意に怪しいサイトを開いたり、フリーソフトを無
闇矢鱈にダウンロードしないようにしたり、定期的にWindows Updateをす
ることが防衛の第一歩です。初代ランサムウェアは1989年から存在していま
す。
【ソーシャル・エンジニアリング】
情報漏洩と言えば、なんとなくハイテクなイメージがあり、マルウェアなど
の悪意あるソフトを通じて漏洩することを思い浮かべてしまいますが、それ
だけではありません。ソーシャル・エンジニアリングはまさに、ローテクな
情報漏洩の総称です。ソーシャル・エンジニアリングには、PCを使っている
人の肩越しにパスワードなどの重要な情報を盗み見る「ショルダー・ハッキ
ング」や、ゴミ箱から個人情報やパスワードなどの情報を盗み見る「トラッ
シング」、上司や管理者などになりすまして電話でパスワードを聞き出す方
法などがあります。重要な情報は電話で伝えない、周りに注意をして重要情
報を入力する、ゴミは必ずシュレッダーで粉砕してから捨てるなどのルール
を設けることで、対策を行ないましょう。
【BEC (Business Email Compromise(ビジネスメール詐欺))】
取引先や経営者を装い、「請求書の振込先口座が変更しました」などのメー
ルを送り、お金を詐取します。この攻撃は比較的近年になってから見られる
もので、2017年年末にはJALがその被害にあったとニュースになりました。
2018年には、初めて国内で逮捕者が出たそうです。スパムメールなどの適当
なメールアドレスとは異なり、詐欺メール送信元のメールアドレスは、お客
さまのメールアドレスに近いものであったり、実際にお客さまが使っている
メールアドレスそのものの時もあったりするため、一見して本物のメールで
あると思いこんでしまう可能性が高いのも特徴です。取引先から振込先変更
の連絡があったときは、メールだけで完結せず、電話などでも確認を取るよ
うにすることで防ぐことができます。
■詳細はこちらにも掲載されています
https://www.ipa.go.jp/files/000058480.pdf
【不正アクセス禁止法】
本来、情報にアクセスすべきでない人がアクセスすることを禁じる法律です。
他人のIDやパスワードを入手したり、それを使って何らかの情報に触れたり
することそのものが禁じられています。また、退職者が退職後に、会社のメ
ールを個人のメールアドレスに転送していたり、ホームページやウェブ上の
システムにログインしていることが分かれば、(悪意を持っていなくても、
情報を書き換えたりしていなくても)不正アクセスと見做されます。不正ア
クセスは、不正アクセスをした側(この場合だと退職者など)が有罪とされ
ます。
【個人情報保護法】
個人情報を保有している事業者が、その情報を漏洩させないよう、適切に取
り扱うことを義務付けた法律です。以前は、5000件以上の個人情報を保有し
ている事業者のみがこの法律の対象でしたが、法改正があった2017年以降は、
個人情報を1件でも保有していたら法律の対象になるため、全事業者(個人
事業主含む)が個人情報保護法を遵守する対象となりました。
================================
第5章 中小零細企業の情報セキュリティ事件簿
=セキュリティ対策解答編(前編)=
第3章で、とある中小零細企業の情報セキュリティのトラブルについて述べ
ました。退職者がトラブルを起こしたことが一番の問題ではありますが、そ
れ以外にも、情報セキュリティを考える上でいくつか問題点があります。第
5章と第7章では「解答編」ということで、どこが問題点で、本来どうすべ
きかを前編・後編に分けて見ていきたいと思います。
【問題点1】
派遣で勤務していた従業員と険悪になって無理に退職を迫ったところ、メー
ルやホームページが急に使えなくなってしまったとのことだった。
【解決策1】
退職者が知っているパスワード類をすぐに変更しなかったことが今回の大事
件を引き起こすきっかけになっています。
「退職者の管理も満足にできない会社なのか」「またいつか、同じようなこ
とが起きて、仕事が滞ってしまうことになるのかもしれない」と取引先に与
えた不信感を払拭することは並大抵のことではありませんし、経営に悪影響
を与えてしまうことは火を見るよりも明らかです。
このような事態を引き起こさないためにも、退職者が出た時に、退職者が使
っていたIT関係のものをどのように扱うかということを決めておく必要があ
ります。特に営業担当などで外部に出かけることが多い人材の場合は、会社
のメールアドレスに届いたメールを携帯電話に転送するような設定にしてい
る人もいます。退職者が出た際は、◯ヶ月以内にメールアドレスを削除する、
退職者が使っているID・パスワードを削除・変更するように、社内の情報セ
キュリティルールを定めましょう。
【問題点2】
IT専任の担当者がいないその会社では、「若いからPCに詳しいだろう」とい
う理由で、その派遣社員にIT関連の業務一切を丸投げしていたらしい。
【解決策2】
問題点1とも重なるところがありますが、退職後の情報セキュリティルール
を定めた後、誰がそれを実施するかという問題になります。担当者が1名で、
その担当者が退職した場合は誰も何もできないことになってしまうため、最
低でも2名以上は社内のIT環境を理解している人材を育てましょう。
【問題点3】
限られた台数しかないPCを、何人もの従業員が代わる代わる使っている。
【解決策3】
中小零細企業ではよくある風景で、実務上はそうならざるを得ないとも思い
ます。本来は1人1台のPCを利用し、それぞれの操作ログを取っておくことが
セキュリティ上望ましくはありますが、難しいようなら離席時はスクリーン
セーバーが動くようにしたり、パスワードをかけたりするなど、部外者が簡
単にPCの中身を見られるような状態は避けるようにしましょう。
また、本来はパスワードは8桁以上で、半角英数字記号混在が望ましいとさ
れています。共有でPCを使っている場合は、複雑なパスワードでは全員が記
憶しておくのが難しくなります。パスワードを付箋に書いて、PCに貼ってお
く方も中にはいらっしゃいますが、それではパスワードを設定した意味がな
くなってしまうため、簡単でもよいので利用者全員が覚えられるパスワード
を設定しましょう。
【問題点4】
その日に限って普段見積もりを出すことの多い営業担当者が休みで、顧客か
らの急な見積もり依頼に「前回出した見積もりのExcelファイルが見つから
ない」と慌てている人もいた。
【解決策4】
一見すると情報セキュリティの問題のように見えませんが、欲しい情報にほ
しい時にアクセスできていないこともセキュリティとしては不十分です(第
2章で述べた可用性を満たしていません)。この事象は、特に、各個人がよ
く使用するPC上にExcel等のデータを保存している時によく起きます。
まずは、各個人のPC上ではなく、全員が閲覧できる共有フォルダをどこかに
作り、全員が分かるような情報整理のルールを作ることが必要です。今回の
ケースで言えば、見積書は「見積書」のフォルダを作成して必ずそのフォル
ダに保存し、Excelの名前はお客さま名とする……などのルールを設けるこ
とで、担当者以外でもすぐに必要な情報を見つけることができます。
また、PCなどの機器は、経年劣化や停電など、あらゆるきっかけで壊れてし
まいます。その時に、特定のPCや機器にしかデータが保存されていないと、
その機器が壊れた時に仕事ができなくなってしまいます。共有フォルダに保
存しているデータは、外付けのハードディスクなどに定期的に(最低でも週
1回の頻度で)データをコピーしておきましょう。
【問題点5】
PCの画面を見せてもらうと、Gmailの画面が表示されている。
【解決策5】
会社のPC以外からでもメールが確認でき、利便性が高いという理由で、
GmailやYahoo!メールなどの無料のメールアドレスに会社のメールを転送し
て使っている方もいらっしゃるようです。当然、企業活動に関わる重要な情
報や、お客さまとのやり取り、見積もりなどの添付ファイルもすべてフリー
メールに保存されるため、退職後も過去の機密情報を閲覧できてしまいます。
フリーメールの使用は原則禁止した方が情報セキュリティ上は安全ですが、
やむを得ず使用する場合は、何の目的に誰が利用しているかを正確に把握し、
機密情報は保存されないようなルールを設けましょう。
================================
第6章 仮想空間の落とし穴
日本でmixiなどのSNSが始まったのは2004年のことで、以降、ここ10数年ほ
どでSNSもかなり普及してきました。今では、企業の販促のためにFacebook
やTwitter、LINE、InstagramなどのSNSを使うことは比較的当たり前になっ
てきました。個人事業主の私でも、初対面の方とお会いすると必ず
「Facebook(LINE)はやっていないのですか?」と聞かれるほどです。ただ、
とても便利な半面、情報漏洩を始めとした仕事への影響もかなりあるため、
利用には注意が必要です。
また、企業としての公式な利用のみならず、従業員個人が会社の把握できな
い範囲でSNS使っていることも多くあります。この章では、企業活動に関わ
る場面で発生しうるSNS利用のリスクについて一部を取り上げ、まとめまし
た。
●携帯電話やPCのメールソフトに登録されているアドレス帳のデータを抜
き取られてしまう
SNSに初めて登録すると、最初に表示されるのが「友達を招待しますか」
「友達を登録しますか」といった画面です。これは、SNS利用時に使ってい
る端末(携帯電話やPC)に登録されている連絡先情報を、Facebookなどの
SNSのサイトに取り込むかどうかを聞いてきています。登録時によく確認せ
ず、「はい」を押してしまうと、アドレス帳に登録されている連絡先に、自
動で「SNSに登録しませんか?」といったメールが送られてしまうことがあ
ります。受信側に「なぜこのメールアドレスを(SNSの運営会社が)知って
いるのか?」「あの会社でもしかして情報漏洩があったのではないか?」
と不審に思われてしまう可能性があります。SNS登録時は注意書きをよく読
むか、仕事で使っているPCや携帯電話では不用意に登録しないようにしま
しょう。
●社内情報が筒抜けになってしまう
昨年末に、Apple社従業員の家族が、未公開の新商品情報をYouTubeで紹介し
てしまい、その従業員が解雇になったという話がありました。もちろん、従
業員を解雇したところで、公開されてしまった情報は戻らないどころか、イ
ンターネット中に広められてしまい、情報流出の原因となった動画を削除し
てもコピーの動画や製品写真を多数の第三者がインターネット上に掲載した
ため、漏洩が続きました。従業員やその家族が取引先情報や新商品などの情
報をSNSに公開してしまうと、その情報があっという間に広がってしまった
り、競合他社の目に触れてしまうリスクがあります。こういったことが起き
る理由は、従業員やその家族が、SNSにそこまでのリスクが潜んでいること
を理解していないことが大半です。SNSも含め、公共の場所では、企業の取
引状況や新商品情報など機密情報を話さないように従業員に徹底するよう、
ルールを作るのが良いでしょう。
●炎上のリスクがある
以前、コンビニのアルバイト店員が、冷凍ケースに入っている写真をTwitter
に投稿して炎上したという話があったかと思います。コンビニの経営者はそ
の時に冷凍ケースに入っていたものを廃棄したそうですが、衛生管理を問わ
れて信頼を落とし、その後閉店したそうです。そこまでの極端な事例でなく
ても、企業の公式アカウント上のやり取りで何らかのミスを犯してしまうと、
それがあっという間に世間に広がってしまい、問題が起こるケースがありま
す。こちらも社内でSNS活用のルールを定めて、従業員の教育をするのが良
いでしょう。
●取引や採用の判断材料にされてしまう
人事担当者が採用の段階で対象者のSNSの投稿内容を見て、人柄を確認し、
採否の判断をしているというのはよく聞く話です。具体的には、SNSで発言
している内容の他に出身地、居住地域、学歴、職歴、家族の状況、友人知人
がどのような人たちであるか、「いいね!」している団体や組織はどのよう
なものがあるかなども見られていると聞きますし、それを調査する専門の会
社まであります。
ソリアズ第299話『トレーサビリティ』でも、取引を検討しているコンサル
タントの採否を、SNSで得た情報を元に判断している場面があるように、取
引の判断基準になってしまうこともあります。
また、単純に、取引先の営業担当者のアカウントを見たときに、飲み会の写
真ばかりであったり、違法なことをしていたり、勤務時間中に投稿をしてい
たりなどがあったら、会社に対する信頼は下がってしまいます。従業員の日
常的な活用情報まで管理することが難しいようなら、極力、発言や友人など
の情報を非公開にするか、見られる範囲を制限するなどして、会社の信頼を
落とさないようなしくみを考えて実行するのが良いでしょう。
このように、SNS活用には、企業の信用を落としかねないリスクも多く存在
します。そのリスクの多くが企業内の特定個人だけが気をつけておけばよい
話ではなく、従業員全員、場合によっては外注先企業までもが同じ問題意識
を持って、SNSの利用に取り組まなくてはいけません。
最初から関係者全員の情報を監視したり、把握することは難しいと思います
ので、まずは情報公開を極力控えることを仕組みとして行ない、少しずつ利
用する上でのルールを整えて定着させていくのが現実的な対処方法なのです。
================================
■第299話『トレーサビリティ』 http://tales.msi-group.org/?p=498
================================
第7章 中小零細企業の情報セキュリティ事件簿
=セキュリティ対策解答編(後編)=
後編では、前編で紹介しきれなかった問題点と対策をまとめました。
【問題点6】
「ウイルス対策ソフトのデータベースを最新にしますか」という表示を見せ
てくれた。
【解決策6】
ウイルス対策ソフトによるウイルス対策は、
1)世の中にウイルスが出回る
2)出回ったウイルスのワクチンを作って配布する
という流れで行なわれます。
ここで言う「データベース」とは、ウイルス対策ソフトがウイルスを探す時
に使うデータのことで、2)のワクチンが作られると更新されます。
データベースを最新にしていない場合は、仮にPCがウイルスに感染していて
も感染している状況を見つけられないため、常に最新の状態にしましょう。
もしPCが複数台ある場合は、すべてのPCが最新の状態になっているかを確認
する必要があります。
また、稀に、同じPC内に2つ以上のウイルス対策ソフトが存在している場合
があります。その場合、お互いが競合してウイルス対策ソフトが動作しなく
なってしまい、ウイルスに感染してしまったという話も聞きました。複数の
ウイルス対策ソフトが存在していないか確認し、1つだけを使うようにしま
しょう。
【問題点7】
Windows Updateの状況を確認すると、更新対象となるファイルが沢山あった
ので、そちらも対応してもらうように伝えた。
【解決策7】
Windows発売後に、不正アクセスをされてしまいそうな箇所(セキュリティ
ホールや脆弱性と呼ばれることがあります)が見つかることがあります。そ
のセキュリティホールを塞ぐためのファイルが、Windows Updateを通じて配
布されます。Windows Updateが適切にされていないと、Windowsの穴がその
ままになってしまうので、危険な状態に曝されてしまいます。必ずWindows
Updateは実施するようにしましょう。Windows以外にも、OfficeやAcrobat
Reader、Google ChromeやInternet Explorerなどの各種ソフトも同じよう
な現象が起こり得ます。各種ソフトも、最新版が提供されたら更新して、不
正アクセスされにくい環境を整えましょう。
【問題点8】
「普段、電源を切って帰ったりしないんですよ」と言っていた。
【解決策8】
予期せぬ停電などで深夜や休日に、正式な手順を踏まずに強制的にPCの電源
が切れてしまうと、PCが壊れてしまうことがあります。情報セキュリティ対
策が十分でないなら特に、24時間つけっぱなしとなると侵入されやすくなり
ます。もちろん、情報セキュリティ対策は十分に行なった上で、毎日PCを
シャットダウンしてから退社するようにしましょう。
【問題点9】
「ホームページはどこのサーバを使っていますか」「契約時の資料はありま
すか」などの質問が繰り広げられ、その度に社長が「それはどこにしまった
かな」「ああ、ここにあった」などと、資料をあちこち探し回っている。
【解決策9】
情報セキュリティと言うと、どうしてもPC上の情報管理にばかり目が向きが
ちですが、従来の紙媒体での資料整理や漏洩対策も範疇に含まれています。
いつでも必要な時に必要な資料が見つけられるように、整理整頓のルールも
きちんと決めておきましょう。
【問題点10】
机の上には、今日処理が終わらなかった書類が重なっていた。
【解決策10】
部外者の目につきかねない机上に、顧客情報や取引情報、各種個人情報など
が書かれている書類を乗せたまま帰ることは危険です。帰宅時は必ず引き出
しの中に書類を保管しましょう。できれば、鍵の掛かるキャビネットに保管
することが望ましいです。FAXなどの共有スペースも、最後に退社する人が
責任を持って管理するようにルールを作りましょう。また、キャビネットの
鍵自体をどのように管理するかなど、物理的な鍵の管理ルールも決める必要
があります。
【その他】
第3章には明確に描かれていませんが、その他気をつけなくてはいけないポ
イントも3つほどご紹介いたします。
・入退室管理
この企業では、外部の人間が訪れても、特に入退室表を記入するでもなく、
すんなりと社内に入ることができてしまっています。いつ、どこの誰が会社
内に訪れたのかが分かるようになっていないと、万が一重要な資料やデータ
が紛失してしまった際に、原因を絞り込むことができません。受付名簿など
を作って、可能な限り入退室を管理していくことが望ましいです。
また、多くの場合、「入退室管理」は、外部の人の出入りだけに限らず、社
内の人がどの部屋にいつ入室したか記録していたり、特定の部屋には特定の
人しか入室できないようにしていたりします。お金を扱う部屋、機密情報が
多く集まっている部屋などは、施錠をしっかりするなどして、入室できる人
が把握できるようにしておくことも重要です。
・物理的な鍵の管理
案外忘れられがちなのが、物理的な鍵の管理です。出入口や窓など、うっか
り施錠を忘れてしまってそこから外部の人が侵入するリスクもあります。ま
た、個人の机の鍵の管理方法や金庫の番号の管理が確立しておらず、人に
よってまちまちだったり、紛失してしまったりすることも多いにあり得ます。
マスターキーは社長が管理するなど、管理方法のルールをしっかりと決めま
しょう。
・送り状などのゴミの捨て方
中小零細企業のゴミ箱を眺めると、案外、個人情報が書かれた送り状などの
資料がそのままの形で捨てられているところを目にします。第4章の個人情
報保護法の項目でも触れましたが、2017年以降は個人情報を1件でも保有し
ている(≒従業員を1人でも雇っている、お客さまが1名以上存在する)場合
は個人情報を適切に取り扱って、情報漏洩を引き起こさないようにすること
が義務付けられました。シュレッダーを使って粉砕して廃棄するか、極力細
かくして捨てるようにしましょう。
================================
第8章 終わりに
私がECサイトの裏方全般を担う物流企業に勤めていたときに、数ヶ月に一度
起こるかどうかの発送ミスをどう防ぐかという会議が定期的に設けられてい
ました。日々、どんなに気をつけて作業をしていても、慣れが出てしまった
り、その日の体調などで集中力が欠けてしまったりすることはありました。
既に何十年も発送代行を生業として経営している会社だったので、ミスを防
ぐためのしくみは十分に作り込まれていて、しくみづくりでこれ以上のミス
を減らすことは難しく、あとは作業者を啓蒙する以外に方法はないという結
論に至ったことを思い出します。
情報セキュリティも同じで、人が何か作業をする以上、間違いは起きやすい
です。うっかり同じ名字の別企業の方にメールを送ってしまって、その時に
重要な資料を添付してしまっていた……ということも、考えられなくはあり
ません。悪意の有無に関わらず、情報漏洩をしてしまうことも十分に考えら
れるのです。
ここまでで、日常業務や、日常業務後のプライベートにおける情報セキュリ
ティの各種事例と対策方法についてまとめてきましたが、ある程度気をつけ
ることさえできれば防げることも多い一方で、ヒューマンエラーにより生じ
てしまう事象が多いことにお気づきいただけたかと思います。人手によるミ
スが原因である以上、基本的には発送ミスをなくすことと同じで、「しくみ
づくり」と「育成」によって解決することが求められます。いずれにしても、
対策するにあたって「人」が関わってきている以上、時間を掛けて企業内に
考え方を浸透させていく必要は出てきてしまうことでしょう。
情報セキュリティというと、なんとなく難しいイメージがあり、自社には関
係がないと思われる方も多かったのではないかと思います。しかし、日常の
業務で使用するIT機器が増えてくることに従って、情報セキュリティは切っ
ても切り離せないものになってきてしまいました。今後はIoT(Internet of
Things)技術の発達により、インターネット経由で工場内の機械や、電気機
器の管理、果ては会社や自宅の鍵やエアコン、冷蔵庫なども操作できるよう
になりつつあります。そのような中でインターネットに不正アクセスをされ
てしまったら、機械が止まらなくなってしまったり、会社の鍵が開かなくな
ってしまったりする可能性すらあります。
今回の19周年記念特別号でご紹介した事例は、情報セキュリティに関するト
ラブルで起こりうる事例のうち、一部分でしかありません。来るべきAIやIoT
時代の到来に向けて、また、日々変わっていく企業経営の環境の中で、信頼
できる会社として残存者利益を得るために、対症療法的にであっても、情報
セキュリティのルールを決めておかないと今後の企業経営に支障が出てしま
うように思えてなりません。そのようなことが、今回の19周年記念特別号で
伝わるようでしたら幸甚です。
【参考文献・参考ウェブサイト】
■『小さな会社のIT担当者のためのセキュリティの常識』
https://amzn.to/2P2MdY0
■『小さな会社のIT担当者になったら読む本』
https://amzn.to/2OZS4wW
■『中小企業の情報セキュリティ対策ガイドライン
(独立行政法人情報処理推進機構)』
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html
================================
あとがき(市川正人)
先日発行したばかりのソリアズ第450話『メタ憂慮』ではMA(Marketing
Automation)が話題に登場します。発行予定の第454話『ダオイズム』でも
ブロックチェーンの話が主題として取り上げられています。人と組織を考え
る弊社のメルマガである『経営コラム SOLID AS FAITH』では、過去の号を
振り返ると、ほとんどIT系の話題が登場しませんでした。
辛うじて第297話から第299話の三話シリーズ『お友達未満』がSNS系のIT
活用をテーマとしているぐらいで、今回の本文中にもその中の第299話『ト
レーサビリティ』が詳解されています。あとは第300話からの五話シリーズ
『脱兎の心中』が映画感想ブログ『脱兎見! 東京キネマ』の内容について
書いたお祭り号ですが、一応ブログの内容と運営方針について書いているの
で、IT系と言えばIT系です。
世の中の動きに比して、なぜこれほどにIT系の話題がソリアズに登場しな
いのかと考えると、それは偏に弊社が関係する中小零細企業の現場でITが十
分活用されていないからであったと思います。どんな風に活用できるかもわ
からず、運用できる人材もいず、時間と共にシステムが陳腐化して行っても
直す方法さえ分からない。そんな中小零細企業ばかりであったと思います。
ところが、第450話でも書いた通り、月額100万円以上払わないと使えな
かったMAが中小零細企業の財布のサイズに合うものになりました。流石にメ
カトロ系の本格的なRPAなどはどうしてもコスト高になりますが、多くのIT
系の経営ソリューションの価格は下落を続けています。一方で、人件費は上
がる一方です。「それなら人を雇うよりPepper君を入れた方が良い」と判断
する閾値はかなり普段の目線まで下がってきているように思います。もちろ
ん、この「Pepper君」を自動運転車やドローン、自動音声応答やブロック
チェーン、先述のMAやRPAなどに置き換えたケースも同時に発生しやすくな
ることでしょう。
13周年記念特別号では中小零細企業のIT活用を、17周年記念特別号では人
工知能と中小零細企業経営を取り上げましたが、その内容は或る意味弊社が
見聞きする中小零細企業の現状の一歩から数歩ぐらい先を行くものでした。
しかし、中小零細企業のIT化がじわじわと確実に進展する中で、今度は活用
の場面での具体的な留意点を真面目に考えてみる号をまとめようとした結果
が今号のセキュリティ対策です。
中小零細企業のIT活用の事態と、多くの場合、そこでのお寒いセキュリテ
ィ対策に対する広範な知見を持つ山口のお陰で、かなり具体的なマニュアル
のような内容にまとめ上げることができて良かったと思います。珍しく実践
的内容が多いソリアズ周年記念特別号を是非ご活用いただければ幸いです。
来年は創刊20周年となります。時々書く繰言になっていますが、本当にこ
れほどの長きにわたり書き続けられるとは想像もしていませんでした。皆様
のご支援に心より御礼申し上げます。
================================
注)文中における「漏洩」は、山口佳織の元原稿と異なり、発行者の判断で
漢字表記としてあります。
================================
※ ご注意!!
サーバのエラーなどで読者登録が解除されてしまった方がいらっしゃる様
子です。当メルマガ通常号は毎月10日・25日に、周年記念特別号は毎年10月
末日に休まず発行しております。発行状況のご確認は弊社ブログで行なって
ください。
また、まぐまぐからの連絡によると、一部フリーメール運営企業でサーバ
の受信量規制を行なっているケースがあり、その場合は大幅にメールマガジ
ンの到着が遅れるとのことです。
「届かない」、「再送希望」などの連絡は、まぐまぐの窓口である
「magpost@mag2.com」に、メルマガID(#0000019921)、タイトル(『経
営コラム SOLID AS FAITH』)、購読アドレス、再送希望の旨を記載の上、
メールにてご連絡下さい。
================================
発行:
「企業から人へのコミュニケーションを考える」
合資会社MSIグループ(代表 市川正人)
下のアドレスにご意見・ご感想を頂ければ幸いです。
bizcom@msi-group.org
このメールマガジンは、
インターネットの本屋さん『まぐまぐ』を利用して
発行しています。
(http://www.mag2.com/ )
通常号は毎月10日・25日発行
盆暮れ年始、一切休まず まる19年。
マガジンID:0000019921 (ナント、たった5ケタ)
★全バックナンバーはまぐまぐのサイトで掲示されております。
http://blog.mag2.com/m/log/0000019921
★講読の登録・解除はこちらのURLでお願いします。
http://www.msi-group.org/SAF-index.html
================================