国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
ある会社での出来事です。Sさんが会社の情報管理担当者になって、もう3年になります。もともとITの技術が好きなSさんだけあって、会社内の情報セキュリティ対策は万全と考えています。
それぞれの社員が使用するパソコンはもちろん、サーバにもマルウェア(ウイルス等)対策ソフトが導入されています。マルウェア対策ソフトに対しては、定期的なパターンファイルアップデートも行っています。そして、外部からの侵入に備えて、ファイアウォールをはじめとしたさまざまなセキュリティ機器も導入しました。
しかし、ある日、SさんがSNSを見ていると、なんと自分の会社の顧客情報が漏洩していることが分かりました。いったいどうして・・・。
このように、情報セキュリティ対策を施していたにもかかわらず、情報が漏洩してしまったという事例が増えています。このケースでは、社員が仕事のデータを自宅に持ち帰った際に、ウイルスに感染していた自宅のパソコンから個人情報が漏洩してしまった可能性が考えられます。あるいは、誰かが業務データファイルの保存されていたUSBメモリをどこかで紛失してしまったのかもしれません。つまり、情報セキュリティ対策には、万全なものはないのです。
機密情報を保有する企業や組織には、システムやソフトウェアによる情報セキュリティ対策だけでなく、厳密な社内ルール(情報セキュリティポリシー)の策定とその徹底、データベースやファイルサーバに対する権限設定など、多角的なセキュリティ対策が要求されます。
情報管理担当者は、基本的な情報セキュリティ対策だけでなく、社員への教育の徹底も、大切な情報セキュリティ対策の一つであるということを心に止めておいてください。
また、情報セキュリティ上のリスクは、時間とともに変化するものです。そのため、現状の情報セキュリティ対策に満足するのではなく、最新の情報セキュリティ脅威の動向に常に気を配り、継続的に対策を見直すことが大切です。
機密情報の不正な持ち出しや公開が発覚したら、速やかに警察へ被害届を提出しましょう。
被害規模を特定するために調査を実施しましょう。
関係各所へ公表し、必要に応じて記者会見を開くなどの対応を検討しましょう。
情報セキュリティポリシーの整備
適切な情報の取り扱いが行われるように、情報セキュリティポリシーを整備しましょう。社員への周知・徹底といった教育も継続的に実施する必要があります。