今までいただいたご質問の中で多かった質問とその回答例です。
詳細画面から専門家に、メール相談や直接会っての面談などを申し込むことができます。
企業による個人情報の漏えい事件が連日のように報道されていますが、当社の規模では専門のIT担当者を置くことができません。どのような対策を取ったらよいでしょうか。
自動更新や秘密保持契約といった最低限の対策は行ってください。
企業における情報セキュリティのリスク例としては、以下のものがあります。
1.インターネットバンキングやクレジットカード情報の不正利用
2.内部不正による情報漏えい
3.標的型攻撃による諜報活動
4.ウェブサービスへの不正ログイン
5.ウェブサービスからの顧客情報の窃取
6.ハッカー集団によるサイバーテロ
7.ウェブサイトの改ざん
8.インターネット基盤技術を悪用した攻撃
9.脆弱性公表に伴う攻撃
10.悪意のあるスマートフォンアプリ
(情報処理推進機構による選出の2015年情報セキュリティ10大脅威 http://www.ipa.go.jp/security/vuln/10threats2015.html)
これらのうち、中小企業の情報システム利用実態から勘案して、特に注意すべき事項は1、2、3、7、9になります。
中でも重要なのは「2.内部不正による情報漏えい」です。つまり、情報システムの技術的な問題以外にも情報漏えいの原因はあるのです。実際に、情報漏えい事件の原因としては人的な要因が大きな割合を占めています。一般的な対策としては、担当者ごとに利用できる業務を区分し、アクセスできる情報の範囲を限定したりしますが、複数の業務を兼任することも多い中小企業では難しいのが実態です。最低限の対策として、従業員と秘密保持契約を結ぶようにしてください。
1、7、9については、利用しているシステムのセキュリティ情報に迅速に対応し、ウイルスソフトやOSのセキュリティパッチを自動更新としているだけでもかなり防ぐことができます。専任のセキュリティ担当者がシステムを常時監視するのは現実的ではありませんが、インターネットバンキングや業務で利用しているシステムの修正情報だけは即時反映できるような体制をとってください。
最後に「3.標的型攻撃による諜報活動」ですが、大企業や官公庁にくらべたら中小企業が狙われる可能性は低いのですが、それでも対象は拡大しつつあります。完全に防ぐことは難しいので、異常発生後の報告と、セキュリティベンダーへの連絡がスムーズに行われるよう普段から訓練をしてください。