社員へのセキュリティ対策を考える

社員へのセキュリティ対策を考える

機密情報が漏洩した場合のリスクは計り知れません。社員に対して何が機密情報にあたるのか周知させること、社員のアクセスを監視してしっかりと情報を管理すること、これらは企業経営においては重要です。今回はその重要さを解説させていただきました。

怪しいウェブサイトへのアクセスで何が起こるか?

情報セキュリティ上の怪しいウェブサイトとは、前述のようなウイルスに感染するサイトや、銀行などのウェブサイトを偽装したサイト(フィッシングサイト)のことです。ウイルスに感染するウェブサイトにアクセスしてしまうと、社内でウイルスの感染が拡大し、その駆除に手間やコストがかかってしまいます。

また、銀行などの偽装ウェブサイトにアクセスし、口座番号やパスワードなどを入力してしまうと、これらの情報が窃取され、不正に自己の口座から他の口座に振り込みが行なわれたりしてしまいます。

サイトへのアクセスは監視されている

このようなことを防ぐために、企業などでは、セキュリティ対策ツールを導入して、社員のウェブサイトへのアクセスログを取得し、業務上利用しないウェブサイトへのアクセスを拒否するフィルタリング機能を使っています。また、ウェブサイトへのアクセスログが残されており、問題発生時にはトレースできるようにしています。

誰がいつ、どのウェブサイトにアクセスしているのかを把握できるので、業務時間中の業務に関係のないサイトへのアクセスがわかってしまいます。したがって、そのような企業などの社員は、サイトへのアクセスは監視されていると認識しておく必要があります。

情報の分類

情報は、一般に公開されている公開情報、社外秘の情報、機密情報に分類できます。公開情報は、社外に公表することを目的としたものであり、例えば企業案内、商品カタログ、決算情報などの情報です。簡単に言えば、ホームページなどで公表されている情報です。これに対して、社外秘の情報は、従業員向けの情報であり、社内規程や業務マニュアルのような情報です。イントラネットで社内だけに公表されている情報と考えるとわかりやすいでしょう。

機密情報は、社内の特定部署だけが知ることができる情報であり、商品の原価情報、決算発表前の決算情報、研究開発情報、人事情報などが挙げられます。また機密情報は、それぞれ機密レベルが異なり、役員や人事部門しか知ることができない情報などは極秘情報とも呼ばれています。情報の機密度は、機密レベル1、機密レベル2…と指定されたり、機密レベルA、機密レベルB…のように指定されたりします。指定の方法は企業によって異なります。情報は、このように機密性で分類されることが多いのですが、情報の滅失が発生してはならないという情報の「可用性」の視点から分類されたり、情報の正確性という「インテグリティ」の視点から分類されたりします。

情報の分類を適切に行なわないと、セキュリティ対策をどこまで行なうのかがわかりにくくなります。また、機密度を分けずに機密性のある情報をすべて機密情報としてしまうと、管理の手間が煩雑になり、現実的に管理ができなくなり、結局きちんと管理されないということにもなりかねません。したがって、情報の分類は情報セキュリティの第一歩と言えます。

何が機密か判断できるか?

通常、経験豊富なベテランの社員であれば、自分の担当業務のうち何が重要なのかを理解しています。しかし、経験の浅い社員の場合には、何が重要な情報なのかを理解しているとは限りません。エレベータ内での雑談で重要な情報を社内外の第三者に聞かれたり、社外の飲食店での雑談で重要な情報を話して第三者に聞かれてしまったりすることがあります。そのため、管理者は、部下に対して機密情報の取り扱いについて適切に監督·指導しなければなりません。機密情報としては、次のようなものがあります。

・顧客情報研究開発情報
・原価情報
・経営戦略、販売戦略、IT戦略等に関する情報
・従業員の個人情報

日ごろの行動をチェック

機密情報を含めて情報の管理に関する意識の高低は、従業員の行動をチェックすればわかります。机の上下や周囲に書が無造作に置かれていないか、きちんとファイリングしているか、机の引き出しやキャビネットは施錠しているかなど、日ごろの行動を見れば、情報の管理に関して意識している人かどうかがわかります。

また、オフィスの複合機にFAX送信済みの原稿やコピーの原稿が残っていないかなどをチェックするのもよいでしょう。管理者や情報セキュリティ担当者によるチェックだけではなく、従業員同士がお互いにチェックし合ってケアレスミスをなくすようにすることが情報セキュリティ強化の基本です。

セキュリティカテゴリの最新記事