サイバーセキュリティ対策を、きちんと立てているか。情報化社会の昨今、それは業種を問わず、企業の経営に大きなインパクトを与えます。しかしながら、特に中小企業では、情報セキュリティが万全に管理されているとはいえないのが実情です。大学でシステム関係を学んでいた学生が新卒で入社してきたら、いきなり会社の情報セキュリティの管理や対策をすべて任せられてしまった!ということも、ありうる話です。前任者は退職していたり外部スタッフに任せていたりで、つぎはぎのシステムの前に、なにから手をつけていいか悩んでいるひとも多いのではないでしょうか。

情報管理はどのようにしたらいいのか、セキュリティ対策はなにをしなくてはいけないのか。情報セキュリティポリシーの基本方針はどう考えたらいいのか。情報セキュリティ管理ビギナーでも、明日からすぐに実践できる対策について詳しく説明したいと思います。

目次

1.情報セキュリティ管理者は「ハード」と「ソフト」を切り分けよ!
2.情報セキュリティ管理:ハード面の整備
3.情報セキュリティ管理:ソフト面の整備
4.最後に

情報セキュリティ管理者は「ハード」と「ソフト」を切り分けよ!

情報セキュリティの捉え方の、基本的な考え方から解説します。情報セキュリティを管理する上では、「ハード」と「ソフト」に業務を切り分けると、スムーズに整理できます。

ハード面の整備 インフラネットワークの構築状況や、それに接続されている内線電話、FAX、コンピュータなどの機器の現状を把握して改善。ソフトウェアやネットワークの更新、情報端末の準備やバックアップなどが含まれます。
ソフト面の整備情報セキュリティ管理の基本的な考え方や、情報セキュリティポリシーの確認、策定です。システムのユーザ=社員に対して、情報セキュリティに関する考え方を提示し、使用しているシステムの相談にのることや、昨今重要な社会問題になっている個人情報の管理についての対策を立てるなど、情報的な側面のメンテンスを行います。

このような整理をしない状態で業務を始めてしまうと、どうなってしまうのでしょうか。社内のネットワークインフラや、社員がどのように考えているかなどの現状を把握しないまま進めてしまうと、日々の業務で生じる社員からの問い合わせに対して、問題の原因がどこにあるかをすぐに見つけ出すことができず、解決に膨大な時間を費やされてしまうことが想定されます。

また、問い合わせの内容に追われてしまうことで、企業として大切な、肝心のセキュリティ対策がおろそかになったり、なかなか手をつけられなかったりすることも。その間にサイバー攻撃を受け致命的なダメージを負うことになってしまえば、その責任は、たとえ新卒社員であっても、当然情報セキュリティ管理者が問われることになります。

「新人だからわからない」「誰も教えてくれなかったから」などの言い訳は通用しません。取り返しのつかない事態になる前に、まずは情報セキュリティ担当者としての知識の「足場」を固めましょう。

そのためには、具体的に、どういう業務に取り組めばいいのでしょうか。まず、何よりも必要なのは現状把握です。スムーズに、正確に現状をつかむためには、「ハード」と「ソフト」に分けて考えることが有効です。それでは、イメージをしやすい「ハード面の整備」から、情報セキュリティ担当者が何をすべきかを見ていくことにします。

情報セキュリティ管理:ハード面の整備

まずはネットワークインフラの現状を把握する

最初にするべき大切なことは、ネットワークインフラの現状の把握です。社外から社内ネットワークに情報が入ってくる順番に沿って確認をしていくと、今社内の情報がどのように動いているのか、どんなシステムや情報機器が使われているのかを、見落としなくつかむことができます。

まず、電話回線を通じてネットワークのいちばん初めに社内に入ってくるのは、内線電話です。内線電話の先には、FAXや個別の電話があります。内線電話はSIPサーバを持っているので、基本的に構築の専門業者が担当していることが大半。どんな業者と契約していて、どんな形で動いているのか把握しておきましょう。

さらにインターネット回線から社内LANとPC、プリンタやスキャナ、プリントサーバやファイルサーバといった機器に接続されているはずです。今の時代、インターネットは、どんな会社の社内サービスにとってもなくてはならないインフラです。回線種別や、どこの通信事業者と契約があるのか、そこからつながるルータは何の機種のどれくらいのスペックのものを使っているのかを確認します。

ルータから出ているモデムケーブルの規格も、よく確認する必要があります。その先のネットワークハブがどう広がっているかまで把握したうえで、やっと個別のコンピュータの問題や設定を考える段階にたどり着くことができます。

ネットワークインフラを把握しなければいけない理由とは

そこまで細かくネットワークインフラを見なければいけない理由には、中小企業ならではともいえる事情があります。中小企業の場合、情報機器は一度にすべてを一新するのではなく、必要になったときに必要になったものを買いそろえる場合が多くあります。経費の都合、専任担当者の不在、または単純な認識不足から、昔から使用しているパーツや端末でも、破損していなければ使い続けるというのは、よくあることです。

例えば、個別のルータやハブのメインがギガビットのEthernetであっても、エンドのLANケーブルやハブの規格は100Mbit/sや10Mbit/sしか速度の出ない古い規格のものを使っている、というケースがありえます。そうすると、そこでデータ容量が急激に減ってしまい、せっかくの新しい規格の機材のスペックを生かすことができず、社内インフラの足を引っ張ってしまいます。

社員から情報セキュリティ管理者への問い合わせやヘルプ要請が来る場合、その内容はぼんやりとしていることがほとんどです。「コンピュータの速度が遅いのだけどどうにかなりませんか」とお願いされることはあっても、「インターネットの通信速度が遅いのでLANケーブルの規格を確かめてほしい」なんて具体的な問い合わせをしてくれる社員は、ほぼいないと思って間違いはありません。

コンピュータが固まってしまうなど本体の処理速度が問題なのか、ブラウザが表示されるのが遅いのか。それはネットワーク回線の問題か、はたまたセキュリティソフトの設定か、といったところからヒアリングして、情報セキュリティ管理者は問題を解決していかなくてはいけません。そうしたヒアリングや想定される原因の切り分けは、フローに沿って適切に実施していかないと、解決にたどり付くことが難しいと言えます。改善ポイントが「幹」にあるのに「枝葉」をいじくりまわしていても、問題が解消しないのは当然のこと。この場合の「幹」にあたるのが、ネットワークインフラなのです。

サイバーセキュリティの担当者だからといって、漠然と「安全!」とだけ考えていればいいわけではありません。社内のネットワークインフラの交通整備も、万全な情報セキュリティ管理への大切な足がかりなのです。

次は個別のコンピュータ!チェックすべき4項目とは?

インフラの現状を押さえたら、いよいよ個別のコンピュータに目を向けます。個別コンピュータの設定の前に、最初にやるべきことは、ここでも「資産管理」です。具体的には、以下のチェック項目を確認したリストを作成してみてください。

  1. セキュリティソフト、OSについてのアップデートがなされているか 
  2. 社内のコンピュータのすべてをリストアップできているか
  3. コンピュータが全社に何台あるか、全てのコンピュータのネーミングが把握できているか
  4. 社内のすべてのコンピュータが、どのネットワークインフラにぶらさがっているか把握できているか

それぞれについて具体的に説明します。

まず1の、セキュリティソフトやOSのアップデートについてです。中小企業の場合、コンピュータの購入や追加は、コンピュータが壊れたタイミングで買って、OSなどのソフトもそのときに新しく設定する、ということがよくあります。個人に配布した後、セキュリティ部門が統括してセキュリティソフトやOSのアップデートを管理していればよいのですが、そうなっていないケースも多々存在します。

アップデートを怠っていると、それだけで脆弱性が生まれることがよくあります。インターネットに接続しただけで、サイバー攻撃の被害を受けることもあるので、真っ先に把握してください。

続いて2の、社内のコンピュータのすべてのリストアップについてですが、壊れたコンピュータだけを買い替えると、古いコンピュータは誰がどう廃棄したのか、または所持したままなのかなどの管理がおろそかになり、退職者の利用分も含め、一元管理されていないことがあります。それが長年繰り返され、社内にどのバージョンのコンピュータが何台あるのかが、あやふやになっている職場も存在します。

3と4はそれにつながって問題になるケースが多いのですが、どの部署に何台コンピュータがあって、インフラ上でどのようにつながっているのかあいまいなことがよくあります。たいてい、社内では部署単位で同じルータやハブを介してインターネット回線に接続していることが多いので、どこにぶらさがっているかの把握ができていなければ、問題の切り分けを見誤ることもありえます。

それぞれをチェックできたら、いつでも確認できるようにリストアップしましょう。情報セキュリティ担当者が把握できてない情報があるままで仕事を始めてしまうと、どこかで必ず破たんが起きてしまいます。そのリストはただの管理表ではなく、どこかで問題が起きて自分が困ったときに、その原因を解明するために、確実に頼れる強い味方になってくれるはずです。

最後にコンピュータ内の「情報資産」をリストアップ

最後は、コンピュータの中にある「情報の資産管理」です。重要なのはやはり、その情報資産のリストアップです。

  1. 現在、社員たちが使っているソフトウェアのリストアップ
  2. 仕事に必要なソフトウェアのリストアップ

便利に使えるフリーソフトがある場合、ついつい利用してしまいがちなもの。親切心から同僚間で使用を薦めあっていることもあるかもしれません。フリーソフトは安全性に問題がある可能性があるので、個人での利用はともかく業務での利用は控えた方がいいといわれますが、同僚が薦めてくれたソフトだったら……、と警戒心も緩んでしまうのも、よくあるケースです。

情報セキュリティの管理をするようになったら、まず行うべきなのは、社内で使われているソフトウェアと仕事に必要なソフトウェアの洗い出しです。使っているソフトウェアを調べてみたら、すでに更新期限が来ていてセキュリティが担保されていなかったり、そもそもプログラムに脆弱性があったりする場合があります。そういったソフトの使用がきっかけで、実際に社内情報が漏洩する事故も多数発生しているため、改めて社内のセキュリティのルールとして本当にそのソフトの使用が適切か、またその使用は容認できるのかを確認することが必要です。

ソフトウェアの洗い出しができたら、その利用ルールを社内へ通達し、社員に守らせる必要があります。ソフトウェアの選別やガイドラインの作成も、情報セキュリティ担当者の大切な仕事です。

情報セキュリティ管理:ソフト面の整備

情報セキュリティポリシーの策定

まずは情報セキュリティポリシーを策定します。どんなスタンスでPCなどの業務端末を使うのか、どのように情報を守るのか、などの基本方針を、社員に向けて共有するためのポリシーです。

セキュリティ管理の担当者になった場合は、情報セキュリティポリシーが現存しているならその内容の確認を、ないのなら今後自分が中心となって策定していく、くらいの意気込みで考えたほうが良いでしょう。いざセキュリティインシデントが発生した場合、真っ先に行う検証は、どのように情報管理を行っていたかです。情報セキュリティ担当者は、その当事者の一人。責任ある立場なのです。

決めるべきは「情報資産の重要度」

では、情報セキュリティポリシーは具体的にはどのように策定していくべきなのでしょうか。今回は大まかな流れだけご紹介します。

情報セキュリティポリシーを策定する上で有効な手順は「情報資産の重要度」から決めることです。それぞれの情報資産の中に、どれくらい重要なセキュリティ情報が含まれているかによって判断します。

例えばコンピュータは最重要度の情報資産です。FAXや内線電話は、顧客先の番号が登録されていれば、中程度の重要度といえます。

最後に

もし自分が突然、情報セキュリティ管理の担当者になったとしたら…… 。まず自分の仕事を、ハード面とソフト面に分類し、何をすべきか考えます。そして、職場の今の「資産」について、正確に把握すること。これができていなければ、情報担当者になった意味や、セキュリティ担当者を置く意味はない、といっても過言ではありません。

この2つをしっかりこなしてみれば、今後自分がどのように業務に向き合っていくべきなのかが、おのずと見えてくるはずです。まずはネットワークインフラについて把握することからスタートしてみましょう。