信頼関係を築いてセキュリティ意識を高める

昔ながらのセキュリティ対策も重要

これまで各種のセキュリティ対策を紹介してきましたが、技術の新旧にかかわらず、必要なことはたくさんあります。その中でも、OS／ソフトウエアのパッチやセキュリティ・パッチを適用して最新の状態に保っておくことは非常に重要です。

ソフトウエアのバグがそのまま放置されていると、その脆弱（ぜいじゃく）性を突いた攻撃方法やツールが出回って、あらゆる被害に曝（さら）されることになります。特に、現在の情報システムはネットワークを介して相互に接続されていますので、攻撃を受ける機会も増え、乗っ取られてほかのシステムを攻撃する機会も増えます。

また、基本的なことですが、アップデートが正しく成功しない場合や、アップデートが別途有償となる場合もあり、一概にアップデートすれば良いというわけではありません。利用しているソフトウエアのベンダーが提供するバグ情報やアップデート情報に注意を払う必要があります。

ハードウエアのトラブルやインシデントが発生した場合に備えて、重要な情報をバックアップしておくことも大切です。絶対に壊れない情報システムはありませんが、冗長化するとコストがかかります。ファイル・サーバーの重要なデータであれば、DVDなどのメディアに定期的にコピーして安全な場所に保管するだけでも効果があります。また、NASにファイルを複製しておくだけでも、ファイルが1カ所にあるだけの状態よりは良いでしょう（図3）。

さらに、個人のPCの持ち込みを制限したり、ファイル共有ソフトを会社のPCに導入しないようルール化したり周知徹底することで、インシデントを減らすような取り組みもできるでしょう。

これらの対策は、さほど予算に余裕のない組織でも簡単に実行できることですので、まだセキュリティ対策に何も手をつけていないのであれば、まず取り組んでみてください。

結局、現場でのセキュリティとは？

現場で求められるセキュリティには、ルールや規則で定める人的なものと、システムで強制的に行う機械的なものの2種類があります。

ルールや規則で定めるものは、できるだけシンプルで、誰もが納得できるものにする必要があります。手順や手続きが複雑な場合、事実上実行力のない対策として運用してしまうケースがあるからです。現場の状況と乖離（かいり）した複雑な手続きが形骸（けいがい）化を生むのは、よくあることです。

ルールを定める際には、PDCAサイクルを回して、現場にフィットして、かつ実効的な運用をすることが大切です。また、継続的に社員を教育しながら運用していくことで、組織の「当たり前」（常識）として根付くようになれば、セキュリティ意識が育ち、結果としてシステムで強制するよりも高いセキュリティを実現できるのではないでしょうか。

一方、システムで強制的に行う対策は、人的に対応することがほぼ不可能なもの（ウイルス／スパム対策など）、またはルールをシステム化したもの（アクセス制御など）があります。

こうした対策には、システムの導入や運用コスト、またシステムに関する知識などが必要な場合が多く、組織に適合したシステムにするためにカスタマイズなどが必要となります。最近ではSaaSなどのクラウド・サービスとして提供されるものが増えてきましたが、ウイルス／スパム対策以外は、導入するための費用を確保するのも大変かと思います。

組織の規模や予算に合ったセキュリティ・システムを導入するのであれば、時間はかかりますが、まずはシステムを導入せずに自分たちでルールや規則を定め、これらをPDCAサイクルで見直しつつ運用を続けることが確実な方法です。その後、必要なシステムを必要なだけ導入することで、役に立つセキュリティ対策となります。

連載も最後になりましたが、セキュリティは、目的をはっきり持っていれば企業活動に必ず役に立ちます。今までいろいろな事情で対策できていなかった方々も、今回の連載を通じて、まずは低コストで試運転していただければうれしい限りです。最後までお付き合いいただき、本当にありがとうございました。

【参考文献】

「2008年の個人情報漏えい、件数は増加も漏えい人数は減少」（2009/11/16掲載）