セキュリティ対策は業務の継続を進める上で、最重要事項の1つです。
分かっていても中々思うように進んでいないのも現状ではないでしょうか。
今回は、管理人がセキュリティ対策を進める中で上手くいかない要因を大きく3つに分けて考えてみました。
色々と深堀りしていくとどこで行き詰っているのか見えてくるかもしれません。
セキュリティ対策を阻む3つの敵
- 業務継続性に課題が残る。例):社内のセキュリティリスクへの意識不足。(人的要因)
- 社内方針が不完全であり、周知されていない。(内的要因)
- セキュリティ対策の整わない機器やソフトが残っている。(物的要因)
どれも一筋縄ではいきそうにない根の深い問題かもしれません。
人、モノ、カネがセキュリティでも重要であるのは間違いなさそうです。
今できる対策とは
もう少し分解して考えてみました。
| No | 状況 | 懸念事項 | 対策 | 未対応理由 |
| 1 | 外付けUSBメモリやHDDにパスワード制限のない機器がある | 紛失、盗難、情報漏えい、ウイルス感染 | ・予め使用者を特定しておく ・全外付けUSBメモリの使用禁止 | 出張先でデータ授受の必要がある |
| 2 | オンプレミス環境から脱却ができない | 災害時のBCP対策 | クラウドへデータ移行する | ・データが重い ・専用回線は高い |
| 3 | リモートワーク普及に伴い、持ち出しPCや機器の管理の増加 | 紛失、盗難、情報漏えい、ウイルス感染 | 持ち出し端末のアプリ制限・アクセス権の制限 | ・ログデータが多く、操作ログ保存日数の限界 ・bitlocker未対応機器が存在する |
| 4 | 有害、無害のアプリの判断ができない | 情報漏えい、ウイルス感染 | ・Windows Storeアプリからのダウンロードを制限する ・有害と思われるアプリの個別制限する | 件数膨大の為、人員不足 |
| 5 | パスワードの定期更新、半角英数字大文字小文字記号を含めて10桁以上が実施 | 情報漏えい、ウイルス感染 | ユーザー自身でのパスワード更新 | ・ユーザースキル不足 ・ユーザー自身での環境設定ができない |
| 6 | パスワードの使い回し | なりすまし、情報漏えい、ウイルス感染 | ユーザー自身でのパスワード更新 | ユーザースキル不足 |
| 7 | ウイルス感染の検知・ブロックできない | 情報漏えい、ウイルス感染 | EDRソフトの導入 | 業務への影響度がわからない |
| 8 | 具体的なルールが浸透していない | 紛失、盗難、情報漏えい、ウイルス感染 | ・情報セキュリティ教育実施する ・役割分担 | 個人任せになっている |
| 9 | 資産の持ち出し状況を確認できる情報がない | 紛失、盗難、情報漏えい、ウイルス感染 | ・申請書類ベースのフォーマットを策定 ・資産管理ソフトの導入 | 全体責任者不在、役割分担曖昧、人員不足 |
| 10 | サーバー内のファイルのどれが機密情報に当たるか判断ができない | 紛失、盗難、情報漏えい、ウイルス感染 | ・機密情報と非機密情報の分類をする ・フォルダ構成を見直す | 全体責任者不在、役割分担曖昧、人員不足 |
ざっと思いつくだけでもこれだけあります。
ここまで酷くはなくても似たような状況の職場はまだまだあるのではないでしょうか。
限られた資産の中でどうやって効果的に情報を守っていくのかは今後ずっと考えていかなければならない問題かと思います。
手遅れになってからでは、損害が大きい問題ですので少しずつでも早めに計画的に着手していきたいものです。
コメント