1番のリスクは「ヒト」です
ネットワークには様々なルールがあります。
ルールがなければ、簡単に情報が漏れてしまい信用を失うだけでなく、これまでのデータが使用不能になってしまう恐れがあります。
では、どうやったら安全なネットワーク環境でデータを運用できるのでしょうか。
例えば、社外のPCは社内ネットワークに繋いではいけない、データが入ったUSBメモリを許可なく社外に持ち出してはいけない等、情報を守るために必要な手順やルールを決めます。
リスクのあるものを外部から持ち込まない
たとえば、自宅で使用しているPCやUSBメモリを勝手に社内のネットワークやPCにつなぐべきではありません。
不適切な管理によりPCやUSBメモリはマルウェア (ウイルス)に感染している可能性があり、それをネットワークに持ち込むリスクがあります。
社内ネットワークは勝手に物を持ち込んではいけない、というルールは最低限必要です。
機密にすべきものを内部から持ち出さない
社内で使用する機密性の高いデータを、社外に持ち出すことができないようにする対策も必要です。
顧客データを扱うPC、CD/DVD、USBメモリなど別室に置いて施錠する、といったことも考えられます。
アクセスを制限する
機密性の高い顧客データを利用できる人を限定します。
もし、許可のない人が顧客データへアクセスする時は管理者の許可を得るアクセス制限のルールも必要に応じて定めます。
どんなルールを決めたらよいか
よくわからない時には、検索エンジンで「社内ネットワーク利用規定」などをキーワードにして検索します。
参考にしながら、最初は簡単なもので、基本的な部をおさえた運用ルールを定め、それを出発点にして少しずつ改善していきましょう。
利用規定は一度作ったら終わりではなく、PDCAを繰り返しながら、磨き上げていくものと考えるべきです。
コンピュータに関するセキュリティを一般に「情報セキュリティ」と呼びます。
情報セキュリティは、機密性 (Confidentiality) と完全性 (Integrity) と可用性 (Availability)の3点を保つことが大切です。
機密性は「情報を秘密にして漏らさないこと」、完全性は「情報が常に正確に保たれていること」、可用性は「必要に応じて情報を利用できること」を意味します。
これらがすべて適切に保たれて、はじめて良好なセキュリティが維持されていると言えます。セキュリティについて何か判断に困った時は、この3つの言葉に立ち返って考え直してみましょう。
これから立ち上げるネットワークの運用ルールを決めましょう。物理的対策と人的対策の2つの側面から検討してください。
物理的対策については、オフィスの入退室管理、PCの盗難防止策、施錠など、一般的なオフィス管理の考え方に沿って、どのような対策を行うかリストアップしましょう。
最初から万全のルールはできませんので、必要に応じてルールを見直す、というルールも入れておくとよいでしょう。
項目を加えていってもかまいませんし、ほかの企業の社内ネットワーク利用規定などを参考にしながら、新しく追加してもかまいません。
パソコンの管理について
- 貸与された PC は利用者が責任をもって管理してください
- Windows Update を定期的に実行して、常に最新の状態となるよう心がけてください
- アンチウイルスのパターンファイルは常に最新の状態となるよう心がけてください
- アンチウイルスを OFF にした状態でのネットワーク利用を禁止します
- メールに添付されたファイル (.exe、.com、.cpl、.bat、.cmd、.pif、.ser など)の実行を禁止します。
インターネット利用について
- 社内ネットワークからのインターネット利用は業務遂行に必要なものに限ります。個人的な興味などによる利用は一切禁止します。
- メールを送信するときは、社外秘、個人情報、他人の権利を侵害する内容、会社の地位を毀損する内容が含まれていないことを必ず確認してください。
- Web サイトを利用するときは、そのサイトが十分に安全なものかどうか、常に注意を払ってください。
PCやUSBメモリの持ち出しや持ち込みについて
- 社内の PC を勝手に持ち出すことはできません。不要なデータが入っていない持ち出し用のPCを決めて、持ち出し用として申請してください。申請により許可が下りたものだけを持ち出せます。
- 社外に持ち出した PC を再び社内ネットワークに接続する時には、そのPCがクリーンであることの確認を受けてください。その確認で合格したものだけが社内ネットワークに接続できます。
- 個人所有のPC、スマホを社内ネットワークにつなぐことは一切禁止します。
- 個人所有の USB メモリを社内 PC に装着することは一切禁止します。
コメント