会社のセキュリティ対策は万全ですか?最低限やっておきたい対策を解説
システムそのものに関するセキュリティ対策
企業が採るべきセキュリティ対策の一つは、使用しているシステムやサービスそのものに対する施策です。デジタル化が急速に進められているため、企業はいくつものオンラインシステムを使用していて、中には会社の重要情報や顧客の個人情報を取り扱っているものもあります。
そのため、まずは安全性の高いツールやサービスを選定することが、なによりも重要になってきます。「価格が安いから…」「コネで紹介されたから…」というだけでオンラインツールを決めるのは良くありません。どんなツールであってもリスクはつきものですが、そのリスクに対してどのような対策を採っているかを確認してサービスを選ぶべきなのです。
たとえば、企業内で使用するデータがクラウド上にアップロードされないことや、使用する社員の権限管理やログ管理ができるかなどをチェックします。その上で、ツールのセキュリティ対策に関係する設定を行います。特に、どのレベルの社員まで情報を閲覧できるようにするのか、システムの管理者を誰にするのかという点は慎重に考えて決定する必要があります。また、ファイル共有などの設定を見直して、本来権限を持っている人以外でも閲覧できる状態となっていないかを確かめるべきです。そして、管理者権限のアクセス、通常使用のアクセスなどに使うパスワードをセキュリティレベルの高いものとするべきです。この点を徹底しないと、他の個人的なパスワードと同じものしていたり、簡単なデフォルトのパスワードのままにしていたりする危険があります。
そして、不正アクセスを早期に発見し、必要に応じて即時遮断できる設定にしておくことが重要です。やはり、インターネットに接続されている以上は、どんなツールであっても不正アクセスにさらされるリスクがあります。そのため、攻撃されるという前提で、常に監視をしていることや、ウイルスの感染や不正アクセス、システムへの攻撃があったら即時アラームを鳴らす設定をしておくべきなのです。その上で、もし明らかな不正アクセスが検出された場合は、システムを遮断してそれ以上の被害を増やさないようにします。
ユーザーに関するセキュリティ対策
いくらシステム自体の対策を施しても、それを利用する従業員のリテラシーが低い状態ではリスクを低くすることはできません。そのため、初めてシステムに触れる人、新たにツールを導入する際には、必ずすべてのユーザーに対して研修をするべきです。そして、定期的にITリテラシーに関する教育を続けていくことが重要です。
具体的には、パスワードの使い回しを避けることや、外部でパソコンや業務用のスマホを使う場合には、画面ののぞき見をされない対策を講じるべきことなどです。また、使用していない時はすぐにロックをして、他人に触られないようにします。そして、万が一パソコンやスマホ、USBなどを紛失した場合に、すぐに上司に報告して必要な対策を取るべきことを徹底させます。
他にも、リスクのある行動を避けるよう教育することも求められます。たとえば、業務で使うパソコンなどに、安全性の疑わしいソフトやアプリを入れたり、怪しいメールを開封したりすることがないように教えるのです。
リスクを想定してセキュリティ対策をする
企業内で利用するシステムやサービスは、その設定や使い方を間違えると、情報漏えいなどのリスクを高めてしまいます。そのため、システムそのものと共にユーザーへの教育をして、しっかりとした対策をすべきです。リスクを想定したセキュリティ対策をすることで、大きな問題を引き起こさずに済むでしょう。
