宮城県内のとある会社で、情報セキュリティについての勉強会が開かれ、講師を務めました。
管理職を対象に、対策の基本をお話ししました。
質疑応答で出た質問。
大企業は、危険なサイトやメールを判別するような高価なシステムを入れている。事故が起きないように万全の対応をしている。それは知っているけれど、中小企業ではとても導入できない。また、セキュリティを守っていこうとすると、作業が煩雑になって、仕事が妨げられることがある。どう考えればいいでしょうか。
ナイスな質問ですね。
当日は私なりの回答を提示しましたが、時間の関係もあって簡潔にすぎたので、改めてここに書いてみました。
●●●
今日説明した情報セキュリティの10の対策は、あくまで一般的かつ基本的な方針を理解していただけるように要点を説明したものです。
ところが仕事の現場では、事務と営業と製造など業務が異なれば、どんな危険があるのか、なにに気をつければいいかがまったく異なります。
例えば、製造現場では、顧客からのメール以外をシャットアウトするというような対策も可能でしょうが、事務や営業では、それはできません。
また、例えば勤怠管理のシステムで、複数の人がひとつのアカウントを共有しているなど、望ましくないことも現実にはあるでしょう。
セキュリティを守るために、業務の効率を犠牲にしてまで完璧を期すということはできることではありません。また本末転倒でもあります。一気に高度なレベルまで到達することもできません。
セキュリティ対策は、常に新たな問題が発生したり、危険も高度になっていくため、そもそも完璧はありえません。
強固な防火壁を築いたとしても、結局は、個々の従業員が勘を働かせて危険を察知し、回避しなければいけません。
このような前提で、基本的な方針、10の対策をどこまで守ればいいのでしょうか。
従業員のみなさんには、いま職場でいまできること、したほうがいいことを、実際の業務に当てはめてよく考えて実行してほしいのです。
いい方法のひとつは、朝礼での教育です。
朝礼のプログラムのひとコマで、今日のセキュリティ対策当番が、テキストの10の対策の箇条書きのひとつを読み上げます。
怪しげなウェブサイトやメールは開かないように。それに対して、当番が感想を述べます。
会社では、業務に必要なサイト以外にはアクセスしませんが、自宅で大手検索サイトに載っていた広告が気になってクリックしていったら、怪しいサイトに誘導されてしまった。ちょっとこわくなった。こんな発表があれば、大手サイトのリンクにも危険があるんだなということに気がつきます。
IDやパスワードをだれでも見れる状態に放置しない。先日、新人が入ったときに、顧客情報システムのIDやパスワードを付箋に書いてパソコンに貼っていました。これはよくない。
ドキッとする人もいるのではないでしょうか。
このように数十項目ある対策を一回転して話し終えたら、また最初に戻って同じことを継続的に繰り返します。そうしてるうちに、従業員の理解度は高まり、現場でのルールもこなれてきて、勘も働くようになる...そんな好循環が生まれてきます。同時に、ICTモラルのスキルも格段に上がってきます。
しかし、セキュリティ対策システムは、安価なものでいいので導入してみたらどうでしょうか。それだけで、うっかりミスでのアクセスや危険なウイルスなどから、会社のネットワークを自動的に守ってくれます。しかも相当の割合で。
セキュリティ対策。万一の事故が起きてからでは遅いので、ぜひ今日からはじめてください。
●●●