今のセキュリティルールで大丈夫？　業務環境の変化に対応する見直しポイント

クラウドサービス等を通じた外部との情報連携の増加や、サイバー脅威の多様化等、セキュリティ環境は常に変化をしています。IT部門がセキュリティ対策を進めてはいるものの、現場のセキュリティルールの最適化は後回しになっているという企業も多いのではないでしょうか。会社の大切な情報資産を守るためには、セキュリティルールは、最新の業務環境に合った形に見直していくことが大切です。そこで今回は、対策をアップデートしながら、従業員のセキュリティ意識も高める、セキュリティルール見直しのポイントを解説します。

最新の業務環境に応じたセキュリティルールが必要

ウイルスによる攻撃や情報漏えいなどを防ぐために欠かせない、企業の情報セキュリティ対策。安全に業務を行うためには、従業員の指針となるセキュリティポリシーやルールを整備することも重要です。ただ、過去に定めた情報セキュリティルールは、現在の働き方や情報セキュリティに関する社会状況に、きちんと対応しているでしょうか。

現在は、業務アプリや財務管理ツール、ストレージなどのクラウドサービスが普及し、外部の企業と重要なデータを共有する機会が増加しています。また、委託先を通じた情報漏えいなどの事故や、従業員が会社が許可していないクラウドサービスを使ってしまう「シャドーIT」の問題など、対処すべきセキュリティの課題も増えています。

新たなサイバー攻撃の手口も登場し、従業員ひとりひとりにセキュリティへの高い意識と適切な判断力が求められる中で、情報を守るために、最新のセキュリティリスクや社会の変化に対応したルールの見直しが求められています。

サイバー攻撃の最新動向と企業が講じるべき対策10選 | 働き方改革ラボ | リコー

時代に合ったセキュリティルール見直しのステップ

では、最新のセキュリティ環境や脅威に応じてセキュリティルールを適切に見直していくには、どのようなステップが有効なのでしょうか。以下の手順で、現状の確認とルールの更新を進めましょう。

セキュリティ対策運用状況の点検

まずは、現在のセキュリティルールの運用状況を確認しましょう。業務の現場でセキュリティルールの徹底がなされているかをチェックした上で、現在のルールではカバーしきれていないセキュリティリスクや脅威も洗い出します。

独立行政法人情報処理推進機構（IPA）は、情報セキュリティに関して必ず実行すべき重要な施策として「情報セキュリティ5か条」をまとめています。また、IPAが公表している「5分でできる！情報セキュリティ自社診断」ではさらに詳しい診断が可能で、自社に足りない対策もチェックできます。現状の点検のため、活用しましょう。

情報セキュリティ5か条 | 独立行政法人情報処理推進機構

5分でできる！情報セキュリティ自社診断 | 独立行政法人情報処理推進機構

リスクに応じた対応を策定

現ルールで対処できていないセキュリティリスクに加えて、過去に起きた情報に関する事故や、懸念される課題を洗い出し、新たなセキュリティ対策の導入を検討します。すべてのリスクに対処すると、コストの増加や、業務の非効率を招くこともあるため、情報資産の重要度や、漏えい等の事故で起こる損害の大きさに応じて対策の必要性を判断して、ルールに盛り込みます。

委託先のセキュリティ対策を確認

サプライチェーン全体でのセキュリティ強化や、委託先、外部サービスにおけるリスク対策も進めましょう。委託先とのセキュリティに関する契約や、外部サービスのセキュリティ方針の再確認など、外部と共有する情報の取り扱いに関するルールを整備します。委託先でセキュリティ対策が継続して行われているか、新たな対策が必要になった時の対応状況などについても、定期的に確認できる体制を構築しましょう。

サプライチェーン攻撃とは？ 中小企業を狙う手口とセキュリティ対策を解説 | 中小企業応援サイト | RICOH

リモートワークのセキュリティルールを定める

リモートワークを想定したセキュリティ対策を講じていない場合は、リモートワーク特有のリスクに対処できるルールを定めましょう。VPN方式、リモートデスクトップ方式など、自社が導入しているリモートワーク方式に応じたセキュリティ強化策をルールに盛り込みます。リモートワークで利用するクラウドサービスに関する対策も重要です。サービスの信頼性を確認するとともに、自社と外部サービスのセキュリティに関する責任境界の明確化、情報のアクセス制限の強化などの施策を実施しましょう。

情報資産を守るセキュリティルール見直しのポイント

最新のリスクにも対応できるよう、セキュリティルールを適切に見直していくためには、以下のようなポイントをおさえることが大切です。

PDCAのサイクルでルールを改善していく

セキュリティ対策の強化には、計画（Plan）、導入・運用（Do）、点検・評価（Check）、改善（Act）のPDCAサイクルによって、ルールをマネジメントしていく方法が有効です。ルールを策定し（Plan）、全従業員に周知してルールを運用（Do）します。状況の変化や新たな課題を受けて、対策に不足がないか、またルールがきちんと守られているかの確認を行い（Check）、その評価に応じた見直しを進めます（Act）。このサイクルを続けることで、業務の実態や最新のリスクに対応可能な適切なルールを整備できます。

セキュリティ研修の実施

ルールの見直しとともに、セキュリティ研修を継続的に実施していきましょう。リモートワーク中のルールや、最新のセキュリティ動向を全社に常に周知することが大切です。特にリモートワークは、上司やIT担当の目の届かない場所での業務のため、リスク低減には、従業員それぞれのセキュリティに対する高い意識が欠かせません。中でも、情報漏えい防止策や、非常時の被害拡大を防ぐための初期対応方法については、必ず情報を浸透させましょう。

セキュリティ教育とは | 中小企業応援サイト | RICOH

ルール・人・技術のバランスのとれたセキュリティ対策を

セキュリティの強化には、ルール、人、技術のバランスがとれたセキュリティルールの整備が必要です。セキュリティやITに詳しくない人も含めて、すべての従業員が安全に仕事をするための指針となるルールを定めるとともに、それらを扱う「人」の意識も向上しましょう。セキュリティルールの必要性や、遵守するメリットも含めた情報教育を徹底した上で、ルールや人の部分だけでは対応できないリスクをカバーする技術的な施策を導入して、セキュリティレベルを高めましょう。

人的セキュリティ対策とは？「人」が原因の情報リスクとその対策を解説 | 働き方改革ラボ | リコー

情報セキュリティの最新情報を収集する

セキュリティルールのアップデートには、最新情報の収集も不可欠です。セキュリティ担当者は、情報セキュリティ対策の手段やサイバー攻撃の手口などの最新情報を、情報セキュリティの専門機関や保守ベンダー等のSNSやメール、セミナーを通じて収集しましょう。得られた最新情報を、社内だけではなく取引先や委託先にも共有することで、サプライチェーン全体のセキュリティを強化できます。

セキュリティルール見直しを進めた企業事例

実際に、ビジネスの現場でセキュリティルールはどのように強化されているのでしょうか。ルールや対策の改善に取り組む際に参考にできる、企業の事例をご紹介します。

顧客情報を守るため統合型脅威管理システムを導入

群馬県の有限会社つつじ不動産は、事業拡大に伴い、顧客情報を守るためのセキュリティ強化に取り組みました。ウイルス対策ソフトだけでは対策が不十分であるという意識から、ネットワーク上のデータの出入り口を見張るUTM（統合型脅威管理）のシステムを導入しました。

また、取引のある企業が情報漏えいを起こしたことから、セキュリティ対策が不十分な企業との取引を停止。自社内の対策を強化しながら、セキュリティ対策水準の高い企業を取引先として選定することで、顧客の信頼を獲得しています。

セキュリティーを強化して信頼性を確保し、遠隔地でも情報共有して作業できる環境を整える つつじ不動産（群馬県） | 不動産業のICT導入事例 │中小企業応援サイト

リモートワーク導入を機にIT部を設立しセキュリティを強化

東京都の技術サービス業・株式会社打ち出の小槌では、人材獲得や柔軟な働き方の推進を目的に、リモートワークを導入。在宅勤務中の業務におけるセキュリティ対策に積極的に取り組んでいます。

社内にIT部を設立し、在宅勤務用の貸与パソコンの接続フローの整備、自宅外への持ち出しルールの徹底、ツールで使用するパスワードの随時更新管理などによって、セキュリティを強化。東京都の「中小企業サイバーセキュリティ対策継続支援事業」にも参加し、セキュリティ関係のe-ラーニングの導入を検討するなど、情報セキュリティに関する人材育成にも注力しています。

テレワークトップランナー2023 取組事例集 | 総務省

不正サイトへのアクセスを防ぐ「出口対策」を強化

福岡県の商社・創ネット株式会社は、サイバー攻撃の被害を機に、経営上の重要課題としてセキュリティ対策に取り組んでいます。リモートワーク中の社員が、なりすましメールをクリックしたことでウイルスに感染。メールアドレスが乗っ取られ顧客にも不正メールが送付されるという事態が発生したことから、ウイルス対策ソフトによる「入口対策」だけでなく、「出口対策」を強化しました。

不正サイトへのアクセスのブロックや、ウイルス感染時のネットワークの自動遮断などの機能、また非常時に専門家のフォローが受けられるサイバー保険が付いた、クラウド型セキュリティソリューションを導入。セキュリティリスクに関する月次レポートの社内共有など、従業員のセキュリティ意識の向上にも取り組んでいます。

中小企業のセキュリティ対策事例 創ネット株式会社 | 情報処理推進機構

新しい時代のセキュリティ強化のためルール見直しを進めよう！

セキュリティルールは整備したものの、作っただけで安心して一度も見直していない、ということはありませんか？　場所を選ばない働き方の実現や、クラウドサービスも活用した業務フローの浸透など、ワークスタイルは常に変化しており、非常時に被害拡大を防ぐための危機管理体制も欠かせません。ルールの有効性を常にチェックし、時代にフィットしたセキュリティ対策を運用することで、大切な情報資産や、社会的信頼を守りましょう。