【2023年事例】中小企業の情報漏洩事例と対策のポイントとは
2023年、国内の上場企業とその子会社における情報漏洩や紛失事故の件数は、過去最多を記録しました。大企業の事例が注目されがちですが、中小企業も例外ではありません。情報漏洩のリスクは、企業規模に関わらず、すべての企業にとって重大な脅威となっています。
それでは、中小企業が情報漏洩のリスクに立ち向かうには、どのような対策が必要でしょうか。本記事では、実際に起こった情報漏洩事例を紹介し、そこから得られる教訓を基に、中小企業が今すぐ取り組むべきセキュリティ対策のポイントを解説します。
また、情報漏洩に関する基本的な情報については、こちらの記事「情報漏洩対策は企業において必須!情報漏洩の原因や備え方を紹介します」でも紹介しています。
2023年の情報漏洩・紛失事故の発生状況
東京商工リサーチが実施した「2023年上場企業の個人情報漏えい・紛失事故」調査によると、2023年の情報漏洩・紛失事故の発生件数は175件で、2012年の調査開始以来、3年連続で最多記録を更新しています。
事故原因の内訳を見ると、「ウイルス感染・不正アクセス」が93件(53.1%)で最も多く、「誤表示・誤送信」が43件(24.5%)、「不正持ち出し・盗難」が24件(13.7%)と続いています。この結果から、情報漏洩や紛失事故はサイバー攻撃によるものだけでなく、人的要因から起こる事故も多いことがわかります。特に「不正持ち出し・盗難」による大規模な事故が増加しており、1件当たりの被害者数は平均で102万4,713人に上ります。
情報漏洩が発生すると、企業は経営危機に直面する可能性があります。中小企業においては、事故への対応や信頼回復に多くの労力を割かなければならないケースが少なくありません。
中小企業のIT管理を任された時は、情報漏洩のリスクを自社の問題として捉えることが重要です。サイバー攻撃が巧妙化していることや人的ミスが多発していることを踏まえ、事故を未然に防ぐための対策を講じるとともに、事故の発生を想定して、インシデント対応の準備を進めておく必要があります。
出典:東京商工リサーチ「2023年の個人情報漏えい・紛失事故が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」
2023年に発生した中小企業の情報漏洩事例5選
2023年には、どのような情報漏洩・紛失事故が発生したのでしょうか。ここでは、原因別に5つの事例を取り上げ、中小企業のセキュリティ対策における課題を明らかにします。
情報漏えい事例① USBメモリの紛失:企業A
診療報酬明細書(レセプト)の精度調査などを行う企業Aでは、調査の委託元である医療法人から預かったUSBメモリを誤って紛失するという事故が発生しました。USBメモリには、患者や職員、協力会社などの関係者を含む3,500人以上の個人情報が記録されていました。
紛失したUSBメモリにはパスワードが設定されていたため、第三者が個人情報を入手する可能性は低いと考えられます。しかし、企業Aではこの事故を重く受け止め、情報管理体制の見直しと強化に着手しました。
具体的には、個人情報を取り扱う情報管理室や執務スペースでの防犯カメラの設置、従業員が使用するパソコンのログ管理、USBメモリの設定管理(制御設定を行っていないパソコンでの使用制限等)、個人情報の管理や返却及び廃棄に関するルールの明確化と周知徹底などの対策を講じています。
情報漏えい事例② 不正行為:企業B
ある地方自治体から公共サービスの窓口業務を受託していた企業Bでは、この業務を担当していた従業員による個人情報の不正持ち出しが発生しました。
持ち出された可能性のある個人情報は、申請書類に記載された氏名、住所、電話番号など、約2,000人分に上りました。
個人情報を取り扱う業務を受託する企業には、個人情報保護に関する法令や規範を遵守し、情報漏えいを防ぐための技術的・物理的・人的なセキュリティ対策を講じ、個人情報の取得・利用・提供を適切に管理する体制の構築が求められます。
この事例は、従業員一人ひとりが確固たる倫理観とセキュリティ意識を持つことの重要性を示唆したと言えるでしょう。
情報漏えい事例③ 不正アクセス:企業C
健康食品や化粧品を扱うECサイトを運営する企業Cでは、5,000人を超える利用客の個人情報やクレジットカード情報などが漏洩したことが明らかになりました。
情報漏洩の原因は、悪意ある第三者が同社サイトの脆弱性に対して、クロスサイトスクリプティングという手法で不正アクセスし、クレジットカード決済処理時に個人情報を取得するアプリケーションを改ざんし、不正にデータを入手したことによります。
この事例は、ECサイトを運営する企業にとって、セキュリティ対策の重要性を再認識させるものです。クロスサイトスクリプティングをはじめとするサイバー攻撃を防ぐため、脆弱性を定期的にチェックすることが欠かせません。また、セキュリティパッチの最新化を行うなど、発見されたぜい弱性に対して適切に対応することが重要です。これにより、悪意ある第三者による不正アクセスや、個人情報の不正な取得を防ぐ必要があります。
一方で、ウェブサイトのユーザーとしてもクロスサイトスクリプティングには注意が必要です。悪意がなくとも、自分や自社の従業員が、不正なスクリプトを自社のECサイトや他社が運営するサイトに持ち込んでしまう可能性もあります。自社サイトのセキュリティ対策を強化することはもちろん、従業員一人一人の ITリテラシーを向上させることも重要です。
情報漏えい事例④ メール誤送信:企業D
自動車販売店を運営する企業Dにおいては、2,000件弱の顧客のメールアドレスが流出する事故が発生しました。
この事故は、従業員がキャンペーンの案内メールを顧客に送信する際に、顧客のメールアドレスをBCCではなくCCに入力したことが原因です。その結果、メールを受信した顧客同士でメールアドレスが相互に見えてしまう事態となりました。
事故発覚後、企業Dは該当する顧客に対して謝罪文を送付し、誤って送信されたメールの削除を依頼しました。また、情報管理の徹底強化を宣言し、再発防止に取り組む姿勢を示しています。
メールの誤送信は、人的ミスに起因する代表的な情報漏洩事例の一つです。CCとBCCの使い分けをはじめとする基本的なメールの取り扱いルールを、全従業員に徹底することが重要です。加えて、同報メール配信の手順として複数人によるクロスチェックを実施したり、メールシステムに遅延送信設定(即時配信せず一定の時間後に配信される設定)を導入したりするなど、誤送信を防止するための具体的な仕組みづくりも検討すべきでしょう。
情報漏えい事例⑤ 誤設定・誤掲載:企業E
ある企業Eが地方自治体から運営を受託していた施設のウェブサイトで、1,000人を超える個人情報が流出するという事故が発生しました。流出したのは、氏名や市町村までの住所、電話番号、生年月日などです。
事故の原因は、同社従業員が本来掲載すべきだったPDFファイルと、個人情報が記録されたExcelファイルを取り違えてしまったことにあります。この誤掲載は、顧客からの指摘によって発覚しました。
企業Eは直ちにサイト上のファイルを正しいものに置き換えましたが、サーバー上からは完全に消去されておらず、複数のワードを組み合わせて検索すると、個人情報が掲載されたExcelファイルを閲覧できてしまう状態になっていました。この問題は第三者の指摘により明らかになり、その後同社はサーバー上からもファイルを完全に削除しました。
事故の原因として、同社は「スタッフの不注意による操作ミス」「確認が十分でなかった」「サイトの仕様を正しく認識できていなかった」としています。
この事例は、中小企業においても個人情報の取り扱いに関する意識を向上させること、具体的な対策の実施が急務であることを示唆しています。サイトの設定やファイル管理に関するルールの整備、スタッフへの教育・啓蒙、公開前後のチェック体制の強化など、多角的なアプローチが求められるでしょう。
情報漏洩事例から得られる教訓
中小企業がセキュリティ対策を推進するには、限られたリソースを有効活用し、優先度の高い課題と懸念事項から着実に対策を実施していくことが重要です。一度に多くの対策を導入しようとするのではなく、自社の状況に合わせて段階的に取り組むことが効果的でしょう。
ここでは、セキュリティ対策を進めるポイントとおすすめのセキュリティ対策について解説します。
※ジャスミーでは、企業の情報システム部門の担当者と一般社員を対象に、セキュリティ意識の実態を測る「企業におけるセキュリティ意識の実態調査」を実施しました。こちらもぜひご覧ください。
段階的にセキュリティ対策を進めるポイント
独立行政法人情報処理推進機構(IPA)が公表している「中小企業の情報セキュリティ対策ガイドライン第3.1版」では、企業規模に関わらず実行すべき重要な対策として以下の5項目を挙げています。
・OSやソフトウェアを最新の状態に保つ
・ウイルス対策ソフトを導入する
・パスワードを強化する
・共有設定を見直す
・脅威や攻撃の手口を理解する
出典:独立行政法人情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン第3.1版」
これらの基本的な対策を実施するだけでなく、自社が持つセキュリティリスクを把握し、対策の優先順位を決定することが求められます。
前述の情報漏洩事例から、中小企業に共通するセキュリティリスクとして「従業員のセキュリティ意識の低さ」と「実際の事故を想定した対策の不備」が浮き彫りになりました。従業員のセキュリティ意識が低いと、個人情報を記録したデバイスの紛失、メールの誤送信、サイトへの誤掲載などのヒューマンエラーを引き起こす恐れがあります。
また、人的リソースが限られている中小企業にとって「実際の事故を想定した対策」は特に重要と言えます。有事の際に原因を特定しやすく、被害拡大を防止できる環境を整備しておくことが大切です。
セキュリティ対策を進めるうえでは、小さな変更から開始して徐々に拡大していくアプローチも有効です。従業員の抵抗感を減らし、セキュリティ意識を根付かせるためには、無理のない範囲で対策を導入し、着実に成果を積み重ねていくことが重要です。
加えて、セキュリティ対策は一度実施すれば完了ではなく、常に更新と改善が必要であることを忘れてはなりません。定期的に対策の効果を検証し、必要に応じて見直しを行うことで、より強固なセキュリティ体制を構築することができるでしょう。
中小企業におすすめのセキュリティ対策
中小企業がセキュリティ対策を進める上では、自社の状況に合わせて段階的に取り組むことが重要です。まずは、以下の3つの段階に分けて対策を進めることをおすすめします。
第1段階:セキュリティの基本を確立する
・情報セキュリティ対策ガイドラインの5項目が実行できているかを確認する
・セキュリティポリシー(基本方針)を定め、従業員教育を行う
・個人情報や重要な業務データへのアクセス条件を整備する
第1段階では、情報セキュリティ対策ガイドラインの5項目を中心に、セキュリティの基本を確立します。これらの対策は、追加のソフトウェアやハードウェアの導入を必要とせず、情報セキュリティに関する社内教育の実施やセキュリティポリシーの策定など、社内の体制整備によって実現可能な内容です。
セキュリティポリシーについては、「情報セキュリティポリシーとは?その目的と重要性、策定方法の基準などを解説」で紹介しています。セキュリティポリシー策定時のポイントなど気になる方はぜひご覧ください。
第2段階:具体的なセキュリティ対策を導入する
・従業員のPC操作を記録し、誤操作やセキュリティポリシー違反の行動を検出できる環境を導入する
・データの損失や被害拡大を防止するソリューションを導入する
・事故の原因を特定しやすい環境を構築する
第2段階では、セキュリティ対策をさらに強化するため、PC操作のモニタリングやデータ損失防止、原因特定のためのソリューションを導入します。近年では、クラウドベースのセキュリティソリューションが普及しており、中小企業でも比較的安価に導入できるようになっています。費用も月額数万円程度のため、専任の人員を雇用するよりも経済的に対策を進められるでしょう。ただし、自社のリスク状況に応じて優先順位を付けて対応することが重要です。
第3段階:継続的な改善を図る
・定期的な従業員教育を行い、セキュリティリテラシーを向上させる
・新たな脅威や脆弱性に対応するため、セキュリティ対策の見直しと更新を継続的に実施する
第3段階では、継続的な改善を図ることが重要です。定期的な従業員教育を行い、セキュリティリテラシーを向上させるとともに、新たな脅威や脆弱性に対応するため、セキュリティ対策の見直しと更新を継続的に実施していきます。
中小企業のセキュリティ対策は、一朝一夕で完璧なものを目指すのではなく、自社の状況に合わせて段階的に強化していくことが大切です。上記の3段階のアプローチを参考に、無理のない範囲で着実に対策を進めていきましょう。
中小企業の情報漏洩対策は段階的に進めよう!
2023年、国内の上場企業で発生した情報漏洩と紛失事故の件数は過去最多を記録しました。大企業の事例が注目されがちですが、中小企業も例外ではありません。情報漏洩のリスクは、規模に関わらずすべての企業にとって重大な脅威となっています。
特に中小企業では、さまざまなセキュリティ対策を一度に進めるのは難しいのが実情です。そこで重要なのが、自社のセキュリティリスクを正しく把握し、優先順位を明確にしながら、段階的に対策を進めていくことです。
中小企業のセキュリティ対策を進めていくうえで紹介したいサービスが「Jasmy Secure PC」です。
ジャスミーの「Jasmy Secure PC」には、PCの操作ログを記録する「ドライブレコーダー機能」が搭載されています。この機能により、従業員のPC操作ログを可視化し、誤操作やセキュリティポリシー違反の行動を検出することができます。また、万が一情報漏洩事故が発生した場合でも、ログデータを分析することで原因の特定や流出した情報の確認が可能です。こうしたツールの導入は、従業員のセキュリティ意識の向上と適切な行動の定着に役立ちます。
加えて、「Jasmy Secure PC」には情報漏洩を防止する「ゴーストドライブ機能」も搭載。特定の条件下でのみマウントされる暗号化ドライブでデータを安全に管理できます。
「Jasmy Secure PC」は、これらの機能をクラウドベースのサービスとして、非常に低コストで提供しています。全ての機能を利用する場合でも、1ユーザー月額440円(税込)で利用する複数のPC端末に導入可能なので、中小企業でも導入のハードルが低いのが特長です。さらに、1ライセンスから導入可能なので無駄なコストを抑えながら、段階的にセキュリティ対策を強化できます。
情報漏洩対策は、企業の信頼を守り、事業の継続性を確保するために欠かせない取り組みです。本記事で紹介した段階的なアプローチを参考に、自社の状況に合わせて着実に対策を進めていきましょう。「Jasmy Secure PC」のようなログ管理ツールを活用することで、より効果的かつ効率的に情報漏洩対策を進められます。
なぜ客観的記録が勤怠管理に必要なのか?その背景と実現方法とは
長時間労働による過労死や時間外労働の未払い問題などを解決すべく、働き方改革が推進される中、労働安全衛生法が改正されました。それにより、客観的な労働時間の把握が義務づけられ、企業はその対応が急務となりました。
しかし、客観的記録がなぜ必要となり、どんな対策を講じなければならないのでしょうか。
今回は、法改正前に比べ現在において求められる勤怠管理の現状と、企業が労働時間の客観的記録について実施すべき具体的な対応について詳しく解説します。
勤怠管理における客観的記録とは
2019年に労働安全衛生法が改正されたことにより、労働時間を適正に把握することが義務化されました。そのためには、客観的な労働時間の記録を把握する必要があります。
本章では、客観的記録とは具体的にはどのような記録なのか、厚生労働省が定めている客観的記録の定義も含めて詳しく解説します。
また、労働時間とは勤務時間における「どこからどこまでの時間なのか」が曖昧であるケースも散見されます。勤務中において、どの時間を記録すべきなのかについても解説します。
客観的記録とは
客観的記録とは、従業員から提出された勤務記録ではなく、客観的な要素が認められる勤務時間の記録を意味します。例えば、ICカードによるビルやフロアの入退館時刻や、業務用PCのアクセスログなどです。
厚生労働省では、「タイムカード、ICカード等の客観的な記録を基礎として確認し、記録すること」と定義しています。
出典: 厚生労働省|労働時間の適正な把握のために 使用者が講ずべき措置に関する基準
つまり客観的記録とは、従業員から提出された自己申告による勤務記録だけではなく、タイムカード、ICカードなどの「客観的な記録」を把握する必要があるとしています。
客観的な労働時間の記録は、原則として自己申告を認めていません。ただ、場合によっては自己申告制による勤怠管理をしなければならないケースもあります。
例えば、直行や直帰により、タイムカードやICカードで労働時間の客観的記録を行えない営業職などが該当します。
とはいえ、業務用のパソコンを支給していれば、社内システムへのログイン記録が残っていると判断されるため、営業職であれば必ずしもこの措置を適用できるとは限りません。
あくまでも、客観的な労働時間を記録する方法が、他にない場合の措置である点であることに理解が必要です。
そもそも労働時間の定義とは
厚生労働省では、労働時間とは事業者の指揮命令下に置かれた時間を指し、事業者の指示だけではなく、「黙示の指示」で従業員が仕事をする時間も労働時間に含まれるとされています。
「黙示の指示」とは、会社が労働するよう指示はしていないが、従業員が労働せざるを得ない状況のことを指しています。
また、以下のような時間も労働時間に含まれます。
・参加が義務づけられている研修などの時間
・制服へ着替える時間、オフィスの掃除や備品などを片付ける時間
・実際に業務はしていないが、指示があればすぐに対応するために待機している時間
適正な労働時間とは、これらの時間も含めなければなりません。
客観的記録が勤怠管理に必要となった背景
ここまで客観的記録の定義について触れてきました。それでは、勤怠管理においてなぜ客観的記録の把握が必要となったのでしょうか。
労働安全衛生法の改正により義務化された
2019年4月1日に施行された改正労働安全衛生法では、従業員の労働時間について「客観的記録」が義務化されました。このことから、企業の勤怠管理において、客観的記録を把握することが必要となったのです。
従来、従業員の労働時間を把握する方法は企業に委ねられていました。厚生労働省より、労働時間を把握する方法についてのガイドラインが提示されていましたが、法律には具体的な記載がありませんでした。
労働時間の把握方法に課題があった
労働安全衛生法の改正前、企業の労働時間の把握方法には課題がありました。従業員の労働時間を把握する方法が企業側へ委ねられており、その対応は企業によってバラツキがあったためです。
その上、労働者の勤務日数や出勤・退勤時刻を記載すべき出勤簿には具体的に何を記載しなければならないか、どんな基準に基づいて労働時間を把握すれば良いのかといった、法的根拠が曖昧であったことも問題でした。
これらを要因として、長時間労働による過労死や時間外労働の未払いが大きな社会的問題となり、労働時間の管理に関わる法整備が進められたのです。
労働時間の把握は時間外労働の計算だけでなく、従業員の健康管理の側面からも、法的に客観的記録の把握が義務づけられるようになりました。
客観的記録を可能とする勤怠管理方法とは
現在、市場で提供されている勤怠管理システムには、労働時間の客観的記録をうまく取り込めなかったり、可視化しづらい製品がまだ多くあります。これまでは、従業員による自己申告や作為的な労働時間の記録だけでも法的に問題が無かったからです。
法改正以降、従来の勤怠管理システムの導入だけなく、従業員の自己申告の労働時間と客観的な記録に差がないことを証明できる仕組みが必要となりました。
それでは、客観的記録を可能とするには、どのような方法があるのでしょうか。
客観性の高いタイムカード運用を行う
客観的記録を可能とする勤怠管理方法としてまず挙げられるのは、タイムカード等の打刻の客観性を高めることです。
打刻の客観性を高めることとは、例えば制服が貸与されている場合は「着替える時間」また「オフィスを掃除する時間」なども、労働時間として記録できるようにすることです。
ただし、打刻時間をそのまま勤務時間として記録してしまうだけでは、客観的な記録とはならないため注意が必要です。
ICカード等のログを採用する
ICカード等によるビルの入退館、またはフロアの入退室データを活用することで、客観性の高い労働時間を把握できます。
タイムカードによる記録では、前述した通り運用次第では作為性が排除できず、客観的な記録とならない可能性もあります。
しかし、ICカード等によるログは、従業員の建物への入退館、またはフロアへの入退室時間を記録しているため、比較的に客観性の高い勤務時間の記録と言う事ができます。
業務で利用するPCの操作ログを取得する
客観的な労働時間を把握するため、業務で利用するPCの操作ログを保存、集計して利用する方法があります。
ICカード等による入退室管理システムの導入は、工事等が発生し時間やコストがかかる点からすぐに導入できないケースもありますが、PC操作ログの活用であれば既存のPCをそのまま活用でき、1ユーザーあたり月額数百円程度で導入が可能です。
また既にテレワークが広く一般的となり、今後の様々な勤務環境やワークスタイルの変化を考えると、PC操作ログを客観的な記録として活用する方法がおすすめです。
1ユーザーあたり月額百円台から導入可能なクラウド型PCログ管理ソリューションの「Jasmy Secure PC」は、クラウド勤怠管理システムの「AKASHI」や「勤労の獅子」とのAPI連携を実現しています。テレワーク等1ユーザーで複数のPCを利用する場合にも対応可能で、PC操作ログから正確にユーザーごとの客観的記録を集計し、日次での自動連係を可能にしています。
また1ユーザーから導入可能なので、ワークスタイルが多様化している現在において、それぞれの部門や職種の勤務環境に合わせてフレキシブルに活用する事が出来ます。
それにより、客観性が高い労働時間を把握する仕組みが無理なく、段階的に構築できます。
まとめ
2019年4月1日に施行された改正労働安全衛生法により、従業員の勤怠管理は客観的記録を把握することが義務化されました。それにより企業は、従業員の客観的な労働時間を把握できる仕組みを採用することが求められています。
勤怠管理における客観的な労働時間とは、従業員による自己申告の労働時間ではなく、ICカードを使ったビルへの入退館、またフロアへの入退室時刻などを指します。
また昨今では、業務で利用するPCの操作ログを保存、集計して客観的な労働時間も把握可能なクラウド勤怠管理サービスがあります。
「Jasmy Secure PC」では、クラウド勤怠管理サービス「AKASHI」や「勤労の獅子」とのAPI連携により、労働時間の客観的記録の自動収集が可能です。
無料トライアルも行っています。ぜひお気軽にご相談ください。
セキュリティインシデント対応における重要な7ステップを徹底解説
企業や組織に対する第三者からのサイバー攻撃は後を絶ちません。年を追うごとに、その攻撃方法は巧妙化の一途をたどっています。
万一、セキュリティインシデントが発生した際、迅速かつ適切に対応しなければ自組織だけでなく顧客にまで被害を拡大させてしまう恐れもあります。
今回は、セキュリティインシデントの種類や、セキュリティインシデントが発生した際の対応方法などについて解説します。
セキュリティインシデントとは
セキュリティインシデントとは、セキュリティ上の脅威となる事象を意味します。そもそもインシデントとは、ビジネスにおいては業務上で発生しうる「事件や事故の一歩手前の状態」を指します。
セキュリティにおけるインシデントも同じ意味合いを持ち、「セキュリティ」に関わる「インシデント=事故の一歩手前」の状況のことを表します。
例えば、端末やサーバなどに対する第三者からの不正アクセスやマルウェア感染、外部からのサイバー攻撃だけでなく、情報漏洩につながるような内部の不正などがセキュリティインシデントにあたります。
また、設備不良や天災などの災害による事故も、セキュリティインシデントに含まれます。
日本産業規格(JIS規格)による情報セキュリティマネジメントシステム(ISMS)では、情報セキュリティインシデントについて以下のように定義しています。
情報セキュリティインシデント(information security incident)
望まない単独若しくは一連の情報セキュリティ事象、または予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。
引用:JIS Q 27000:2019|情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語)
つまり、企業における事業運営を脅かす可能性のあるセキュリティ脅威を、情報セキュリティインシデントであるとしています。
セキュリティインシデントの主な種類
セキュリティインシデントの種類には、以下のようなものがあります。
| 種 類 | 概 要 |
|---|---|
| マルウェア感染 | ウイルス、スパイウェアなどの悪質なプログラムがパソコンやサーバなどのデバイスに仕掛けられてしまうこと |
| ランサムウェア | ファイルを暗号化させて使用不能な状態とし、そのデータを使用できるようにすることと引き換えに身代金が要求される |
| DDoS攻撃 | 自社サイトなどのサーバへ処理できないような大量のアクセス要求を一斉に送りつけ、運用停止などへ追い込むサイバー攻撃 |
| 不正アクセス | アクセス権限を持たない第三者がパスワードやIDを盗み、不正に社内の機密データへアクセスし、Webサイトの改ざんや情報漏洩へ発展するセキュリティインシデント |
| フィッシング | 有名企業を装ったメールの本文にあるURL、または偽サイトへ誘導しユーザIDやパスワードなどを入力させて情報を入手する詐欺 |
| インサイダー脅威 | インサイダーとは社員や元従業員、外注先ベンダーや提携企業などの悪意を持ったインサイダーにより、情報資産などの重要データを不正に盗み出されるインシデント |
これらのセキュリティインシデントが発生した場合、企業や組織は適切に対応しなければなりません。
セキュリティインシデント対応とは
セキュリティインシデント対応とは、セキュリティインシデントを検知した際、適切に対応することを意味します。発生したインシデントへ適切に対応することで、サイバー攻撃を最低限に抑えることが可能です。
近年のサイバー攻撃は年々手口が高度化しているため、被害を完全に防御することは困難です。そのため、あらかじめどのようなセキュリティインシデントが発生するかを想定し、事前準備を行っておくことが重要です。
セキュリティインシデント発生の検知方法や、初動対応から復旧までを迅速かつ適切に実施できる社内体制の整備が求められます。
セキュリティインシデント対応の重要な7ステップ
サイバー攻撃がはびこる現代において、セキュリティインシデントを完全に防ぐことは難しいと言われています。セキュリティインシデントが発生した際には、以下に挙げる7ステップについて適切に対応することで被害の拡大を防ぎます。
- 事前準備
- 異常の検知
- 社内報告
- 初動対応
- 社外への通知・公表(必要な場合)
- 抑制措置・復旧
- 再発防止・事後対応
1.事前準備
セキュリティインシデントの発生には、適切に対応するセキュリティチーム、または担当者の任命、対応する順序や方法を事前準備しておくことが重要です。
セキュリティインシデント発生時の連絡手段は電話なのかメールなのか、責任者への連絡が繋がらなかったときには次に誰へ連絡するのか、電話は出るまでかけ続けるのかなど、事象が起こった際の実際の動きを細かく想定しておきます。
取り決めたルールは手順書へ落とし込み、連絡を受けた担当者は手順書に沿って行動することを徹底します。間違いなく迅速に対応しなければならないためです。従って、手順書は対応に抜けや漏れがあってはなりません。
また、セキュリティインシデントを想定した予行訓練を事前に行うのも良いでしょう、訓練によって実際に行動することで、対応の抜けや漏れを確認できるだけでなく、実際にセキュリティインシデントが発生した際に落ち着きがあり、かつ迅速な行動へとつながります。
2.異常の検知
アンチウイルスソフトやファイアウォールなどのセキュリティツールによる検知や、セキュリティチームや担当者宛ての連絡によって異常を検知します。
万一、セキュリティ対策製品などの「サイバー攻撃を監視する仕組み」からアラートがあがった際は、ただちに責任者へ報告します。悪意ある第三者からの攻撃には、被害を拡大させる前に迅速に対応しなければなりません。
また、社内においてメールを誤送信してしまったという連絡や、顧客から個人情報の流出が疑われるという相談を受けることもあります。その際も、速やかに責任者へエスカレーションしましょう。
3.社内報告
異常の検知・連絡を受けた担当者は、上司や責任者など、しかるべき相手へエスカレーションします。担当者は自身で判断することなく、決められた手順書に従うことが重要です。報告の遅延は、被害の拡大を招く恐れがあるため速やかに行動しましょう。
なお、不正アクセスやマルウェア感染といった、端末やサーバなどから情報流出の可能性が疑われる事象では、むやみに対応しないように注意します。セキュリティインシデントの証拠が機器に残っている場合、不用意に操作することで証拠を削除してしまう可能性があるからです。
4.初動対応・調査
報告の実施、または報告を受けた後、セキュリティチーム(担当者)が中心となって初動対応・調査にあたります。
ただちに実施可能な応急処置を行い、被害の拡大や二次被害を防ぎます。例えば、マルウェア感染によって他の端末に感染するリスクがある場合は、速やかにその端末をネットワークから切り離します。
外部から情報資産へアクセスできる状態や、Webサイト改ざんが疑われる場合は、情報の隔離やWebサービスの停止を行います。なお、不正アクセスの可能性がある場合は、その後侵入ルートを調査するケースもあるため、証跡を削除しないよう注意します。
初動対応によってサイバー攻撃や被害の拡大が防止できた後、セキュリティインシデントの内容調査を行います。調査は、いつ、どこで、誰が、何を、なぜ、どうしたのかを明確にまとめることが重要です。
5.社外への通知・公表(必要な場合)
セキュリティインシデントの調査結果を元にして、必要あれば社外への通知・公表を行います。
社外への通知・公表が必要なケースとは、発生したセキュリティインシデントの調査によって、情報漏洩が発生した場合などです。
さらに、管轄の警察や情報処理推進機構(IPA)などへ届出を行うことで協力を得られるケースもあります。例えば、インサイダー攻撃(内部による犯行)や第三者による不正アクセス、ランサムウェアによる金銭の要求など、犯罪へとつながるセキュリティインシデントは警察への届け出を実施します。
6.抑制措置・復旧
発生した被害の抑制措置と復旧作業を行います。
例えば、自社になりすましたメールが発見されたケースでは、取引先を含めた関係者へ事実を通知し、メールへ添付されたファイルを開封しないことや、メールに記載のあるURLをクリックしないよう連絡を行います。
また、情報漏洩が起こってしまったケースでは、再発防止に向けた措置が完了したところから、停止したシステムやサービス、アカウントなどの復旧を進めていきます。
7.再発防止・事後対応
セキュリティインシデント対応が一通り完了したら、再発防止の検討など事後対応を行います。
今回発生したセキュリティインシデントについて根本原因を調査し、同じことを要因としたセキュリティインシデントが再発しないよう対策を練ります。
例えば、最新のセキュリティ対策ツールの導入や、社内の情報セキュリティポリシーを見直すなどの対策があります。
参考)情報セキュリティポリシーとは?その目的と重要性、策定方法の基準などを解説
また、社員へのセキュリティに関する研修を定期的に行うことも重要です。各部門の責任者を含め、PCの持ち出しに関して徹底的に管理するなど、セキュリティインシデントが発生しないため、普段から対策を行うことが重要です。
まとめ|セキュリティインシデントへの対応は適切な事前準備が重要
サイバー攻撃は年々巧妙化しています。自社や顧客に甚大な被害が起きないよう、普段からセキュリティインシデントの発生を予防することが重要です。
発生してしまったセキュリティインシデントに対しては、適切かつ迅速に対応するため、検知・対応・復旧までの対応方法を事前に準備しておく必要があります。
ジャスミーが提供する「Jasmy Secure PC」は、導入しやすい料金で、既存のPCにインストールするだけで利用できます。
さらに、「Jasmy Secure PC」では、「ゴーストドライブ」機能により、万が一PCの紛失・盗難が発生した場合など、遠隔管理者からあらかじめ決められたドライブを利用できないようにすることで、セキュリティインシデントへの対策を強化することができます。
「Jasmy Secure PC」は無料トライアルも行っています。お気軽にご連絡ください。
情報セキュリティポリシーとは?その目的と重要性、策定方法の基準などを解説
情報セキュリティポリシーという言葉を聞いたことはあるでしょうか。情報セキュリティポリシーとは企業や組織が保有する重要な情報を守るための方針のことです。事業の継続や発展において、情報の重要性は非常に高いと言えます。
今回は、情報セキュリティポリシーの目的や重要性、具体的な策定項目、運用ポイントなどについて取り上げます。
情報セキュリティポリシーとは?
総務省の「国民のためのサイバーセキュリティサイト」では、情報セキュリティポリシーを以下のように定義しています。
『情報の機密性や完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたもの。』
分かりやすく説明すると、適切にサービスが提供できる状態を維持しつつ、会社や組織にとって大切な情報(例えば顧客情報や人事情報、営業情報など)を悪意のある人間から守るための方針をまとめたもの、といえます。なお、こういった重要な情報を情報資産と呼びます。
情報セキュリティと聞くとITのことだけを思い浮かべるかもしれませんが、紙などの物理媒体も情報セキュリティで守るべき対象です。つまり、情報セキュリティポリシーはIT化に対してだけでなく、会社や組織が健全に機能していくための大切な指針なのです。
情報セキュリティポリシーの目的と重要性
情報セキュリティポリシーの目的は、情報資産を守ることです。そのため情報セキュリティポリシーでは、どういった情報資産をどういった脅威から守るのかを決めて、運用体制やルールなどを考えていくことになります。
ここで重要なのは、画一的なルールをただ適用すればよいのではない、という点です。企業や組織ごとに取り扱う情報はもちろん、運用の方法も異なります。自社の規模や組織体制も情報セキュリティを考えるうえで大切な要素です。自社が持つ情報資産と対策すべき具体的な脅威を想定したうえで、適切な情報セキュリティポリシーを策定することが効果のある方針につながります。
情報資産を守れず機密情報や個人情報が漏えいすると、その企業の信頼は大きく損なわれてしまうだけでなく、訴訟や賠償に発展しかねません。また、事業を行ううえで重要なデータが消失すると、事業の継続が困難になるおそれもあります。
こうしたリスクを低減するため、適切な情報セキュリティポリシーを作成して運用することが重要なのです。
リスク対策としての側面も
サービス業で基本的にテレワーク未導入の企業や、クラウドサービスをごく一部の部署でしか利用していないような企業では、情報セキュリティポリシーの必要性を感じないかもしれません。
しかし、バックオフィス系の業務をテレワークに対応させて勤務形態の柔軟性を高めることは、働き方改革のなかで重要です。また、災害等による出社リスクを考慮し、テレワーク比率を高めることが必要になるかもしれません。さらに、データマネジメントやデータ加工に効果を発揮する生成AIの活用に合わせてクラウドサービスを利用するといったケースは、今後も増加していくと予想されます。
事業の継続性を高めるためにも、予め情報セキュリティポリシーを策定しておくことで素早く対応が可能となります。これらの対応は、これからの企業経営にとって重要なことだと考えられます。
情報セキュリティポリシーの主な内容
企業や組織によって適切な情報セキュリティポリシーはそれぞれ異なると述べましたが、基本の型は存在します。
ここでは総務省「国民のためのサイバーセキュリティサイト」を基に、情報セキュリティポリシーの内容について解説します。情報セキュリティポリシーは「基本方針」「対策基準」「実施手順」の3つから構成されることが一般的です。ここでは、上位指針となる「基本方針」「対策基準」について解説します。
基本方針
基本方針では「情報セキュリティの必要性」「情報セキュリティに対する方針」「個人情報の取り扱い」などを明文化します。
情報セキュリティの必要性
情報セキュリティの必要性を確認し、組織全体に対策の重要性を周知します。また、万が一情報セキュリティ事故が発生した場合のリスクも明確化します。
現代ではクラウドサービスの利用やテレワークの浸透など、ITの活用範囲が広くなり利便性が向上している反面で、情報セキュリティリスクも増しています。具体的には情報漏えいによる信頼失墜やITが一時的に利用できなくなった場合の業務停止、内部不正による情報の改ざんなどです。
こうした背景を前提として、どういったリスクが存在するのかを組織全体で共有します。
情報セキュリティに対する方針
「情報セキュリティの必要性」で確認したリスクを基に、社内の状況を踏まえてどのように対策をしていくのか方針を決定します。体制や運用方針といった内容がメインです。組織が保有する情報資産をどのように保護するのか、その方針やルールを記載します。また、実行・運用していくための運用規定や対策基準を定めます。
例えばテレワークのために会社支給の情報端末を自宅に持ち帰る場合、どのように情報資産を保護するか。個人所有のパソコンをテレワークで使用する場合はどのように資産を管理するか。スマートフォンから会社用のチャットツールを利用する場合のルールや、それらの情報端末を紛失した場合の対応方針。クラウドサービス上に保存される情報資産を保護するには、どのように運用するのが好ましいか。それらをとりまとめるのはどこの部署が担うか、などを定めます。
また、持続的に運用するには専門的な知識が必要です。内部人材を育成することや、不足した場合に外部から招へいできるように体制維持についても検討すると効果的です。
個人情報の取り扱い
情報資産の中でも特に注意して取り扱う必要があるものが個人情報です。取引先や顧客の個人情報はセキュリティインシデント発生時のリスクが非常に高く、万が一漏えいすると取引先・顧客との信頼関係が崩れ、業界や一般ユーザーからの信頼も失ってしまいます。そのため、個人情報をどのような方針で取り扱うのか、この段階で明確にします。また、社員の個人情報を保護することも組織運営において重要です。顧客情報とともに社員情報についても同時に管理方針を定めておきます。
対策基準
基本方針に沿って情報セキュリティ対策の実施方針を定義します。ここも会社や組織によって内容は異なりますが、例えば以下のような要素が含まれます。
情報システムの脆弱性対策
脆弱性というのはシステムの不具合や設計上のミスが原因となって発生する、サイバーセキュリティ上の弱点のことです。残念ながら、常に安全なシステムというものは存在しません。システムを構成する要素もシステムを取り巻く環境も、アップデートや技術の発展といったさまざまな要素によって状況が変化していくからです。この点を理解して、「脆弱性情報を入手する方法」「脆弱性対策を行う際の考慮点」などを定義します。
クラウドサービスの利用における対策
多くの組織でクラウドサービスを利用する時代となっています。政府や自治体、銀行といったセキュリティに厳しい組織も利用していることから、今後もますます利用が広がっていくと予想されます。
クラウドサービスには利便性が高いものが多くありますが、これらは従来のセキュリティ対策とは異なるアプローチを必要とするものでもあります。そこで、クラウドサービス向けに方針を定めていきます。「クラウドサービス上で取り扱う情報の種別」「情報のサプライチェーン全体でのセキュリティ設計」などが定義内容となります。
サイバー攻撃への対応
セキュリティ対策としてサイバー攻撃への対応方法を定義する必要性はいうまでもないでしょう。特定の個人や組織を狙う「標的型攻撃」をはじめとして、さまざまな種類のサイバー攻撃が企業や組織を狙っています。これらに対して、どのように対応するのかを定義します。
例えば近年では多層防御と呼ばれる、複数の防御を設定することで安全性を高める手法があります。こういったアプローチについて、方向性を示します。多層防御とは、複数の防御を設定して安全性を高める手法です。内部への侵入を低減する入口対策、内部に侵入した攻撃を早期検知および拡大防止する内部対策、外部への情報流出を防ぐ出口対策からなります。
セキュリティ教育ガイドライン
セキュリティ対策を運用していくための人材を教育する研修や育成プログラムの実施方針を定義します。特に標的型攻撃などから守るためには、システム的な防御だけでなく社員のITリテラシーを高めることが非常に効果的です。
基本方針と対策基準を定義した後、3つ目の「実施手順」として具体的な実施方法を記載していきます。
情報セキュリティポリシー策定と運用のポイント
ここでは効果的な情報セキュリティポリシーの策定・運用ポイントを解説します。
策定時のポイント
情報セキュリティポリシー策定時のポイントは以下のとおりです。
・会社の規模や社内の人員などを踏まえ、実現可能な内容のものを策定する
・実施手順ではだれが見ても分かるように具体的な内容を盛り込んで記載する
・守るべき情報資産を明確にし、組織内で意思統一できる内容のものを策定する
・違反時の業務継続リスクなどを明らかにして、セキュリティ意識を徹底する
・予防的対策とあわせて発見的対策の観点も意識する
また、策定にあたってはIPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」が参考になります。本ガイドラインでは現状を把握して不足している対策を知るための「自社診断のための25項目」や、「情報セキュリティ関連規程」のサンプル等があります。
さらに付録として情報セキュリティハンドブックの雛形も用意されているため、体系的なセキュリティポリシーを効率的に作成する助けになるでしょう。
運用時のポイント
情報セキュリティポリシーに従い、運用をしていく際のポイントは以下のとおりです。
継続的なセキュリティポリシー評価と見直し
策定した情報セキュリティポリシーが正しく運用されているかを、継続的に評価して更新していくことも大切です。主な評価ポイントは「効果のある内容となっているか」「運用上の欠陥がないか」「新たな脅威に備えられているか」などです。
社内セキュリティ教育の徹底
情報セキュリティポリシーの運用がスタートしたら、社内教育を行います。必ず全社員を対象に、継続的に教育を行います。この際、必要に応じて「役職」「ITリテラシー」ごとに内容の違いを設けてもいいでしょう。大切なのは組織全体のベースラインを底上げすることです。標的型攻撃では社員を狙い撃ちして業務メールに見せかけたウイルス付きメールを送信するケースも見られます。こうした攻撃から守るためにも、全社員のITリテラシーを高めるための教育を行っていきましょう。
情報セキュリティポリシーの遵守
当然のことながら、情報セキュリティポリシーは策定するだけでなく適切に運用して初めて十分な効果を発揮します。特に個人の情報端末管理やクラウドサービスの利用ルールは、社員の遵守する意識の高低が運用を左右するため、注意が必要です。
テレワーク時代に備えた情報セキュリティポリシー
情報セキュリティポリシーを定めて運用することで、サイバー攻撃のリスクを下げ、さらに内部統制強化につなげることもできます。情報資産を守ることで顧客や取引先からの信頼向上に繋がることに加え、自社のシステムや業務の安全運用にも寄与します。
もちろん、情報セキュリティポリシーは定めるだけで終わりではありません。定めた後の運用が大切です。情報セキュリティについては需要が多いため、さまざまなサービスやツールが提供されています。
テレワークと合わせて導入するのに推奨されるサービスがジャスミーの「Jasmy Secure PC」です。
ジャスミーの「Jasmy Secure PC」では情報端末のセキュリティ強化、IT資産管理、そして業務状況の可視化が可能となります。テレワークを前提とした各種セキュリティ機能に加え、情報漏えい対策としてUSBストレージの制御や管理者による強制画面ロック、個々のパソコンのWindows Update状況の可視化などを備えています。導入の手間も少なく、ログデータは最新のブロックチェーン技術による暗号化で守られています。
参考
<企業におけるセキュリティ意識の実態調査>
情報システム部門の方の62.7%が現場社員のセキュリティリスクに不安あり
~3人に1人がデバイス持ち出し時に社外で「機密情報を閲覧もしくは発言したことがある」と回答~
ジャスミーでは、全国の企業に勤める一般社員319名とセキュリティ対策を担う情報システム部門の責任者・担当者107名の計426名を対象に「企業におけるセキュリティ意識の実態調査」を実施いたしました。
昨今、外部からの不正アクセスやシステムの不具合、内部からの持ち出しなどが原因で各企業における情報漏洩が問題になっている中、企業の情報システム部門の方と一般社員のセキュリティ意識の実態を把握するため調査を行いましたので、以下に報告いたします。
■調査サマリー
(1)10人に1人が個人情報流出や情報漏洩などの情報セキュリティ被害の経験あり
(2)6人に1人が会社や顧客の機密情報をPCなどのデバイス内に格納して社外に持ち出したことがある
(3)3人に1人がデバイス持ち出し時に社外で機密情報を閲覧もしくは発言したことがある。周囲の人が社外で機密情報を閲覧している、もしくは発言しているのを見たことがあるという人は10人に1人
(4)機密情報を格納したデバイスを社外に持ち出す際に盗難・紛失や情報漏洩に備えて実施しているセキュリティ対策の上位は「PCなどのデバイスへのログインパスワード設定」、「ドキュメントやファイルの暗号化」と基本的な項目が7割超え。一方で実際に紛失・盗難が発生した場合を想定した対策は4割未満
(5)情報システム部門の方の6割以上が、現場社員の日々の業務におけるセキュリティリスクに不安を感じている。具体的に不安を感じる社員の行動の上位3位は「社内外を含めたメールのやりとり」、「パスワードの管理」、「外出時における会社用スマホ・PCの利用」
(6)テレワーク実施企業の方が、テレワーク中に実施しているセキュリティ対策の上位3位は「セキュリティソフトの導入」、「OSやソフトウェアの最新化」、「パスワード管理の徹底」
(7)全社のセキュリティ対策を進行するうえでの3大課題は「セキュリティ人材の不足」、「セキュリティ意識の低さ」、「予算不足」。情報システム部門の方ほど課題を強く認識しており、一般社員との間で課題認識にギャップがある
■調査結果
(1)10人に1人が個人情報流出や情報漏洩などの情報セキュリティ被害の経験あり
個人情報流出や情報漏洩などの情報セキュリティ被害に遭ったことがある人は11.5%と1割を超えた。個人情報流出や情報漏洩などのセキュリティ被害は10人に1人が経験しており、遠くのニュース上の出来事ではなく、身近にリスクが存在していることが分かった。
(2)6人に1人が会社や顧客の機密情報をPCなどのデバイス内に格納して社外に持ち出したことがある
会社や顧客の機密情報をPCなどのデバイス内に格納して社外に持ち出したことがある人は18.5%と、およそ6人に1人という結果に。ここ数年の趨勢で言うと、コロナ禍を通じてテレワークの実践・浸透が広まり、会社のセキュリティ方針の見直しによって特例や例外で機密情報を含むデバイスを持ち運ぶことを認める会社が増えたことも関係し、社外に持ち出したことのある人が一定数いると推察される。
(3)3人に1人がデバイス持ち出し時に社外で機密情報を閲覧もしくは発言したことがある。
周囲の人が社外で機密情報を閲覧している、もしくは発言しているのを見たことがあるという人は10人に1人
会社や顧客の機密情報をPCなどのデバイス内に格納して社外に持ち出したことのある人のうち、社外で機密情報に関わる内容を閲覧、もしくは発言したことがある人は31.6%とおよそ3人に1人。多数ではないものの、一部の人において情報漏洩リスクへの危機意識の低さが伺える。
また、会社や自宅以外の場所で周囲の人がPCなどデバイスを利用して、機密情報に関わる内容を閲覧している、もしくは発言しているのを見たことがあるという人は10.3%と10人に1人という結果に。
例えば、電車やバス、カフェなどの公共の場で取引先の社名と状況などの機密情報を閲覧・発言しているなどのケースが想定されるが、それらは情報漏洩には至っていないものの、社外で機密情報を閲覧・発言する事象は思いのほか多いと思われる。
(4)機密情報を格納したデバイスを社外に持ち出す際に盗難・紛失や情報漏洩に備えて実施しているセキュリティ対策は
上位は「PCなどのデバイスへのログインパスワード設定」、「ドキュメントやファイルの暗号化」と基本的な項目が7割超え。一方で実際に紛失・盗難が発生した場合を想定した対策は4割未満
機密情報を格納したデバイスを社外に持ち出した経験がある人のうち、88.6%と多数の人は機密情報を格納したデバイスを社外に持ち出す際、盗難・紛失や情報漏洩に備えてセキュリティ対策を実施していることが確認できた。
実際に行っているセキュリティ対策の1位は「PCなどのデバイスへのログインパスワード設定(77.1%)」、次いで「ドキュメントやファイルの暗号化(74.3%)」と基本的な項目が70%を超えた。一方で「ドライブの仮想化(25.7%)」、「リモートロック・リモートワイプ(32.9%)」、「操作制限・デバイス管理(37.1%)」など、実際にデバイスの紛失・盗難が発生した場合を想定した対策は4割に満たない結果だった。簡易的なセキュリティの対策は浸透しているものの、実際の紛失・盗難の被害が発生した場合を想定した対策は進んでいないことが分かった。
(5)情報システム部門の方の6割以上が、現場社員の日々の業務におけるセキュリティリスクに不安を感じている。
具体的に不安を感じる社員の行動の上位3位は「社内外を含めたメールのやりとり」、「パスワードの管理」、「外出時における会社用スマホ・PCの利用」
現場社員の日々の業務におけるセキュリティリスクについて「不安である」もしくは「やや不安である」と回答した情報システム部門の方は合わせて62.7%と、過半数以上が不安を感じていることが分かった。
具体的に不安を感じる社員の行動の上位3位は「社内外を含めたメールのやりとり(73.1%)」、「パスワードの管理(70.1%)」、「外出時における会社用スマホ・PCの利用(56.7%)」という結果に。コロナ禍でテレワークが浸透し、多様な働き方が広がる中、現場社員の日々の業務における行動をすべて可視化・把握することが難しく、社員のセキュリティリスクに不安を感じている情報システム部門の方が多いことが推察される。
(6)テレワーク実施企業の方が、テレワーク中に実施しているセキュリティ対策の上位3位は
「セキュリティソフトの導入」、「OSやソフトウェアの最新化」、「パスワード管理の徹底」
テレワークを実施している企業の方(テレワークの実施頻度について、毎日・週に2、3回程度・週に1回程度・月に1回程度と回答した162名)が、テレワーク中に実施しているセキュリティ対策の1位は「セキュリティソフトの導入(72.2%)」、2位は「OSやソフトウェアの最新化(60.5%)」、3位は「パスワード管理の徹底(59.9%)」。
(7)全社のセキュリティ対策を進行するうえでの3大課題は
「セキュリティ人材の不足」、「セキュリティ意識の低さ」、「予算不足」。情報システム部門の方ほど課題を強く認識しており、一般社員との間で課題認識にギャップがある
お勤めの会社で全社のセキュリティ対策を進行するうえでの課題の上位3位は「セキュリティ人材の不足(39.2%)」、「セキュリティ意識の低さ(33.1%)」、「予算不足(23.9%)」と、この3大課題が企業におけるセキュリティ対策の推進の壁になっていることが確認できた。
情報システム部門の方と一般社員別に回答を見ると、「セキュリティ人材の不足」に対して課題を感じているのは、情報システム部門の方は62.6%、一方で一般社員は31.3%と30ポイント以上も課題の認識に差があった。また、組織の「セキュリティ意識の低さ」に対して課題を感じているのは、情報システム部門の方は50.5%、一方で一般社員は27.3%と20ポイント以上も課題の認識に差があった。情報セキュリティは一般社員を含む全社員に関わるトピックであるにもかかわらず、一般社員にはその危機感を認識してもらえていない情報システム部門の方の悩みが顕著となった結果を得られた。
調査概要
調査名:企業におけるセキュリティ意識の実態調査
期間:2023年8月28日(月)~8月30日(水)
方法:インターネット調査
対象:全国の企業に勤める20~69歳の男女426名
(一般社員319名、セキュリティ担当の情報システム部門責任者・担当者107名)
ジャスミー株式会社 取締役 柿沼英彦 コメント
調査を通して、情報システム部門の方の半数以上が、社員の日々の業務におけるセキュリティリスクを不安に感じていることが分かりました。コロナ禍のテレワークの普及により、セキュリティ対策に頭を悩ませていることが増え、情報システム部門の方は様々な不安要素を抱えていると推察されます。働き方の多様化が加速するとともに、可視化・把握しきれない社員の行動に不安を感じています。
セキュリティ対策推進のうえでの3大課題として「セキュリティ人材の不足」、「セキュリティ意識の低さ」、「予算不足」が挙げられました。「セキュリティ人材の不足」については、中小企業・中堅企業など企業規模によっては、情報システム部門に担当者が少ない、専任者がいないなどのケースもあり手が回らないこともあります。「セキュリティ意識の低さ」については、3人に1人がデバイス持ち出し時に社外で機密情報を閲覧・発言したことがあることも踏まえると、被害発生後の影響が十分に理解されていないことが考えられます。また、デバイス持ち出し時にパスワード設定やファイルの暗号化などの対策をしている方は多いですが、パスワードは解読される可能性もあるため、これらの対策だけでは情報流出を防ぐには不十分な場合もあり、実際の紛失・盗難の被害を想定した対策を実施している人が少ないのが現状です。「予算不足」については、システム導入などセキュリティ対策に費用をかけることの重要性を組織(特に経営層)が理解していない背景があると考えられます。
当社ではテレワークにおいて安全な作業環境を実現するセキュリティソリューションを提供しています。新型コロナウイルス感染症が5類感染症に移行した後に出社を再開する企業、テレワークを継続する企業と、働く場所は引き続き多様化していますが、こうした中で、調査で明らかになったセキュリティ対策の課題を解決するには、以下の3つが有効であると考えています。情報漏洩などの事件のきっかけになりうる社員の行動を可視化・察知し、未然にセキュリティ被害を防ぐことが今後企業により求められるでしょう。
1.外出時やテレワーク時のセキュリティ強化と社員への教育
※ドキュメントやファイルの暗号化、ログインパスワードの設定などの簡易的な対策から、ドライブ仮想化、リモートロック・リモートワイプ、操作制限・デバイス管理などの実際の被害を想定した対策までを徹底
2.社員のセキュリティに対する意識を高めるため、目に見えるシステム対応を実施(例:禁止フォルダーやサイトへのアクセスワーニング、ログ管理)
3.情報システム部門のセキュリティ人材不足や予算不足へ対応するため、システムの設定・管理に手間がかからない製品を選定することも重要
ジャスミーではテレワークにおいて安全な作業環境を実現する「Jasmy Secure PC」を提供しています。セキュリティ・インシデントへの対策と合わせて機能解説をしておりますので、ぜひこちらからダウンロードしてご覧ください。
※資料ダウンロードページへのリンク
情報漏洩対策は企業において必須!情報漏洩の原因や備え方を紹介します
情報漏洩対策は企業にとって非常に重要な問題です 。報道でも、毎月のようにマルウェア感染や個人情報の漏洩が取り上げられています。さらにテレワークの導入によりセキュリティ対策はますます難しくなってきました。
しかし、多くの企業では情報システム部門の人手が足りていません。中小企業・中堅企業ではそもそも情報システムの専門家がいなかったり、情報システム部門の担当者が1人しかいない「1人情シス」であったりします。そのため十分な対策ができていない、どこから手をつければよいのかわからないという企業も多いでしょう。
ここでは、情報漏洩の概要と基本的な情報漏洩対策およびそのポイントを紹介します。
ジャスミーではIT資産管理を実現する「Jasmy Secure PC」を提供しています。セキュリティ・インシデントへの対策と合わせて機能解説をしておりますので、ぜひこちらからダウンロードしてご覧ください。
※資料ダウンロードページへのリンク
情報漏洩の概要とその原因
ビジネスにおける「情報漏洩」とは、企業・団体などの組織や個人が保有している重要なデータが外部に漏洩することです。漏洩を防ぎたい「重要なデータ」とは、機密情報や個人情報などを指します。
最近は、企業・団体などからの情報漏洩が特に問題になっています。ITツールやインターネットが個人の生活だけでなくビジネスに多用されることで、企業からの情報漏洩も年々増えているからです。
企業からの情報漏洩については、次のような調査もあります。東京商工リサーチによると、「2022年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは150社、事故件数は165件、漏えいした個人情報は592万7,057人分(前年比3.0%増)だった」とあります。事故件数の165という数字は、国内の上場企業の4%超に相当するため、決して少なくないといえるでしょう。
また同調査には「調査を開始した2012年以降の11年間で、社数と事故件数は2年連続で最多を更新した」ともあり、情報漏洩対策の重要性が増していることが見て取れます。
引用:個人情報漏えい・紛失事故 2年連続最多を更新 件数は165件、流出・紛失情報は592万人分 ~ 2022年「上場企業の個人情報漏えい・紛失事故」調査 ~ | TSRデータインサイト | 東京商工リサーチ
どのような情報が漏洩するのか
主に、次のような情報が漏洩しています。
個人情報の場合
個人を特定できる住所や電話番号や決済情報、企業システムへのログイン情報などがあります。
企業の機密情報の場合
顧客リストや社員・役員の個人情報、取引先の情報、業務に関する情報、決済情報などがあります。
情報漏洩の原因
情報漏洩の原因で多いのは次のようなものです。
端末の紛失・置き忘れ
外出先での業務やテレワークなど、端末を持って移動する際に多く発生するミスです。端末ではなく、USBなどの記憶媒体のみを持ち歩き、紛失・盗難・置き忘れにあうこともあります。
誤操作
メールの誤送信、添付ファイルの間違い、アクセス権限の設定ミスなどがあります。
マルウェア感染、不正アクセス
マルウェアに感染すると、多くの場合、ログイン情報が漏洩して不正アクセスを招きます。そこからさらに情報漏洩が起こることも多いです。
情報漏洩が起きると企業はどうなるか
情報漏洩が発生すると、業種・規模に関わらず企業は大きな損失を受けます。また、情報漏洩を止めないと被害が出続けてしまうため、自社業務をいったん停止しなければならないことも少なくありません。
場合によっては被害が自社だけに留まりません。サプライチェーンの一部として取引先の企業にも被害がおよぶこともあります。それを防ぐため、中小企業・中堅企業が大手の取引先からセキュリティ強化を求められることも増えています。
情報漏洩の対策を行わないままでいる場合や、対策が甘くて情報漏洩が起こってしまった場合は、企業の社会的信用が低下するため、その後の取引が減る可能性もあります。その結果、企業の経営そのものにも影響がおよぶことも考えられます。
取引先との関係性やリソース、対応力に限りがあることから、情報漏洩の経営に対するダメージは中小企業・中堅企業の方が大きいといえるでしょう。中小企業・中堅企業こそ、しっかりした対応を行う必要があります。
情報漏洩が発生した際の対応について、特に重要なものは以下のとおりです。
1. 被害の範囲を調査する
自社の持つ情報のうち、どの部分が漏洩したのか、顧客への影響はどの程度かなどを調査します。
2. 情報漏洩の原因を調査する
同時に情報漏洩の原因を調査します。このとき、ネットワークの停止、それによる業務停止などが発生することがあります。
3. 被害を報告する
顧客や取引先、および個人情報保護委員会への報告を行います。これは、2022年の個人情報保護法改正により、情報漏洩が発生した場合は企業には個人情報保護委員会への報告と本人への通知の義務ができたためです。場合によっては、委任先府省庁へ報告することもあります。この法令違反には罰則もあります。
また、報道関係者や被害を受けた顧客からの問い合わせにも対応しなければなりません。
4. 法的責任
顧客や取引先への損害賠償を行います。個人情報など、法的に管理義務がある情報の管理が適切でなかった場合は法的責任が問われることもあります。
ジャスミーではIT資産管理を実現する「Jasmy Secure PC」を提供しています。セキュリティ・インシデントへの対策と合わせて機能解説をしておりますので、ぜひこちらからダウンロードしてご覧ください。
※資料ダウンロードページへのリンク
企業に求められる情報漏洩対策
情報漏洩を防止するため、企業は次のような対策を行う必要があります。
セキュリティポリシーやルールを策定する
企業全体に対するセキュリティポリシーを策定します。さらに、それに基づき端末や媒体の扱いについてのルールやマニュアルを制定します。テレワークや外出先での業務を行う場合はとくに注意しましょう。
例えば、マルウェア感染を防ぐためには、受信メールの取り扱い、勝手にアプリケーションをインストールしない、設定を変更しない、私物の端末の持ち込みを制限するなどのルールが必要です。
誤操作を防ぐ仕組みをつくる
メールの誤送信や添付ファイルに関する誤操作も、情報漏洩の大きな原因です。これを防ぐため、送信時のチェック、自動チェック機能つきメールシステムなどを導入しましょう。
アクセス権限の設定についても、自動的にチェックする体制を導入するのが効果的です。できれば業務フロー全体を見直し、セキュリティリスクのある場所を発見して改善していきます。
基本的な脆弱性対策を欠かさず行う
ウィルス対策ソフトをインストールし、常に更新します。また、OSやアプリケーションなどのアップデートもこまめに行いましょう。さらにファイアウォールなどを導入して、多層的な防御を行います。
必要に応じて「脆弱性診断サービス」を受けると、気づかなかった脆弱性を発見できます。
社員教育を行う
端末や媒体を持ち出さない、持ち出す際はルールを守るなど、社員ITリテラシーを高めて情報漏洩を起こさないような教育を行います。守秘義務に関する誓約書などの書類を作成するのも有効です。
関連情報を収集する
管理担当者は、IPAや経済産業省、その他報道などでマルウェアや情報漏洩に関する事例を定期的に収集し、社内に周知します。情報を社内に共有することで自ら資料を作成することなく、自社のセキュリティ意識を高めることができます。
情報漏洩対策のポイント
攻撃する側も、常に新しい手法を開発して攻撃してきます。そのため、情報漏洩対策も一度で終わりではなく、常に更新していかなくてはなりません。
また、どこかに穴があれば狙われてしまうため、全方位に目を配った包括的な対策が必要です。さまざまな対策をリストアップし、そのなかで優先順位をつけて、重要度の高いものから順に対応していきます。
例えば独立行政法人情報処理推進機構(IPA)では「情報漏えい対策のしおり 」で次のようなポイントを紹介しています。
1. 企業(組織)の情報資産を、許可なく、持ち出さない
2. 企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない
3. 企業(組織)の情報資産を、未対策のまま廃棄しない
4. 私物(私用)の機器類(パソコンや電子媒体)やプログラム等のデータを、許可なく、企業(組織)に持ち込まない
5. 個人に割り当てられた権限を、許可なく、他の人に貸与または譲渡しない
6. 業務上知り得た情報を、許可なく、公言しない
7. 情報漏えいを起こしたら、自分で判断せずに、まず報告
引用:情報漏えい対策のしおり|IPA 独立行政法人 情報処理推進機構
さらにIPAでは「初めての情報セキュリティ対策のしおり」や「中小企業のためのセキュリティインシデント対応手引き」など、さまざまな資料を公開しています。これも参考になるでしょう。
参考:対策のしおり | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報漏洩対策に効果的なセキュアPC
インターネットのビジネスへの導入やテレワークの普及により、対策を行わなければならない箇所はどんどん増えています。またテレワークを導入する際は、端末だけでなくリモートアクセスにも対応が必要です。
そのため、情報漏洩対策はさらに難しくなっています。中小企業・中堅企業では情報システム部門の担当者が少なかったり、専任者はいないというケースもあったりして、とても手が回りません。
そこで、利用する端末そのものを安全なものに切り替えることで安全性を確保するという方法があります。
「Jasmy Secure PC」なら、既存の端末にツールをインストールするだけで、サーバーやネットワークの追加は不要です。仮想デスクトップ環境を経由しないので、パフォーマンスも落ちず、快適に作業できます。設定は最小限、ユーザー管理や端末管理なども一括で行えるので、専任の担当者も不要です。契約はライセンスごとで、1台あたり440円からと低コストなので、中小企業・中堅企業でも導入しやすいでしょう。
※ログ管理については、「ログ管理はなぜ必要?その理由とログ管理システムの選び方を解説」もご覧ください。
情報漏洩対策には包括的で継続的な対策が重要
ビジネスにもクラウドサービスが当たり前に使われるようになり、業種・規模を問わずに、あらゆる企業に情報漏洩対策が求められています。情報漏洩が発生したときのリスクは大きく、ときには事業運営にまで影響を与えることもあります。そのため、企業は情報漏洩対策に力を入れなければなりません。必要なのは、包括的な情報漏洩対策を継続的に行うことです。
しかし、情報システム部門の人数が少ない、担当者がいないという場合には、情報漏洩対策にも限界があるでしょう。そこで、効率的に情報漏洩対策を行えるツールの導入をおすすめします。
例えば 「Jasmy Secure PC」なら、既存の端末へのインストールだけで情報漏洩対策を実現できます。仮想デスクトップ環境やVPN環境の構築など、コストや手間のかかる対策も不要です。初期費用は不要で月額料金も低く、情報処理システムの人数が少なくても導入しやすいでしょう。
※資料ダウンロードページへのリンク
ログ管理はなぜ必要?その理由とログ管理システムの選び方を解説
ログは、社内のパソコンやシステム 利用状況などの履歴のことです。ログを管理するのが「ログ管理」であり、社員の仕事状況の見える化や情報漏洩対策に役立ちます。また、効率的なログ管理を助けるのが、ログ管理システムです。ここでは、ログ管理が必要な理由、ログ管理の種類について見ていきます。また、ログ管理システム選びのポイントも解説します。
ジャスミーでは操作したアプリやWebサイト、ファイルの閲覧履歴など、パソコンの操作を記録する「Jasmy Secure PC」を提供しています。セキュリティ・インシデントへの対策と合わせて機能解説をしておりますので、ぜひこちらからダウンロードしてご覧ください。
※資料ダウンロードページへのリンク
ログ管理とは?概要や目的
ログとは、会社のパソコンやシステムを利用した際に残るデータ履歴のことです。ログを管理することでパソコンやシステムに関して「だれが、いつ、どのような作業をしていたのかを」を把握できます。
ログ管理の目的 は主に次の4点です。
情報漏洩対策
適切な労務マネジメント
内部統制強化
IT資産管理
ログ管理を行うことで、これらの実現に寄与します。具体的にどのように寄与するのかは、次章で紹介します。
ログ管理の必要性
ログ管理が注目されるようになった背景には、勤務状況を把握しにくいテレワークの普及や内部統制に注目が集まるようになってきたことがあります。ここでは、ログ管理の目的ごとに、その必要性を解説します。
1.情報漏洩対策
情報漏洩は企業の信頼を揺るがす事象です。特に、2017年に改正個人情報保護法が施行されたことにより、中小企業も個人情報保護法の対象となりました。そのため、企業規模に関わらず情報管理の安全性担保と、情報漏洩が発生してしまった場合の対応を講じる必要が生じています。
ログ管理をすることで、不審なアクセスやシステム障害を迅速に察知することができるため、社内外の情報漏洩対策に有効です。対応が間に合わずシステム障害や情報が流失してしまった場合にも、パソコンを「だれが」「どこで」使用したのかがわかれば、素早く原因を突き止めて適切な処置をとることが可能です。
※情報漏洩について詳しくは「情報漏洩対策は企業において必須!情報漏洩の原因や備え方を紹介します」をご覧ください。
2.適切な労務マネジメント
国が推し進める働き方改革の一環として、長時間労働の是正が求められるようになったほか、従業員の労働時間の把握も義務化されました。これらの対応は中小企業も義務付けられています。
ログ管理をすることで、社員の労働状況を把握しやすくなります。例えばパソコンの履歴やシステムのアクセス状況を見ることで、タイムカードを切った後の隠れ残業や休日出勤を発見することが可能です。また、リモートワークで起こりやすい社員の働きすぎも防止できるでしょう。このように、ログ管理が適切なマネジメントに結びつきます。
3. 内部統制強化
経営の健全化を目的として行われる内部統制は、効率的かつ健全な企業運営のルールを取り決め、ルールが正しく守られているか確認・統制することです。ログ管理は、社内のパソコンやシステムの利用状況が可視化されるため、ルールが守られているかの確認・統制がしやすくなります。
インターネット上のサイバー攻撃は日々進化しており、既存の攻撃を想定してセキュリティを徹底しても、それが新たな攻撃方法に対して有効であると限りません。そのため有効な対策を施すこと以上に、攻撃を受けた場合に迅速な対応をとれるよう社員一人ひとりのセキュリティ意識を高めることが重要になるでしょう。
ログ管理システムの導入で管理を徹底すれば、ルール遵守が浸透し社員の内部統制意識も高まるでしょう。それにより、情報資産管理の精度向上が見込めます。
4.IT資産管理
多くの企業では、業務においてパソコンやアプリケーションの利用が欠かせません。そのなかで、組織内のIT資産を把握・管理する必要性が高まっています。
IT資産管理の具体的な効果は、IT資産最適化によるコスト削減や不正利用の防止などです。社内ログを適切に管理することで、効率的に企業の IT資産利用状況を把握できるでしょう。
※IT資産管理について詳しくは「IT資産管理とは?目的や重要性、具体的な方法と効率化のポイントを解説」をご覧ください。
ログ管理の種類
ログ管理の代表的な種類を3つ紹介します。
操作ログ
パソコンやシステムを利用した操作履歴です。具体的には、「ファイルの閲覧」「アプリケーションの使用・編集作業」「システムの利用履歴」などの情報を指します。不審な操作のログが残るため、情報漏洩が生じた際に原因を特定するのに役立ちます。
認証ログ
ログイン履歴の管理ログです。社内ネットワークやシステムに「いつ」「だれが」入ったのかを把握します。例えば、リモートワーク時に時間外労働をしていないか、休日に業務を行っていないか、などの労務管理がしやすくなります。
アクセスログ
Webサイトへのアクセス履歴を管理するログです。「アクセス日時」「アクセスファイル」などをログデータとして記録するため、障害が発生した場合の原因究明や素早い対処につながります。
ジャスミーでは操作したアプリやWebサイト、ファイルの閲覧履歴など、パソコンの操作を記録する「Jasmy Secure PC」を提供しています。セキュリティ・インシデントへの対策と合わせて機能解説をしておりますので、ぜひこちらからダウンロードしてご覧ください。
※資料ダウンロードページへのリンク
ログ管理システムと選び方のポイント
続いて、ログ管理システムの説明と選び方のポイントについて解説します。
ログ管理システムとは
ログ管理システムとは、ログの収集、保管、監視、分析等を一括管理できるシステムのことです。導入することで効率的にログ管理を行うことができます。ただし、導入メリットを享受するためには、適切なログ管理システムの見極めが大切です。
ログ管理システム選びのポイント
ログ管理システムを選ぶ際に参考とすべきポイントは以下のとおりです。
導入が容易で、運用の負担が重すぎないか
ログ管理システムは、社員のパソコンのアクセス履歴や不正行為があった場合に検知機能が働きます。優秀なシステムではありますが、運用の負担が大きいと、管理者が対処できないケースも考えられます。
SaaSのようなクラウド型のシステムであれば、開発やシステム構築の必要がないため、サービスの契約後すぐに使用可能です。また、サービス提供者がシステム保守やバージョンアップを行ってくれるため、負担を軽減しながら運用できるでしょう。社内にITの専門部署がないなら、クラウド型がおすすめです。
ソフトウェアのライセンス管理が可能か
複数のライセンス契約管理は、ログによって把握するのが便利です。ライセンス契約とは、知的財産の権利者が第三者に使用権利を認めるための契約のことです。
会社によっては、リモートワークの拡大で社内のソフトウェアライセンス管理がおろそかになっているケースもあるようです。それを解消するためには、ログ管理システムの導入が有効です。自動でログ管理情報を収集できるため、管理者の手間を減らしたり、入力ミスを防いだりすることが可能です。
ただし、旧バージョンから最新バージョンへのアップデートや、複数のパソコンで利用する場合などは手動で行う必要があります。その際には、ある程度の専門知識は必要です。場合によっては、外部の専門家に頼ることになるかもしれません。
費用対効果が適切か
ベンダー(販売業者)により異なりますが、ログ管理システムは初期費用と月額費用がかかります。一般的な費用感は、初期費用と月額費用を合わせて、数万円から数十万円といわれています。
ただし、注意すべきは単純なコストだけでなく、利用する機能や規模に対する費用の妥当性です。ログ管理ソフトは、使い続けるに従ってログの容量が増えるため、保存量に対して追加コストがかかるのが一般的です。IT資産管理ソフトのログ機能だと、標準で3カ月から6カ月程度しかログを残せない仕様のものもあります。長期間ログを残したい企業であれば、保存期間と費用の双方を確認したうえで最適なシステムを選択しなければなりません。
なお 、「Jasmy Secure PC」なら、エージェントライセンスを利用し続ける間は期間無制限でログが記録され続けます。オプションで追加コストが発生することもありません。
ログ管理システム選びの注意点
ログ管理システム選びの注意点を2つ取り上げます。
自社システムにあっているかどうか
現代はクライアント側でのログ管理が主流です。とはいえ、利用するサービスが自社のOSやブラウザーに合っているかは確認しておく必要があります。自社の利用環境に対応しない場合は、導入できない可能性があるためです。
またセキュリティ対策は、ログ管理システムを導入したからといって万全ではありません。使用するサービスにより基準が異なるため、導入前に自社のセキュリティポリシーに合致するものかをよく確認しておきましょう。
導入前に意義や効果を周知
ログ管理システムの導入で、「仕事状況を見られているような気がする」と不安に感じる社員も出てくるかもしれません。まずはログ管理が情報漏洩対策として有効であることや、業務利用上のモラルハザード抑止に繋がるといった意義をしっかり周知することが重要です。
また、社員がパソコンやシステムを正しく利用しているという証明にもなる点も、合わせて周知すると効果的です。真摯に仕事をしている社員にとって、適切に端末を利用している証明のためという意義は共感しやすいでしょう。
それでも、不安の声が上がることもあるかもしれません。そのような場合は、状況を間接監視するタイプのログ管理システムを導入するといいでしょう。例えば「Jasmy Secure PC」は、ブロックチェーン上に残ったログを経由した間接監視タイプです。直接的に監視している印象が持たれにくいため、導入時の説明がしやすくなります。
ログ管理システムは、使いやすさや費用感がポイント
ログ管理は、会社の情報漏洩対策や社員の仕事の見える化、内部統制強化のために重要な業務です。しかし、手作業では管理が煩雑化してしまうため、システムの導入は有効です。ただし導入するにあたっては、使用の難易度や導入のしやすさなど、多方面から検討して選ぶ必要があります。
また、導入にあたり、意義や効果を社員にもしっかりと周知してからシステム運用することも重要です。
Jasmy Secure PCなら、初期費用は不要で月額料金も安価です。さらに、エージェントライセンスを利用し続ける間は期間無制限でログが記録され続けます。追加コストが発生しないため、費用対効果が大きいといえます。また、間接監視タイプなので、ログが見られることに不安を持つ社員に対して、安心感を与えることが可能です。
導入時の設定も容易なため、情報システム担当者の人数や専門性に関わらず、スムーズに導入しやすいログ管理システムです。
※資料ダウンロードページへのリンク
IT資産管理ツールとは?ツール導入の効果と選定のポイントを解説
企業が保有するIT資産は、パソコンやスマートフォン以外にも、OSやライセンスなど多岐に渡っています。また、種類によっては頻繁にバージョンアップされるものもあるため、その管理は一般的な資産と比べ非常に煩雑です。そのため、数が少ないからといって手作業で管理していると、バージョンアップの時期やライセンス期限の確認漏れなどのリスクが高まってしまうでしょう。そこで今回は、IT資産の管理を安全かつ効率的に実現させるために欠かせないIT資産管理ツールについて、その概要、導入効果、選定のポイントをお伝えします。
ジャスミーではIT資産管理を実現する「Jasmy Secure PC」を提供しています。セキュリティ・インシデントへの対策と合わせて機能解説をしておりますので、IT資産管理ツールをお探しの方は、ダウンロードしてご覧ください。
※資料ダウンロードページへのリンク
IT資産管理ツールとは?
IT資産管理ツールとは、企業が保有するIT資産を適切に管理するためのツールです。IT資産は、主にパソコンやスマートフォンなどのハードウェア、OSやアプリケーションなどのソフトウェア、そしてライセンスの3つに分けられます。IT資産管理ツールを活用することでこれらを一元で管理することが可能です。それによって、企業はコンプライアンスやセキュリティを守れるようになるうえ、現状の資産価値を明確化することもできます。
費用はオンプレミス型、クラウド型によっても異なります。また、それ以外でも利用する機能、管理するIT資産の数などで変わってきます。パソコン1台数百円から利用できるものもあれば数千円かかるものもあり、予算や目的に応じて選択が可能です。
※IT資産管理について詳しくは、「IT資産管理とは?目的や重要性、具体的な方法と効率化のポイントを解説」をご覧ください。
IT資産管理ツールの主な機能
種類によっても異なりますが、一般的なIT資産管理ツールの機能には次のようなものがあります。
IT資産台帳作成・管理機能
リースやレンタル機器なども含め、自社が保有するIT機器、ソフトウェア、ライセンスなどを一括して台帳管理する機能です。減価償却管理やリース・レンタルの契約内容、時期などそれぞれを細かく管理できます。
インベントリ管理
ネットワークに接続されているパソコン、サーバー、ルータなどを自動的に検索し、ハードウェア、ソフトウェアの最新情報を取得する機能です。
ライセンス管理
ソフトウェアのライセンスを管理する機能です。テレワークなど、働く場所が多様化するなかでライセンス管理の重要性は増しています。
操作ログ管理
パソコンやスマートフォンの操作ログを管理する機能です。業務の進捗状況や社員のパフォーマンスの確認も可能にします。ログ管理は、テレワーク時も勤務状況を把握して時間外労働を防止することも可能です。
デバイス制御
社員が持ち込んだデバイスかどうか、社内ルールで禁止されているUSBメモリや外付けハードディスクが接続されていないかなど、社内ネットワーク上のデバイスを検知します。問題があれば、即座に遮断もしくは管理者に通知する機能です。
リモートコントロール機能
外部からデバイスを管理する機能です。テレワーク時のサポートやデバイス紛失時のロック操作などが行えることで、多様な働き方の実現を助けます。
IT資産管理ツールの導入効果
IT資産の管理を行う際にツールを導入する効果としては次のような点が挙げられます。
増加するIT資産の効率的な管理
テレワーク用のパソコンやスマートフォンの導入に加え、電子帳簿保存法やインボイス制度に合わせ経理業務のシステム化も急務となり、多くの企業でIT資産が増加しています。これらをすべて手作業で管理するのは時間的コストがかかり、担当者の負担増大は避けられません。そこで、IT資産管理ツールの導入により、適切かつ効率的な管理が実現し、担当者の負担軽減も可能です。
情報セキュリティ対策の強化
2023年3月、株式会社ITRが発表した「クラウド時代のセキュリティ認証・インボイス制度・DXへの取り組み~企業IT利活用動向調査2023報告~」。このなかで、過去1年間に経験したセキュリティインシデントにおいて、「個人情報の漏洩・逸失(人為ミスに起因するもの)」が2021年(19.7%)、2022年(21.7%)と比較して、22.7%と増加傾向にあるという結果が出ています。また、内部不正による個人情報の漏洩・逸失も3年間10%を超えています。
IT資産管理ツール導入により、操作ログの取得やアクセス制限が行えるようになれば、社内ルールに反する利用や紛失・盗難時にアクセス制限をかけられます。また、バージョンアップやセキュリティパッチの配布の告知・自動更新機能があるものであれば、更新忘れ防止が可能になり、セキュリティ対策の強化にもつながるでしょう。
参照:「企業IT利活用動向調査」結果|一般財団法人 日本情報経済社会推進協会
情報システム担当者の負担軽減
IT資産は種類により減価償却の期間が異なります。さらに、バージョンアップが頻繁に行われるソフトウェアがあるなど、一般的な資産に比べて管理が非常に煩雑です。そのため、情報システム部門があったとしても、IT資産の棚卸しを手作業で行うのは大きな労力と時間を要します。特に、情報システム部門がなくほかの業務と兼任であったり、担当者が1人しかいなかったりといった場合はさらに大きな手間となるでしょう。
しかし、IT資産管理ツールを導入し一元管理をすれば、その負担は大幅に軽減され、専門の情報システムがなかったとしても対応可能です。いわゆる「1人情シス」の組織だったとしても、担当者は本来業務と並行してIT資産管理を行えるようになります。
IT資産管理ツール選定のポイント
IT資産管理ツールの導入は、増加するIT資産の適切な管理はもちろん、情報セキュリティ対策の強化にも高い効果を発揮します。ただ、一口にIT資産管理ツールといってもさまざまな種類があり、自社に合ったものを選定しないと思ったような効果は得られません。ここでは、IT資産管理ツールを選定する際の主なポイントについて解説します。
IT資産管理ツールを選定する4つのポイント
テレワークにも対応したIT資産管理が可能なツールを選択する
新型コロナ感染拡大防止を目的にテレワークを導入した企業は一気に増加しました。現在では、オフィスワークとテレワークを併用するハイブリッドワークに移行している企業も少なくありません。そこで問題となるのが、テレワーク時利用するIT資産の管理です。オフィス内のIT資産しか管理できないツールでは、テレワークの継続も困難になるため、テレワークやモバイルワークで使用するIT資産の管理も行えるツールを選択することが重要です。
初期コストを抑えて導入が可能なツールを選択する
ツール以外にもツールを動作させるデバイスやネットワーク機器などが必要となれば初期コストが大幅に上がってしまいます。そこで既存のパソコンでも問題なく使用できるツールを選択すれば、初期コストを抑えることが可能です。
容易に設定ができるツールを選択する
専門的な知識を持った情報システム担当者やプログラマーがいないと運用ができないといったツールでは、導入してもそのまま使わなくなってしまう可能性が高まります。そのため、専門の知識を持った担当者がいなくても容易に設定でき、運用を開始できるツールの選択が必須です。
インストールしたパソコンの性能を維持できるツールを選択する
既存パソコンが使えたとしても、ツールを入れたパソコンの動きが重くなってしまうようでは意味がありません。インストール前と変わらず快適な動作が可能なツールを選択することで業務効率を落とすことなく、IT資産管理が可能になります。
多くの企業で抱えるIT資産管理の効率化を実現する「Jasmy Secure PC」
IT資産が増加し、管理に手間取っている、煩雑化しているといった際に欠かせないIT資産管理ツールですが、前述したように適切に管理を行えるツールでなければ課題の解決も難しいでしょう。そこでおすすめしたいのが、ジャスミーの「Jasmy Secure PC」です。IT資産管理の効率化を実現するうえで次のような特徴があります。
1.業務状況の可視化
操作したアプリやWebサイト、ファイルの閲覧履歴などパソコンの操作を記録する「ドライブレコーダー」により、業務状況を可視化が可能です。
2.セキュリティ
事前に登録したネットワークに接続し、管理者の認証のような特定の条件下でしかマウントされないドライブでデータを安全に管理する「ゴーストドライブ」機能を搭載しています。
3.パソコン機能の管理
管理者によるゴーストドライブのアクセス許可や画面ロックなどの遠隔操作により、社員の稼働状況やアクセス履歴をリアルタイムに確認する「リモートハンドリング」により、パソコン機能の個別管理が可能です。
これらの特徴により、IT資産管理の効率化を実現します。
適切なIT資産管理ツールの選定は業務効率化につながる
テレワーク、ハイブリッドワークの増加、電子帳簿保存法やインボイス制度対応などにより、多くの企業はこれまで以上にIT資産の必要性が増しています。ハードウェアやソフトウェアの適切な導入・運用が実現すれば、業務効率化や生産性向上の期待も高まるでしょう。
ただし、ITの導入が増えるほど困難になるのがIT資産の管理です。IT資産は適切に管理しないとサイバー攻撃のリスクも増加するため、経営にも大きな影響を及ぼします。また、IT資産が増えれば管理担当者の業務が煩雑化し、本来業務が疎かになってしまう可能性も低くありません。
そこで、IT資産管理の効率化、セキュリティ対策の強化などを実現し、担当者の負担軽減に大きく貢献するのがIT資産管理ツールです。特に今回紹介した「Jasmy Secure PC」であれば、低コストでの導入・運用も可能なうえ、プログラムの知識がなくとも容易に設定を行えます。
IT資産の増加により管理の効率化を検討している情報システム部門担当者の方はぜひ、お気軽にご相談ください。
参考:クラウド時代のセキュリティ認証・インボイス制度・DXへの取り組み~企業IT利活用動向調査2023報告~|株式会社ITR
IT資産管理とは?目的や重要性、具体的な方法と効率化のポイントを解説
近年、リモートワークを導入する企業が増え、パソコンをオフィスから持ち出すケースも増加しています。そこで重要になっているのがパソコンに入っているデータやソフトウェアといったIT資産の適切な管理です。今回は、現代の企業運営に欠かせないIT資産の管理について、その概要や管理の必要性、管理方法などについて解説します。中小企業の経営者や情報システム部門担当の方でIT資産の管理方法にお悩みの際は、ぜひ参考にしてください。
ジャスミーではIT資産管理を実現する「Jasmy Secure PC」を提供しています。セキュリティ・インシデントへの対策と合わせて機能解説をしておりますので、IT資産管理ツールをお探しの方は、ダウンロードしてご覧ください。
※資料ダウンロードページへのリンク
IT資産管理とは?
企業が持つ資産にはいくつかの種類があります。従来からある資産は、現金や有価証券、商品在庫など1年以内に現金化できる資産である「流動資産」と、土地や建物、機械のほか、特許権や営業権など長期に渡って保有もしくは使用する資産である「固定資産」です。そして、近年、企業のIT化により重視されるようになってきたのがIT資産です。IT資産は主に次の3つに分類されます。
ハードウェア
パソコンやスマートフォン、タブレットなどの端末のほか、プリンターや無線AP、USBフラッシュなど
ソフトウェア
パソコンやサーバーにインストールされたOS、アプリケーションソフトなど
ライセンス
ソフトウェアを利用できる回数や利用できる端末数など
ハードウェアやソフトウェアは固定資産の有形固定資産、ライセンスは固定資産に無形固形資産に含まれます。ただ、近年になりIT資産の重要性が高まっていることから、ほかの資産とは分け、IT関連の機器やソフトウェア、ライセンスを総じてIT資産と呼ぶケースも少なくありません。
IT資産管理の目的と必要性
近年、IT資産管理の重要性が高まっているのにはどのような理由があるのでしょう。ここでは、企業がIT資産管理を行うことの主な目的と必要性について解説します。
資産の追跡と監視
IT資産管理によって、組織が所有しているすべてのハードウェア、ソフトウェア、ライセンスを追跡および監視することが可能です。これにより、パソコンやスマートフォンなどのデバイスがどこにあるのか、どのような状態なのかを正確に把握でき、紛失や不正使用の防止につながります。
セキュリティとコンプライアンス
IT資産管理はセキュリティとコンプライアンスの観点からも重要です。正確なIT資産リストを保持し、適切なセキュリティ対策やライセンスコンプライアンスを維持することで、データの漏洩や違法なソフトウェア使用を防止できます。
リソースの最適化
IT資産管理により、リソースの最適な使用が可能です。資産の無駄な購入を防ぐことで、組織の効率性と生産性が向上します。
変更管理とトラブルシューティング
正確なIT資産の情報を持つことで、変更管理やトラブルシューティングが容易になります。障害発生時にも迅速な対応が可能となり、ビジネスの中断を最小限に抑えることができるでしょう。
予算とコスト管理
IT資産管理を適切に行えば、IT機器の寿命やメンテナンスの有無に基づいて予算を立てられます。自社にあった予算設定とコスト管理により、組織の経済的健全性の確保が可能です。
IT資産管理の方法
ITの資産管理を行う方法は、手作業による管理とツールを使った管理のどちらかです。ここでは、それぞれのメリットとデメリットについて解説します。
手作業によるIT資産管理
手作業でIT資産管理を行う場合のメリットとデメリットは以下のとおりです。
メリット
手作業でIT資産管理を行う方法は、Excelシートで「ハードウェア」「ソフトウェア」「ライセンス」に分けて管理するケースがほとんどです。Excelは業務で使用されることも多く、追加コスト不要で管理できるのは大きなメリットです。
デメリット
IT資産が増えてくると管理が煩雑になり、ヒューマンエラーが起こりやすくなるのはデメリットといえるでしょう。また、手作業での業務は属人化しやすく、担当者がいないと業務が滞ってしまいがちになるのもデメリットです。
ツール活用によるIT資産管理
ツールを活用してIT資産管理を行う場合のメリットとデメリットは以下のとおりです。
メリット
企業が保有するあらゆるIT資産の管理を一括で行えるツールを活用することで、効率的な管理が実現します。ヒューマンエラーが軽減し、状況の可視化や共有もしやすくなり、適切な管理が容易になるでしょう。また、操作ログの取得により、不正利用の防止にもつながります。
デメリット
ツールを導入するための初期コストがかかる点、ツールによっては操作方法が難しい場合がある点は、ツール活用のデメリットといえるでしょう。
IT資産管理を効率化させるポイント
IT技術の進化により、以前に比べ業務スピードは著しくアップしています。自社でも業務スピードのアップに対応するには、新たなITツールの活用が欠かせません。
そのため、できるだけ早い段階でIT資産管理ツールを導入し適切な管理を実行しなければ、担当者の負担は増加するばかりです。さらにテレワークを導入している企業が増え、クラウド経由でデータのやり取りをするケースが当たり前となった今、これまで以上にIT資産の安全な管理が求められます。
これらを踏まえ、ツールを活用してIT資産管理を効率化させるポイントを見てみましょう。
テレワークにも対応したIT資産管理が可能なツールを選択する
多様な働き方を実現しつつ、安全にIT資産を管理するには、テレワークで使用するIT資産の管理も行えるツールを選択することが重要です。
初期コストを抑えて導入が可能なツールを選択する
既存のデバイスをできるだけ活かし、初期コストを抑えて導入できるかどうかも重要なポイントのひとつです。
容易に設定ができるツールを選択する
専門の知識がなくても容易に設定できるツールを選択すれば、導入・運用の手間が大幅に軽減されます。
インストールしたパソコンの性能を維持できるツールを選択する
これまでの業務効率を落とすことなく、快適な状態でのIT資産管理を可能にするツール選択が重要です。
※IT資産管理ツールの詳しい選択方法については、「IT資産管理ツールとは?導入の効果と選定のポイントを解説」をご覧ください。
IT資産管理を適切に行うにはツールの活用が重要
テレワークやハイブリッドワークなど多様な働き方が定着したことで、IT資産の管理は非常に難しくなっています。特に手作業での管理は限界があり、ヒューマンエラーが起きるリスクも高まってしまうため、ツールを活用した効率化が欠かせません。
ひと口にツールといってもさまざまな種類があり、自社の目的や状況に合わせて選択をしないとかえって管理が煩雑になるうえ、管理コストも増大してしまうでしょう。そこでおすすめなのが、「Jasmy Secure PC」です。
既存のデバイスで利用可能なうえ、インストールしたパソコンの性能を落とすこともありません。また、インストーラーの指示に沿って進めるだけで容易に導入できるため、システムに詳しい専任担当者がいなくてもすぐに運用を開始できます。
また、「Jasmy Secure PC」は、操作したアプリやWebサイト、ファイルの閲覧履歴などパソコンの操作内容を記録し、業務状況を可視化する「ドライブレコーダー」や、事前に登録したネットワークに接続し、管理者が認証したなどの特定の条件下でしかマウントされないドライブでデータを安全に管理する「ゴーストドライブ」を備えています。
そして、管理者によるゴーストドライブのアクセス許可や画面ロックなどの遠隔操作により、社員の稼働状況やアクセス履歴をリアルタイムに確認できる「リモートハンドリング」も可能です。これらにより、低コストでの導入が可能かつ、テレワークやリモートワークといった多様な働き方を維持しながらも適切なIT資産管理を実現します。
IT資産管理の煩雑さからツール導入を検討されている際は、ぜひお気軽にご相談ください。
※資料ダウンロードページへのリンク
中小企業にもテレワークは必要?最適な方式は?
中小企業にもテレワークは必要?最適な方式は?
働き方改革は大企業だけでなく、中小企業にとっても大きなテーマとなっています。優秀な人材を確保するため、従業員の働きやすさや満足度を向上させるため、さまざまな理由によってテレワークの普及が進んでいます。東京商工リサーチの調査を総務省がまとめたデータによれば、中小企業における企業のテレワーク実施率は1回目の緊急事態宣言時には14.1%から51.2%へと上昇。その後、緊急事態宣言解除後には低下するものの、2回目の緊急事態宣言時には33.0%に再上昇しています。
企業のテレワーク実施率(東京商工リサーチによる「新型コロナウイルスに関するアンケート」調査(第2~6、8、10、14回)をもとに総務省が作成したデータ)
(出典)『令和3年版情報通信白書』(総務省)
一言にテレワークといっても、さまざまな方式があります(総務省による「テレワーク方式の特性比較」)。それぞれ、メリット・デメリットがあるので、これからテレワークを実施する企業においては、まずは自社に最適な方式を見極める必要があります。
テレワーク方式の特性比較
(出典)2021年5月31日『テレワークセキュリティガイドライン(第5版)』(総務省)
システム投資が難しい中小企業にとっては、「スタンドアロン方式」(社内ネットワークに接続せずテレワークする方法)が有効となります。
ただし、現実的にネットワークに全く接続せずに業務を行うことも難しいため、ジャスミーとして推奨したいのは、スタンドアロン形のようにネットワーク接続は制限しながらも、メールやチャットなど一部のクラウドサービスの利用を許容する、新たな方式です。
前述の総務省のテレワークセキュリティガイドラインに合わせて例えるならば、“インターネット接続型スタンドアロン方式“のようなものとなります。後述されるJasmy Secure PCの機能を活用し、実現することが可能です。
