中小企業は財務データ、知的財産、個人情報など、様々な機密情報を取り扱っており、それらのデータの安全性の確保は、当該企業にとってだけでなく国や重要インフラのセキュリティにとっても極めて重要な課題になっています。また、セキュリティ対策を構築しておくことで、効果的な対応や顧客に対する事前の配慮が可能になり、企業ブランドと消費者の信頼を確保することが可能になります。規模が決して大きくないとはいえ、一社が健全なネットワークを維持できなければ、関連する企業は、大企業であれ小規模企業であれ、危険にさらされることになります。中小企業のセキュリティ対策構築を支援するために、今回は、「中小企業が実践すべきセキュリティヒント10」を紹介します。
サイバーセキュリティは単なるITの問題ではなく、関連するステークホルダー全員が影響を受ける企業リスク、グローバルリスクであることを認識しなければなりません。同時に、自社と顧客の安全を確実に確保するためには、企業自らセキュリティ計画を練り、事前に脅威に備えなければなりません。その一方で、中小企業は、セキュリティに費やすリソース不足に常に悩まされています。マカフィーが昨年実施した調査によると、中堅企業の58%がITセキュリティに関する作業、評価、研究に費やす時間が週3時間に満たないと回答しています。
中小企業は、セキュリティベンダーのポイント製品の購入や保守ではなく、ビジネスの強化に焦点を当てるべきです。「中小企業が実践すべきセキュリティヒント10」は、決して中小規模の企業だけを対象にした内容ではありません。国境を越えて、大企業から小規模企業、個人企業に至るまで、企業経営を脅かすセキュリティリスクに対抗するために有効なヒントが網羅されています。中小企業向けのセキュリティ製品を配備すると共にこのヒントを実践することで、最小限の時間、労力、コストで最高レベルの保護を実現できることでしょう。
中小企業が実践すべきセキュリティヒント10
- 従業員にセキュリティ原則を学ばせる
企業の機密情報を守る基本的なセキュリティプラクティスを策定し、定期的に全従業員に伝えてください。顧客情報などの重要なデータの取り扱い、保護方法を明記した行動規範を策定し、ビジネスポリシーに違反した場合のペナルティを明記します。 - 情報、PC、ネットワークをウイルス、スパイウェアなどの悪質なコードから守る
仕事で使っているすべてのPCにウイルス対策およびスパイウェア対策ソフトをインストールして使用し、定期的に更新してください。現在、ほとんどのセキュリティソフトは、サブスクリプションライセンスになっています。夜間など、PCがあまり使用されていないときに定期的にアップデートを自動的にチェックするように設定すると共に、アップデート後にスキャンを実行するように設定してください。 - インターネット接続のファイアウォールセキュリティを提供する
ファイアウォールとは、部外者が内部ネットワークにあるデータにアクセスするのを防ぐ一連のソリューションです。内部ネットワークとインターネットの間にファイアウォールをインストールし、維持管理してください。従業員が自宅で仕事をする場合は、自宅のシステムがファイアウォールで保護されていることを確認する必要があります。ノートPCを含め、仕事で使用する全てのPCにファイアウォールをインストールしてください。 - OSやアプリケーションのアップデートや脆弱性修正パッチが公開されたら、すぐにインストールする
全てのOSベンダーが、セキュリティ問題を是正し、機能を向上するため、製品の修正プログラムやアップデートを定期的に提供しています。アップデートを自動的にインストールするようにすべてのソフトを設定してください。 - 重要なビジネスデータ、情報のバックアップコピーを作成する
仕事で使用している全てのPCのデータを定期的にバックアップしてください。重要なデータには、文書ファイル、スプレッドシート、データベース、財務ファイル、人事ファイル、売掛金/買掛金ファイルなどがあります。少なくとも週1回のバックアップを推奨します。 - PC、ネットワークコンポーネントへの物理アクセスを制御する
無断でPCにアクセスされ、使用されるのを防いでください。ノートPC は特に盗まれやすいため、不在時は鍵のかかる場所に保管するよう、従業員に徹底させてください。 - Wi-Fiネットワークの安全を徹底し、外部から見えないようにする
Wi-Fiネットワークを外部から見えないようにするには、ワイヤレスアクセスポイントやルーターがネットワーク名つまりSSID(Service Set Identifier)をブロードキャストしないようにセットアップしなければなりません。また、暗号化をオンにして、アクセス時にパスワードが要求されるようにする必要もあります。なお、購入時にデバイスの管理者パスワードの変更を忘れずに行ってください。 - 従業員ごとにユーザーアカウントを用意する
一人ひとりに別のアカウントをセットアップし、アカウントごとに強力なパスワードを使用するよう求めてください。管理者権限は信頼できるIT担当者や役職者にのみ付与してください。 - 従業員のデータや情報へのアクセスを制限すると共に、ソフトをインストールする権限を制限する
全ての従業員に、データシステムへのアクセス権限を提供しないでください。従業員には仕事に必要なデータシステムへのアクセスだけを提供し、許可なくソフトをインストールできないようにしてください。 - 定期的にパスワードを変更する
同じパスワードを使い続け、同僚と共有している場合、簡単にハッキングされる可能性があります。最低、3カ月ごとのパスワード変更を従業員に義務づけてください。
関連記事
- [2011/07/13] 情報漏えいから守るために:中小企業が実践すべき5つのステップ