不正行為を防止し、社員の意識向上を高める「PC アクセス管理」とは

情報漏洩対策、人的セキュリティ対策、情報セキュリティ対策、「PC アクセス管理」を行えば、それぞれの対策に繋がるとおもいます。それぞれについて纏めてみました。

情報漏洩対策

日本におけるインターネットの始まりは1984年頃といわれております。1992年日本で初めてのインターネットサービスプロバイダ(ISP)がサービスを開始し、1996年から2005年までもっとも変化の激しかった時代でインターネット人口の普及率が10年間で約21倍になったといわれております。2006年から2010年にはスマートフォンやタブレット端末の登場により、いつでもどこでもインターネット接続が可能になり、SNSも活発化し、動画生中継サービスも登場しました。2011年LINE等のメッセージアプリが登場し、様々なものがインターネットと繋がる時代になりIOT「Internet of things」という言葉が生まれました。今後も更なる発展で我々の生活に大きな影響を与え続けるでしょう。その便利さの一方、セキュリティにも厳しい時代になりました。個人情報保護法が制定されプライバシー保護など誰もが注意を払っています。注意を払ってもプライバシー情報が不正行為などによりハッカーなどの脅威にさらされています。インターネットは企業や組織の運営に欠かせないものになりましたが、その反面情報漏洩など内部の機密情報などが外部に漏れてしまうことは企業には絶対あってはならず、ダメージは計り知れないため情報漏洩対策は最大の経営課題ともされています。

人的セキュリティ対策

情報漏洩はハッカー等犯罪者の不正アクセス、サイバー攻撃だけではありません。従業員による悪意がある内部犯罪不正行為(顧客情報をUSBメモリにコピーして外部持ち出し、持ち帰りや、私的なインターネット接続で外部へ情報をコピーすること)は後を絶たず、また悪意はないがノートパソコン等の置き忘れや紛失、システムの誤操作、管理不足ミスもあげられます。自社の社員以外でも協力会社などと組織運営している場合、業務委託契約書は勿論交わすと思いますが、従業員は多いほど管理は非常に難しいものになります。そこでPCのアクセス管理は重要視されています。各システムへのアクセス、個人PCからの外部へのアクセス、まずは従業員が扱うPCのアクセス管理することで、防げる人的問題が解決することもあります。業務中に悪意あるサイトへアクセスしていないか、業務に関係ないサイトへアクセスしていないか、不正行為していないか、許可していないアプリをインストールしていないか、PCのアクセス管理は重要です。また同時にセキュリティ教育や運営ルールを整備し且つストレスなく業務が行える仕組みが必要になります。その他、人事部の社員の場合、例えば家族への会話の中でその社員以外知り得ない、会社の人事情報や給与情報まで漏れる可能性があります。ここでもアクセス管理で人事部の中でも特定の人間にしかアクセスさせない情報をしっかり管理する必要があります。セキュリティはむしろ人的で漏洩することが多いくらいなため、人的セキュリティ対策として人間によるミス、盗難、不正行為のリスクを軽減するためのアクセス管理、教育・訓練、事件・事故に対しての被害を最小限にするための対策が必要です。外部からの不正アクセスやネットワーク盗聴より、まずは管理者によるアクセス管理、社員による悪意サイトへのアクセスやWebメールのアクセスによる情報漏洩を未然に防止することが先決のように感じます。

情報セキュリティ対策

企業には機密情報の漏洩、個人プライバシー情報の流出、企業ホームページの改竄、ウイルスへの感染、こういったリスクがあり、企業組織は適切な情報セキュリティ対策を導入しなければなりません。例えばウイルスへの感染を防ぐためには各PCへセキュリティソフトを導入する必要があります。また、新しいマルウェアが発見されるたびにデータベース化されるので、常に最新情報へ端末のアップデートが必要です。そういう管理を怠ると一人の感染が企業内ネットワーク全体に影響を及ぼす可能性もあり、大きな損害にもつながるので管理者としてはしっかりやりたいところです。その他対策にはデータの暗号化、ネットワークからの攻撃対策にはファイアウォールの導入、データセンターなど物理的な建物への侵入には認証のドアや監視カメラなど様々な対策方法があり日々商品も増えて発展しております。ファイアウォールでは防ぎきれないネットワークについては昨今、良くUTM(Unified Threat Management)という言葉を聞きます。直訳すると「統合された(Unified)脅威(Threat)管理(Management)」ですが、FW機能・VPN機能・侵入防止機能・バッファオーバフロー攻撃遮断機能、アンチスパム機能、URLフィルタリング機能をもつものがあり、企業への導入が勧められてきております。勿論導入したら終わりではなく、日常運用業務が必要で管理者は負担になってきます。ただ怠ることでトラブル発生し通常の負担以上の負担及び損害が発生するためセキュリティ対策するのは管理者自身の為にもなると思います。近年セキュリティに関する話題が多いので企業のセキュリティ担当、管理者は、情報処理安全確保支援士という資格をとりつつ、世の中のセキュリティ製品と日々飛び交うセキュリティ情報を見極め、その場その場にあったセキュリティ対策を行っていく使命があると思います。

まとめ

情報漏洩対策、人的セキュリティ対策、情報セキュリティ対策は色々ありますが、まずは、「PC アクセス管理」を行うことから始めていくことが良いのではないかと思います。