社員にセキュリティ対策を任せるのは危険!情シスは企業全体を守る施策をするべき

社員にセキュリティ対策を任せるのは危険!情シスは企業全体を守る施策をするべき

情報システム部の仕事は多岐にわたりますが、セキュリティ対策はその中でも最も重要な仕事の1つです。サイバー攻撃などにより個人情報・機密情報を流出してしまったら企業の信頼を損ないかねません。また、ランサムウェアの感染が社内で拡大すれば、業務停止の恐れもあります。

しかし、多くの中小企業ではセキュリティ対策を社員任せにしてしまい、十分な対策が取られていないのが現状です。情報漏洩やランサムウェアなどの被害は、たった一つの端末のセキュリティのほんの少しのほころびが原因となるケースが多いため、社員個人にセキュリティ対策を任せてしまうことは、非常に危険です。

今年の2018年5月には日本人の約2億件分の個人情報が中国の闇サイトで販売されていたとのことをアメリカのセキュリティ会社FireEye社が明らかにしました。販売者は中国・漸江省在住の個人によるものであり、他に2人の人物が協力している可能性があります。メールアドレス・パスワード・電話番号まで流出したものもあり、情報は1件につき1000元(約1万7000 円)で販売されていたそうです。

万が一、日本国内において個人情報を流出させてしまった場合、どれほどの損害賠償を支払うことになるのでしょうか?2014年7 月にベネッセコーポレーションが2895 万人分の個人情報を流出させたとして一人当たり500円分の電子マネーや図書カードの配布を行い、総額144億7500 万円の金額を支払ったことがありました。もし、クレジットカードなどの個人情報であった場合は、総額8685億円にもおよぶ損害賠償を支払う可能性があったと言われています。

このように情報漏洩による被害は、企業に計り知れないダメージを与えます。そこで今回は、社員にセキュリティ対策を任せきりにすることがなぜダメなのか?情シスとしてどのような対策をしなければならないのかについて解説していきたいと思います。

社員個人でITセキュリティ対策を行うリスク

個人情報の流出を起こさないようにするためには、会社としてPCを一元管理することが理想です。しかし、上述のように中小企業ではセキュリティ対策を社員に任せてしまっているケースがよくあります。しかし、どんなに社員のセキュリティ意識が高くても任せっきりにしてしまうのは、会社自体をセキュリティリスクから守ることはできません。いくつかよくあるケースをご紹介します。

(1)メール・インターネット閲覧は情報漏洩のリスクだらけ

仕事でメールやインターネットを使わない日はありません。それ故メール・インターネット経由によるウイルス感染は年々増加傾向にあります。総務省が調査した「通信利用動向調査」では過去1年に企業の約3割が「少なくとも1回はウイルス感染した」と回答しています(参考:http://www.security-next.com/093784)。

例えば、近年のなりすましメールは非常に巧妙化しており見分けることが難しく、いつもはセキュリティ意識の高い社員でも「つい、開封してクリックしてしまう」という可能性は否定できません。また、WEBサイトの改ざんなどにより、いつの間にか悪質なURLのWEBサイトを閲覧していたということも起こり得ます。

そのため、ランサムウェア、フィッシングメール対策にはメールフィルタリングでの対応、悪質なURLは完全に遮断、動画は見られない、ダウンロード権限をなくすなど、社員任せにしていては防ぐことができないリスクを、情シスは考慮しなければいけません。

(2)セキュリティソフトの管理を社員に任せるのは非常に危険

また、セキュリティソフトを入れているから安心というわけではありません。新種のマルウェアやセキュリティ犯罪の手口は年々巧妙化しており種類も増えています。よって、セキュリティソフトのバージョンを常に最新版にし、自動バージョンアップデート機能を必ずONにしておくことが必要になります。

しかし、セキュリティソフトの管理を社員に任せてしまうと、PCの動きが遅くなるからといって、セキュリティソフトを無効にしたり、自動バージョンアップデートをOFFにしたりするなど、最新版でないセキュリティソフトをいつの間にか使っている人が出てきます。これではセキュリティソフトを入れている意味がありません。さらに、社員に任せてしまうことで、誰のPCがセキュリティの問題があるのか?誰が最新版になっていないのか?などを情シスが把握することができなくなります。情シスとしては、ソフトウェアの設定変更の制限や、バージョン管理をするなどの対応が必要となります。

このようにセキュリティ対策を社員任せにしてしまうと、マルウェアなどの感染だけでなく、重大な情報漏洩が発生する事態に見舞われる可能性が高くなります。情シスは、会社を守るためにも、社員個人にセキュリティ対策を任せるのではなく、組織として適切な対策を取る必要があるのです。

情シスがすべきことは?

情シスの役割は、セキュリティリスクから企業を守ることです。しかし、社員にセキュリティ対策を任せてしまっては上述のように企業を守ることはできません。社員のセキュリティ意識を高める研修を行うことは大切ですが、社員が四六時中セキュリティのことを意識し続けることはできません。故に、情シスは企業全体のセキュリティ対策をしなければなりません。

だからといって、情シスが通常の業務に加え、これらの対応をPC1台1台すべてに手作業で行うとなると非常に工数も時間もかかるため、現実的ではありません。このような問題に対して、通常はツールを導入して解決します。企業全体のPCを管理できるIT資産管理ソフトやセキュリティソフトを導入することで、工数をかけずPCを一元管理することができるからです。これらツールの導入で、情シスはどのPCにセキュリティリスクが存在するのか?を瞬時に把握し、対策を行うことができ、社員個人はセキュリティのリスクを意識することなく本業に集中することができるようになります。

クオリティソフトが提供するクラウド型IT資産管理製品「ISM CloudOne」は、ユーザーが意識することなく、企業にあるPCの一元管理を実現し、情報漏洩やサイバー攻撃のリスクから守ります。

中小企業から大企業まで幅広く導入・利用されており、販売開始から約54,000社の企業に導入されている製品です。「ISM CloudOne」の2つの無料トライアル、圧倒的な使用感をぜひこの機会に利用体験してみてはいかがでしょうか。

セキュリティ対策/IT資産管理ツール

ISM CloudOne 無料トライアル申込み

 

ISM CloudOne機能一覧