コピー機・ＦＡＸ・プリンターのセキュリティ対策

意外と見落としがちな情報機器にコピー機・ＦＡＸ・プリンターがあります。
スキャナー・ＨＤＤ付きの複合機タイプもあり、情報資産のリスク軽減として
アクセス管理などの対策が必要です。
 
プリンターは出力しっぱなしにしない、出力時にパスワードを要求する
　　　　　　　　出力ログの取得など
 
コピーは人目につかない所には置かず、上長の近くに設置し監視しやすくする。
　　　　　　ＨＤＤにデータを残す場合は、パスワードなどでアクセス制限をかける
 
ＦＡＸもコピーと同様に設置し、ＦＡＸ送信時は誤送信を防ぐ対策を取る。
 
スキャナーに関しては、メール機能もありログの取得
 
又、勤務時間外ではアクセス権の設定が必要です。

情報機器のセキュリティ２（電源管理）

情報機器には電源の保護を考えます。
 
停電は通常時の他に、落雷などの自然災害・電線の切り替え時に発生する瞬電などがあります。
 
パソコン・サーバ・複合機等、停電になるとダウンします。
サーバにはUPS（無停電装置）が付いている場合が多いですが、重要なパソコンにもUPSを付けたほうが無難です。
 
長時間の停電の際は、非常用電源の確保が必要になります。
 
又、落雷対策として落雷防護フィルタの設置などがあります。

情報機器のセキュリティ

情報機器関連は、業務に対し損失・損傷・劣化等へのリスク対策が必要になります。
 
重要機器周辺では、飲食・喫煙を禁止しモニター等は盗み見されないようにしましょう。
 
又、建物の火災・水漏れ・浸水などの考慮も必要です。
 
 

物理的セキュリティ２

物理的セキュリティにはあらゆる脅威から情報を守る為の対策が必要です。
 
セキュリティエリアには、火災・洪水・爆発その他自然災害・人的災害の可能性を考える必要があります。
（オフィスビルの場合、セキュリティ対策の導入しているビルが望ましいです。）
 
又、人が不在の場合は必ず施錠
窓からは不正侵入できないよう不正検知システムを導入します。
エリア内の作業の場合も、外部者の場合は常に監視をしアクセス制限をかけます。
 
又、携帯電話のもセキュリティ上持込を禁止した方がいいでしょう。
 

物理的セキュリティ

物理的セキュリティとは主に入退室管理・建物管理などです。
 
建物内で、サーバ等のセキュリティエリアなど情報の内容によりエリア分けをします。
入り口付近には、受付などを置き建物内にはアクセスを制限しましょう。
 
又、外部扉には防火扉や警報システムを導入しましょう。
 
最近では、某自動車ディラーは警報システムを導入していなかったために
夜間に不正侵入されノートパソコンが盗難に遭う事件が発生しました。
 

緊急時対応対策

最近の情報漏えいには事故後の対応に疑問を感じる場合があります。
 
初期対応を間違えると、ユーザの不安感・損害の拡大につながります。
 そうならないため事件・事故を監視し学習しましょう。
 
情報漏えいの事故等、緊急時の連絡網を明確にし
速やかにトップマネジメントに報告する必要があります。
 
トップが知らないでは通用しません。
 
続きを読む

人的セキュリティ（雇用契約編）

従業員の採用時に雇用条件の一部として
機密保持契約又は守秘義務契約を締結させる必要があります。
 
情報漏えいのリスク軽減につながります。
ほとんどの事業者は実施していると思いますが
 
雇用条件として
　雇用終了後の守秘義務契約期間
 
　
続きを読む

人的セキュリティ （採用編）

最近、人手不足なのか
求人だしても、なかなかいい人が少なく大変ですよね。
買手市場から売り手市場に移行したのではないでしょうか。
 
いくら人手が少ないといえども誰でもいいという訳にはいきませんよね。
自社のセキュリティを守るためにある程度の選定をしなければなりません。
 
それは何故か
盗難、不正行為、設備の誤用等のリスクを減らすためです。
 
続きを読む

情報の移送時におけるリスク対策

情報資産の分類後に優先順位を決めて対策しますが
 
情報は保存したり複製したり移送（移動）したりしますので
それぞれ取扱い手順を決める必要があります。
 
 
移送に関して
　郵便の場合、誤送を避けるため２重チェックする
　重要情報の場合、普通郵便より内容証明等に変更するなど
　
 ＦＡＸの場合、誤送信を避けるため、ＦＡＸ番号の再確認をする
　又、送信後相手先に確認の電話を入れるなど
 
 
続きを読む

情報資産の分類

情報資産の分類に関する保護管理策には業務上の必要、及び業務上の影響を考慮します。
 
重要なデータを取扱う際、重要度の優先順位によりラベル付けをします。
無駄に分類せず、固定せず、柔軟に対応します。
責任者が責任を持って、文書・データ等を定期的に見直します。
 
無理な分類は、運用上支障をきたし無駄な予算が発生しますので
運用を重視し柔軟な分類にするのがポイントです。

情報資産に対する保護と責任

組織の情報資産を適切に保護し維持するため
重要な情報資産に対し目録を作成し維持します。
 
 
各情報資産に対し、所在を明確にし脅威・脆弱性等からリスク分析し
セキュリティを分類し文書化します。
 
そして管理責任者によるセキュリティ分類の合意をとります。
 
情報資産は重要資産対策等、優先順位の高さにより対策をとりましょう。
 
ポイントは文書化し実施し維持する事です。
 
 
 

外部委託に関する注意

情報処理等の外部委託の際、情報セキュリティの維持に努めなければなりません。
 
当事者同士の法的要求事項・役割と責任を明確にし
情報資産における、機密性・完全性・可用性を考慮します。
（自社と同等のセキュリティ基準のある会社が望ましいでしょう。）
 続きを読む

外部からのアクセスセキュリティ

外部からのアクセスは物理的と論理的に分かれます。
 
 それぞれ情報資産に対しリスクを評価し適切な管理策を実施します。
 
物理的には
　　事務所のレイアウト・サーバー・ファイルキャビネットへのアクセス対策
論理的には
　　自社へのデーターベース、情報システムへのアクセス対策
などの対策が必要です。
又、情報資産へのアクセスを考慮したリスクアセスメントを行ないます。
 
外部者に関しては契約内容・責任を明確にし、契約後にサービスを開始しましょう。
 
 
　　

専門家にアドバイスを求めましょう。

情報セキュリティの全体調整を行なう際に
専門家に助言を求めましょう。社内でも社外でも構いません。
 
社内の場合、支援体制が必要です。
 
ただし、経験豊かな社外の助言者にアドバイスを求める事が必要です。
 
 

 
 
 
 

続きを読む

情報資産に対する責任と実施

情報セキュリティ基本方針から全般的な手引きを作成します。
 
後に個別にシステム・サービスの詳細実施事項
 
　　　セキュリティ手順の明確化
　　　１人の情報セキュリティ責任者の決定
　　　（社外的に説明が出来る役員以上が望ましいでしょう。）
 
情報資産・セキュリティ手順・責任の詳細を明確に定義し
文書化します。
　　　

大きな組織の基盤作り

大きな会社では、関連部署ごとに管理者の代表者を決め
 役割と責任を決めることが重要です。
 
そして、情報セキュリティ委員会では管理策の妥当性及び評価を策定。
 
組織全体の情報セキュリティを明確にし、各部署の業務の支援が必要になります。
 
 
 

情報セキュリティの基盤作り

社内の情報セキュリティを管理するため
 
経営者の下、情報セキュリティ委員会を設置します。
 
　１．情報セキュリティ委員会は役割・責任及び資源配分の決定
　２．情報セキュリティ委員会は脆弱性・脅威を認識し監視体制の確立
　３・情報セキュリティ委員会は情報漏えいの事件・事故の見直し監査
　４．情報セキュリティ委員会の委員長は一連の責任をもちます。
 
委員長の選出は、社外に対し説明のできる常勤の役員が望ましいでしょう。

なかなかまとまらない基本方針

情報セキュリティポリシーを策定する場合
 
気をつけないといけない点が１点あります。
 
ポリシー策定の際、社長もしくはトップマネジメントの宣言が必要だという所です。
 
役員以上のトップマネジメント不在において実務上のマネージャー同士では
話がまとまりません。
 
何故か
 
トップからの宣言がない為、役割と責任と権限が明確にならないからです。
 
あくまでもボトムアップではなくトップダウンが必要です。 
 
そもそもポリシーとは、情報資産を取扱うにあたり
考え方や内部の体制そして実施事項等による
企業が情報資産の取り組みを表明する事です。
 
そして必要性は
　例えば、情報を受託する会社では、委託先の業者選定の際の選考基準になります。
　（いい加減な会社には、委託したくないものです。）
 
　そして、委託元には監督責任が生じ何かあった場合責任を問われます。
 
委託元から気持ちよく仕事を受注するためにも、
トップマネジメントからの情報セキュリティポリシー策定が必要になります。
 
参考になれば幸いです。
 
 

基本方針を策定しましょう。

基本方針はトップマネジメントにより、役員・従業員など全員に公表し周知徹底する
必用があります。
 
 
又、責任を明らかにし定義・目的・適用範囲・法律・教育・ウィルス・不正アクセス・事故・特定責任・関連文書・手順・見直しをわかりやすい形で公開する必要があります。
 
 
誰にもわからない基本方針を作成しても、意味がありませんね。