Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
組織の規模や業種にかかわらず、企業活動を行なっている組織は「機密情報」を保持しています。顧客や取引先の情報はもちろん、社内情報であっても従業員やステークホルダーにとっては重要な情報資産です。
組織は機密情報の保護を徹底し、全従業員が適切に情報を取り扱うための環境を整備する必要があります。
そのためには、情報漏洩に繋がる脅威を理解し、可能な限りの対策を実施することが重要です。
社内セキュリティの基礎知識
セキュリティと一口に言っても、製品や手法は様々です。
それらを有効に活用するためには、あるべきセキュリティ環境を明確にし、そのためにどのようなアプローチが必要なのかを理解しなければ、望んだ効果を得ることは困難でしょう。
セキュリティ環境を検討するうえでの、基本的な考え方を解説します。
社内セキュリティ強化の重要性
セキュリティ意識が高まり続けている現代ですが、情報漏洩の発生は後を絶ちません。外部からの攻撃や内部不正による情報漏洩は、適切なセキュリティ対策を施していれば防げた事案があることも事実です。
組織の業務や資産を見直し、社内セキュリティを強化することは、情報漏洩を防ぐために必須とも言える要素です。適切な社内セキュリティを構築することが、内部不正の防止や外部攻撃に対する防御はもちろん、インシデント発生時の対処を明確にすることに繋がります。
守るべきものはなにかを明確にする
情報漏洩を防止するためには、想定される脅威に対する適切なセキュリティ対策を施します。
しかし、その前提として守るべき対象を明確にすることが大切です。
セキュリティ対策を施す対象が曖昧なままでは、本来守るべき対象に漏れが生じる、無駄なコストが発生するなどの問題が発生するためです。
機密情報
組織が保有する、守るべき機密情報です。
基本的には「組織が保有する情報で、外部へ開示する予定がないもの」は機密情報と捉えてよいでしょう。
従業員の履歴書や取引先とのやり取り履歴、業務マニュアルなどは全て機密情報です。
これらの管理が煩雑になると情報の取り扱いがずさんになりやすくその結果、漏洩を招いてしまう恐れがあります。
機密情報にアクセスする機器
パソコンやスマートデバイスなどの機器の保護も重要です。
従業員が利用するデバイスや、システムを構成するサーバー/ネットワーク機器は、情報が直接保存されているか、情報にアクセスする権限が付与されていることがほとんどです。
端末を踏み台化されて情報漏洩に繋がるケースは珍しくありません。
組織として機器を管理し、適切な状態を保つためには、情報にアクセスする機器を明確にする必要があります。
従業員がセキュリティリスクになりえると認識する
情報漏洩のリスクを考えるとき、サイバー攻撃やフィッシングサイトなどの悪意を持った攻撃を思い浮かべる方が多いのではないでしょうか。
大きな脅威であることに間違いありませんが、正規の権限を持った従業員も時に重大な脅威となります。
組織への不満などから悪意を持って情報を盗み出す以外に、リテラシー不足による不適切な行動が原因で情報漏洩に繋がるケースも存在します。
機密情報を守るためには、従業員のセキュリティ意識とリテラシーの向上が必須です。
従業員に対するリテラシー教育を行なうことは、情報漏洩リスクへの重要な対策と言えます。
こちらの記事では従業員の教育について詳しく解説していますので、併せてご覧ください。
セキュリティを構成する観点と、守るべきものを明確にすることで、自組織にとって必要なセキュリティ対策が見えてきます。
それに即して構築された環境で、従業員が適切なリテラシーを持ちながら業務を遂行することが社内セキュリティの基本となります。
社内セキュリティを高めるためには
前述の基本を踏まえたうえで、どのようなセキュリティ対策が考えられるでしょうか。
リスクマネジメント
組織のセキュリティ環境を高めるためには、適切なリスクマネジメントが大切です。
インシデントが発生する前にリスクを認識し、それに対する対策・対処をすることが、リスクを排除するだけではなく、万が一のときにも一貫した対応を行なうことに繋がります。
リスクレベル
組織には様々なリスクが存在しており、対策は多種多様です。
全てのリスクに対応することが理想ですが、現実的にはコストや工数の観点からも実施する対策の取捨選択が必要になるでしょう。
対策を実施するかどうかを判断するためには、組織としてリスクレベルを定義する必要があります。
リスクレベルを定義する方法は組織により様々ですが、影響の大きさと発生確率を軸としてマトリクス図を作成することが可能です。
発生確率・高 | 発生確率・中 | 発生確率・低 | |
---|---|---|---|
影響度・高 | リスク・高 | リスク・高 | リスク・中 |
影響度・中 | リスク・高 | リスク・中 | リスク・低 |
影響度・低 | リスク・中 | リスク・低 | リスク・低 |
筆者作成:リスクレベル表の例
- リスク・高
組織の存続に重大な影響をもたらすリスクです。
予防策を施し、万が一発生した場合の対処も事前に作成することが求められます。 - リスク・中
組織の業務に影響を与え、インパクトのある損失が起こるリスクです。
予防策や発生時の対応を定めることはリスク・高と同様ですが、優先度は下がります。 - リスク・低
組織として許容できる範囲のリスクです。
可能であれば対策を講じますが、リスク自体を許容する場合もあります。
リスクアセスメント
社内セキュリティを高めるための前提となるのが、リスクアセスメントです。
リスクアセスメントとは、存在するリスクを特定し、分析・評価を行なうことです。
- リスクの特定
組織が行なう業務の完遂を妨げる可能性のあるリスクをリストアップします。
個人や部署単独では抜け漏れが発生してしまう可能性があるため、各業務部門にアンケートやブレーンストーミングへの参加依頼を行なうのがよいでしょう。 - リスクの分析
特定されたリスクに対して、脅威の度合いや発生確率を分析します。
前述のマトリックス図を活用し、それぞれのリスクをレベル別に整理します。 - リスクの評価
整理されたリスクを評価し、対応の優先順位をつけます。
これにより、コストや工数を無駄にすることなく適切なリスク対処を実現できます。
リスクマネジメントには手法や考え方が多く存在しており、場合によっては非常に複雑なプロセスを踏むことになります。
ISO31000(リスクマネジメント規格)による定義や解説も参考にし、自組織にマッチした方法を検討するとよいでしょう。
参考:ISO31000
参考:環境省
業務に利用するデバイスの管理
社内セキュリティを脅かす重要な課題の一つに「内部不正」が挙げられます。
リテラシー不足や組織への不満などから、情報を持ち出して漏洩させてしまう行為です。
内部不正を防ぐためのポイントはいくつかありますが、まずは直接的に情報の持ち出しを制限することを検討するとよいでしょう。
前述したように機密情報へアクセスするデバイスを管理し、従業員が未許可のデバイスを利用するシャドーITを防ぎます。
利用可能なデバイスを制御するためには、資産管理ツールを用いるのが一般的です。
USB機器はもちろん、スマートフォンやその他記憶デバイスを一括で管理し、組織が認めたものだけを利用できる環境を実現できます。
資産管理ツールは内部不正以外にも、マルウェアや不正アクセスの被害に遭った際の状況確認、ログ追跡にも大きな効果を発揮します。
包括的な社内ルールの制定
全従業員が守るべき社内ルールは、包括的である必要があります。
しかし、複数の業務を行なっている組織では、一からルールを制定するには大きな工数が必要で、漏れや例外が発生してしまうリスクもあります。
そこで活用したいのが、IPAが公開している「内部不正防止ガイドライン」です。多くの職種に当てはまるセキュリティ対策の考え方やあるべき姿が記載されているガイドラインです。
このガイドラインをベースに自組織に合わせて編集するだけでも、一定レベルの社内セキュリティ環境の実現が見込めます。
社内セキュリティ環境は、ルールの制定や環境の整備で終わりではありません。
むしろ、実際に運用する中で出てくる業務実態に合わない点や、極端に効率を低下させるルールをいかに改善するかが重要です。
初めに制定した社内セキュリティに固執せず、安全性と業務効率を両立させるためのメンテナンスを怠らないようにしましょう。
社内セキュリティを高め、情報漏洩を起こさない組織を目指す
情報漏洩は頻繁に発生しており、厳重なセキュリティ体制を整えていたにもかかわらず防御を突破されてしまうケースも存在します。
しかし、社内セキュリティの甘さや従業員の安易な行動が情報漏洩に繋がってしまう事例も多くあり、それに関しては組織として対策可能と言えるのではないでしょうか。
LANSCOPEは、不正デバイスの検出はもちろん、端末の操作ログや機器の一元管理など社内セキュリティを高めるための機能を数多く搭載しています。
効果的な社内セキュリティを効率的に運用するために、ぜひご検討ください。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事