2.利用者の把握・監視

上記ルールに基づき、実際の利用者が誰で、何人いるのかを把握しておく必要があります。
もっとも、どれだけ詳細にアクセスコントロールしても、実際に重要データにアクセスできるアカウント(人)は作らざるを得ないため、いつ、どの端末で、誰が、何をしたかを把握するには、利用ログの取得と解析も有効です。

社内LANにつながっているパソコン上のあらゆる操作ログを一括で取得・解析するには、専用のソフトやサービスの導入が必要になりますが、まずはデータサーバ上でアクセスログを取得し、週ごとの解析で連続あるいは頻出する異常値がないかチェックするといった方法であれば、コストはほぼかかりません。

また、重要データにアクセスできるパソコンと人を制限し、そのスペースにだけ監視カメラを設置するのも、費用対効果が高い方法の1つです。

場所や対象を絞った効率的・効果的な監視体制を考えよう

場所や対象を絞った効率的・効果的な監視体制を考えよう

社員全員に対して監視カメラを設置することは現実的ではありませんが、例えば管理者である上司が、特定のパソコンスペースに設置された監視カメラの電源を自ら入れ、その前でデータにアクセス・作業する様子を日常的に見ていれば、社員の情報セキュリティ意識も自ずと高まるのではないでしょうか。

「監視」は、日本の社会に馴染まないとする見方もあるかと思いますが、多様な雇用形態・働き方が混在する現状では、特に不正行為を防止する手段として、むしろ全従業員を守る側面があります。「なあなあ」ではない企業姿勢を見せるためにも役立つでしょう。

3.教育の徹底

働く人のモチベーションと企業人としての意識を高めるための、企業の理念やビジョンに関する教育と、不注意や意図的な情報漏えいがどれだけのインパクトを持って会社と自分に損害をもたらすかを伝える教育、2方向からのアプローチが大切です。そしてこれは、全従業員に対して実施されなければなりません。

また、運用ルールにも関わるところですが、いつの間にかルールが形骸化してしまわないよう、例えば半年に1回はログインパスワード変更週間を設けるなど、一人ひとりのセキュリティ意識が薄まらないような体制・環境を整えることも重要です。

重要なデータを扱うパソコン・サーバでは、アクセスできる人を制限したうえで、サイト閲覧や、USB接続などができないように設定すれば、ウイルス感染や不正アクセスの予防にもなります。

自分たちの個人情報がどのように取り扱われたら安心できるのかを話し合いながら、社内のデータを守る手段を今一度、見直してみませんか?



※記事内容は執筆時点のものです。最新の内容をご確認ください。