企業の情報漏えい事故が頻繁に報じられていますね。
特に最近では標的型攻撃という言葉を目にすることが多くなっています。
標的型攻撃やその他サーバー攻撃や内部の人物による犯罪というのは情報漏えい事故全体に占める原因の約20%です。
その他約80%を占める原因は、「PC操作の不注意やミス」によるものです。
なので、情報セキュリティ対策は「PC操作の不注意やミス」への対策から始めることが必要ですよね。
これは、ウイルス対策ソフトやファイアウォール等で完全に対策することが非常に困難です。
また、ITシステムで対策するには大きな手間と予算を必要とするために中小企業では根本対策は難しのが現実です。
「PC操作の不注意やミス」の対策には、セキュリティ規定の策定とそれに基づく社員教育が大きな効果を発揮します。
まずは、どの業務が情報漏えい事故のリスクがあるのか?を洗い出し、
そのリスクを解消するにはどのような手順が必要か?そのために新たな導入が必要なセキュリティ製品があるのか?
を検討し、それをベースにしたセキュリティ規定(ポリシー)の作成が必要です。
マンパワーや予算の都合で導入できないセキュリティ製品があった場合、カバーするための業務手順も規定に盛り込むことで対策への効果が期待できますね。
そして、規定に沿って社員教育を定期的に実施することがセキュリティ対策を維持するうえで大切です。