【社内向け】セキュリティ意識を高めるルールの策定方法を解説

最近はマルウェアによる被害や情報漏えいなどのセキュリティリスクが知られるようになってきて、「自社のセキュリティ対策は万全なのだろうか」と不安に感じる人も多いのではないでしょうか。実際、サイバー攻撃などのリスクに備えていない企業は何らかの被害に遭う確率が高まります。

しかしその一方、「私は関係ない」とどこか他人事に思っている人が多いのも事実です。どれだけシステムの対策をしたとしても、一人の社員がスパムメールを開いてしまったら意味がありません。また、セキュリティへの意識的な取り組みだけでなくデバイスの管理など技術面での対策も重要です。

この記事では、社内でセキュリティ対策を強化したい人向けに効果的なルールの策定方法を紹介します。

１．社内セキュリティ対策ルール策定前の基本

セキュリティ対策ルールを従業員間で共有・徹底するには、まず「ルールをどう扱い、改善していくか」という視点を身につけておくことが重要です。社内でルールを決める際は、事前に規則の扱い方を頭に入れておきましょう。

セキュリティリスクを社内で共有する

ルールを定めても「なぜこのルールが必要なのか」理解していないと実施の徹底は困難です。

サイバー攻撃を受けたときなどに被る損害賠償や業務停止のリスクについて周知し、全社員が自律的に取り組めるようサポートしましょう。

上層部・システム担当・その他の社員が連携する

予算を出すには上層部の許可が必要であり、技術面でのセキュリティ強化にはシステム担当の知識が必要です。さらに、全社員の協力がなければどこかにセキュリティホールが生じてしまいます。

一部の社員ではなく、全員が守れるようなルールを定めて実施状況を確認するよう仕組みを整備しましょう。

形式が明確な規定としてルールを共有したい場合は、セキュリティポリシーを設定するのも一つの手です。

常に情報を収集し、ルールを改善する

サイバー犯罪は日々複雑化しており、以前からのルールを守っているだけでは攻撃にさらされるリスクが高まります。

IPAなどの機関が最新の脆弱性情報を発信していますので、常に誰かが一次情報を収集するよう心がけましょう。また、情報の更新や社内の変化に応じて必要であればルールの改善を行ってください。

一度決めて終わりではなく、PDCAサイクルを回して改善していくことが重要です。

２．ルール設定に役立つ！セキュリティの３大基本対策

サイバーセキュリティの対策にはさまざまな種類がありますが、大きく3つに分類できると認識しておくとルールの設定に役立ちます。

技術的対策

ソフトウェアなどにセキュリティ対策を施し、システムを保護します。エンジニアによる技術支援が必要です。

人的対策

人間が起こすミスや不正行為を予防するための対策のこと。社内全員の協力が必要です。

物理的対策

オフィスへの侵入や災害などから物理的な保護を行います。特に中小企業では予算不足で物理的な対策が難しいこともありますが、リスクへの備えとしては不可欠です。

３．【セキュリティ対策】社内ルールのチェックリスト13項目

前章でご紹介した対策区分ごとにルールの一例をご紹介します。どのようなルールを決めるかは社内の状況にもよりますが、以下の事項は最低限ルールに組み込んでおくのがよいでしょう。

対策区分	No.	チェック項目
技術的対策	1	ファイアウォールを設置しているか
	2	二段階認証を導入しているか
	3	ウイルス対策ソフトを導入しているか
	4	侵入検知システム（IDS）を導入しているか
	5	インシデント発生時の対応を決めているか
	6	不審なサイトへのアクセス制限をしているか
	7	パスワードポリシーを定めているか
人的対策	8	インシデント発生時の責任者を決めているか
	9	社内でセキュリティ教育を行っているか
物理的対策	10	従業員の入退室管理をしているか
	11	社内に監視カメラなどを設置しているか
	12	災害時のリスク管理を行っているか

対策区分	No.	チェック項目
技術的対策	1	ファイアウォールを設置しているか
	2	二段階認証を導入しているか
	3	ウイルス対策ソフトを導入しているか
	4	侵入検知システム（IDS）を導入しているか
	5	インシデント発生時の対応を決めているか
	6	不審なサイトへのアクセス制限をしているか
	7	パスワードポリシーを定めているか
人的対策	8	インシデント発生時の責任者を決めているか
	9	社内でセキュリティ教育を行っているか
物理的対策	10	従業員の入退室管理をしているか
	11	社内に防犯カメラなどを設置しているか
	12	災害時のリスク管理を行っているか

技術的対策チェックリスト

①ファイアウォールを設置しているか

悪意ある攻撃をブロックするファイアウォールの導入は対策を行う上での基本中の基本です。

パソコンにはもちろん、仕事用のスマホや社内で利用しているサーバーにも設置しているか確認しましょう。

②二段階認証を導入しているか

特に機密性の高い情報を扱うツールはログイン時に二段階認証を導入しましょう。例えば、自社サイトをWordPressで制作しているならば管理画面に二段階認証を加えるプラグインを入れるとセキュリティを向上させることができます。

③セキュリティ対策ソフトを導入しているか

マルウェア攻撃を防ぐにはセキュリティ対策ソフトの導入が必須です。支給前にあらかじめ全てのデバイスにインストールしておくとよいでしょう。

④侵入検知システム（IDS）を導入しているか

IDSとは、不正アクセス等の不審な動きを検知するシステムのこと。セキュリティに異常が見られた場合、すぐに対応できるような監視システムの導入も大切です。

⑤インシデント発生時の対応を決めているか

不正アクセスなどが発見された場合、または情報漏えいや金銭詐取などの大きな被害が発生した場合などの対応方法はあらかじめ決めておきましょう。

どれだけ対策していてもリスクは常につきまといます。万が一の事態が起きたときに被害を抑えられるよう、迅速な対応を行うことを意識してください。

⑥不審なサイトへのアクセス制限（フィルタリング）をしているか

フィッシング攻撃の被害を防ぐには、不審なサイトにアクセスしないようにするのが重要です。そのための対策として、不審なサイトをフィルタリングするよう設定するのも一つの手です。

ただし、フィルタリングの結果見られないサイトが出てきて業務に支障をきたすことがないよう現場の状況は確認しておきましょう。

⑦端末持ち出し時のルールを決めているか

特にテレワークが許可されている職場では人目のない場所で端末を操作する時間が発生します。

故意で情報を盗むような事案を防ぐのはもちろん、過失で生じるインシデントを防ぐためにも端末持ち出し時のルールは特に細かく決めておきましょう。

⑧パスワードポリシーを定めているか

「大文字小文字を混ぜる」「生年月日は使わない」「同じパスワードを使いまわさない」などのルール（パスワードポリシー）を決めるのも大切です。

推測されやすいパスワードは不正ログインの被害に遭う可能性が格段に高まります。十分に注意しましょう。

人的対策チェックリスト

⑨インシデント発生時の責任者を決めているか

サイバー攻撃を受けるなどのインシデントが発生した場合、責任の所在があいまいだと問題の解決が遅れてしまいます。

インシデントへの対応を決定する責任者を決めることで組織的な課題が生じないようにしましょう。

⑩社内でセキュリティ教育を行っているか

デバイスの管理方法や不審なメールの扱い方はもちろん、先述したようにインシデントが発生した場合に生じる損害賠償のリスク等についても共有し、自主的な対策を促すようにしましょう。

物理的対策チェックリスト

⑪従業員の入退室管理をしているか

情報を盗もうとする不審な人物が勤務スペースに入らないようにするという意味でも入退室管理は必須です。

「いつ」「誰が」オフィスにいるのか正確に把握できるようなシステムを作りましょう。

⑫社内に監視カメラなどを設置しているか

同じく侵入者対策として監視カメラを設置することもサイバーセキュリティの一つになります。

⑬災害時のリスク管理を行っているか

災害時のリスク管理も重要な課題です。機密書類の処理方法や紛失時の補填についてなど、細かくルールを決めておきましょう。

４．自社サイトのセキュリティ管理ルールも定める

国家公安委員会、総務省、経済産業省にて掲載されている「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によれば、2022年の1年間に認められた不正アクセス行為の発生は2,200件。警察に直接報告された不正アクセスの認知数なので、検挙されていない数も含めると実際の数字はもっと多いと推察されます。

このことからも分かるように、Webサイトの保守もセキュリティ対策の一環として非常に重要です。

不正アクセスを検知するツールを用いたり、こまめにバックアップとアップデートの管理を行ったりすることでWebサイトを経由したサイバー攻撃のリスクを低減することができます。

５．まとめ

社内のセキュリティルールを定める際は、従業員全員が守れるようなシステムづくりを行うことが非常に重要です。

また、デバイスや社員の意識づくり以外にもサイトのセキュリティを改善することも対策になるでしょう。自社サイトの保守に不安がある場合は外部サービスを利用するのもおすすめです。