「セキュリティ対策」というとパソコンやネットの設定やセキュリティソフトの対策のように思えますが、実際にはそういった想像とは全く違うものです。
「セキュリティ対策」と言わないで
取り組むことは確かにセキュリティ対策なのですが、それを「セキュリティ対策」と言うとほとんどの方が何だか高尚な技術や設定をすることで対策するんだと思ってしまうようです。
実際のセキュリティ対策というのはそういう「パソコンの設定」とか「インターネットやLANの設定」みたいなものとはおよそかけ離れたものです。特に小さな会社や小さなお店でのセキュリティ対策は、結論から言うと「パソコン・IT以前の問題をきちんと対策できるか?」が全てだと言っても過言ではありません。
なので、セキュリティ対策に取り組もうと考えて本気で取り組まれる場合には、「セキュリティ対策」という言葉を使わないようにするのが一つの有効な方法です。なぜセキュリティ対策という言葉を使わないようにするのがよいかというと、この言葉では「何をどうするのか?」が全く分からないからです。
何に対してどんな対策をするのか?を具体的に
小さな会社・小さなお店の多くに共通する問題(課題)は、セキュリティに限らず全般的に「何のことを指しているのか定義が曖昧なまま何となくやって、出来た気になっている」という点です。特にセキュリティ対策という場合、何をどうするのか?をきちんと決めておかなければ、対策できているのかできていないのか?すらさえ曖昧になってしまいます。
機密情報とは?漏洩とは?
例えば「機密情報を漏洩しないようにするのがセキュリティ対策だ」と決めたとしましょう。これで何をどうするのか分かったような気になっている方が多いようですが、「機密情報」って何ですか?顧客リストはもちろん機密情報でしょうけれども、例えば取引先一覧は?従業員一覧は?先月の従業員のタイムカードの記録は?来月配布するチラシの原稿データは?あなたの会社で保管している商品のカタログ情報は?・・・いったいどこからどこまでの情報を「機密情報」と言っているのですか?
また、「漏洩しないように」と言いますが、漏洩って何ですか?全く関係ない社外の第三者へ無断で情報が渡ってしまう事は勿論漏洩ですが、では関係の深い取引先の営業マンに自社の商品リストとその卸値の一覧を手渡してしまうのは?漏洩と言うんですか言わないんですか?事務所のホワイトボードに「マル秘」としてメモしてある内容を訪問してきた取引銀行の担当者が目にして知ってしまうのは漏洩と言いませんか?
まず初めに「どの情報を、誰が利用して良いのか?」をルール化しましょう
面倒だから会社内にある様々な情報を何でもかんでも「保護」しておけばセキュリティ対策になるだろう、とやってしまうと、些細なことでもいちいちパスワードを解除したり、閲覧許可をもらったりなど手続きが煩雑になる一方です。そんなことをすればすぐに「そんな面倒なルール守れない」ということになって、結果的にセキュリティ対策など名ばかりという状態になってしまいます。
そうならないためにも、まず「我社のセキュリティ対策と言ったら、どの情報をどのように守ることなのか」を決めましょう。そのためには、「どのように守る」ということよりもその逆の「誰がその情報を見たり編集したりして良いのか」を決めることで、内容がハッキリしてきます。
許可された人以外には利用できないようにする、それがセキュリティ対策の基本です
大きな会社などでは、もう少し別の次元のルールや対策があると思いますが、小さな会社やお店の場合は、このことをきちんと取り決めできて、本当に実行に移せれば、セキュリティ対策はほぼ出来ていると考えて良いと思います。そのための具体的な方法については、個別の事情となりますが・・・
「保管」「閲覧」「編集」「保存」
情報は常に何らかの形で「保管」されているものです。それが紙のファイルであったり、ExcelやWordのデータであったり、あるいは普通に閲覧することは出来ないデータベースのレコードであったり、形や様式は様々ですが、とにかく「保管」されています。
それを閲覧したり、また内容に変更を加えるなどの編集をして、新たに保存する・・・そういうことの繰り返しで社内の情報は蓄積され、更新されていきます。
この中から「社外へ流出させてはならない」情報を、どう守り、どう管理するか?がセキュリティ対策だと言って良いでしょう。
保管
ファイルや紙ベースの情報なら、鍵の付いている書庫に入れておくとか、金庫の中へ入れておくなど「誰でも開けて見られる」なんてことにならないようにしておきましょう。また、パソコン上で開いて見るデータなら、決められたパソコンの決められたフォルダ内に保存しておくというルールを決め、また閲覧する際にはパスワードを必要とするような形で不用意に開いて見られることのないようにしておきましょう。
閲覧・編集
誰が閲覧して良いのか?また「見てイイよ」「開いていいよ」というのは誰が許可するのか?管理者を決めて、閲覧する際にはその管理者の許可なしでは閲覧できないようにすべきです。また、編集も同様。
保存
パソコン上のデータを扱う場合、名前をつけて別の場所(USBメモリなど)へ保存させないよう対処しておきましょう。また紙ベースの資料などの場合は「コピー」を禁止するなどのルールも決めておきましょう。
本当は「ルールづくり」
セキュリティ対策と言わないで、と冒頭で申し上げたのも、ここまで読んでいただけると分かると思います。セキュリティ対策っていうのは、突き詰めて考えていくと「守るべき情報をどのようにして守るか?」をルール化する事に他なりません。
ちゃんとしたルールを作り、それをきちんと守っていくことで情報の漏洩や流出を未然に防ぐのセキュリティ対策です。
実際、情報漏えいしたとかセキュリティが破られたというような事件事故の殆どは、「そもそもルールが甘かった」「作ったはずのルールを守らず形骸化していた」というような事が原因です。
つまり、どんなにセキュリティソフトを入れて、厳重にIT上のセキュリティシステムをレベルアップしても、それを利用する人間がルールを破ればセキュリティソフトもシステムも、何の役にも立たないというわけです。その点を踏まえた上で、実際のセキュリティ対策を具体的にどのようにしていけば良いか?を考えるようにしましょう。
なお、取り敢えず出来ることから今すぐ始めたい、という場合にはこちらの記事をご参考にしてください→小さな会社・お店で今すぐできるセキュリティ対策~本当に今すぐやる編~
