ビジネスわかったランド (総務・庶務)

危機管理事項

ウイルスや機密漏洩などコンピュータのセキュリティ対策は
 現在、企業ではパソコンは社員1人1台の時代になろうとしており、様々な文書やデータがパソコンで作成されている。
これは正に情報、機密の宝庫でもある。にもかかわらず、あまりにも身近であるため、そのセキュリティはきわめてお粗末であるといわねばならない。
ウイルスに感染しないためには、ワクチンソフトを活用するとともに、「得体の知れないeメールの添付書類は開かない」「開く場合は前にウィルス検査をする」など対策をとる必要がある。
現在、中規模以上の企業においてはほとんどLAN(構内ネットワーク)が構築されているため、社内の1か所に出入口をまとめ、そこでハッカー対策、ウィルス対策あるいは内部からの不用意な情報流出を避ける方法を講じているのが一般的である。
たとえばFirewall(防火壁)を設けることにより、情報のフィルタリング、スクリーニングをして、より高度なコンピュータ・セキュリティを図っている。
また、セキュリティ対策としては、「担当者コード(暗証番号)によってのみオープン可能にしておく」「データを誰がいかに保管すべきかを決めておく」「管理者によるフロッピー・ディスク、MO等保存メディアの定期点検などを実施する」などの措置をとることが必要である。

<< セキュリティ対策 >>

機材の保管・移動に関しては厳密な管理が望まれる
特別の汎用コンピュータを除いて、業務処理のほとんどがパソコンに代替され、大きさもノート型にまでコンパクト化され、持ち運びも簡単になっている。それだけに最近、某税務署では各パソコンにチェーンを取り付けることにより無断持ち出しを防止する、として話題になったが、やはり機材の保管・移動に関しては厳密な管理が望まれ、台帳(備品カード等)整備による日常チェックとともに、中間・期末棚卸の厳正な実行が必要である。もちろん、外部不法侵入者に対する防犯措置も取っておくべきである。

担当者コード(暗証番号)によってのみオープン可能にしておく
OSやアプリケーションソフトの内容充実に伴い、パソコンの活用分野はきわめて広汎となり、ソフトの自社開発ウエートが小さくなってはきたものの、多くのパソコンがインターネットに接続できるようになっている現在では、逆にネットワークの広がりによるハッカーや、ウイルスの侵入を警戒しなければならなくなっている。
それとともに、社内外の部外者による不適正なアクセスを防止する策も講じておかねばならない。
たとえば、「ファイルは、担当者コード(暗証番号)によってのみオープン可能にしておく」「システムの使用状況をすべて記録しておき、不正なアクセスの有無をチェックする」等である。
さらに、厳密なセキュリティ対策が必要な部門については、「担当者コード」(暗証番号)は1か月ごとに変更するくらいの配慮も必要であろう。

データを、誰が、いかに、いつまで保管すべきかを決めておく
パソコンで処理されたデータは直ちにプリンタでアウトプットされるか、データ・ディスク等に記録されるはずである。したがって、このデータを、誰が、いかに、どこへ、いつまで保管すべきかをはっきり決めておかねばならない。
しばしば、アウトプットされた資料が無造作に放置されていたり、パソコンにデータ・ディスクを挿入したまま帰宅してしまったりするケースが見受けられる。最も注意すべき現象である。

「担当者を複数にする」「交代制にする」などの配慮をする
重要機密に属するデータを作成、保管する場合には、「担当者を複数にする」「交代制にする」などの配慮をする必要がある。さらには義務休暇を取らせる等して、特定個人にのみ作業が集中することのないように配慮し、機密漏洩の防止に努めねばならない。

管理者によるデータ・ディスクの定期点検などを実施する
パソコンの普及により、データ作成、データ検索、情報伝達等がきわめてスムーズに行なわれるようになったが、なかには結構無駄な作業や、無造作な処理も見受けられる。
その意味で、あまり過重な管理はパソコンにそぐわないとしても、やはり野放しにならない程度に、作業日誌のチェック、アウトプット・データの点検、データ・ディスクの定期点検および終業後格納点検等は、管理者などの担当と責任として決めておくべきであろう。
アメリカでは必要以上にシビアなチェックシステムがとられているが、わが国ではせっかくパソコン・システムをとっているのに過度のチェック体制により効率が低下すれば元も子もない、あるいは、うちの社員はおかしいことはしない(性善説)と決めこんで、相当甘い管理体制になっているのが通常である。しかし、きわめて速いスピードで社会体制がアメリカナイズされている現状から、やはり効率的かつ厳密なチェックシステムを構築することが肝要である。

パソコンに関する一連の規程を作成、整備する
ある程度以上の台数が揃ってきた時点で、やはりパソコンに関する一連の規程を作成、整備する必要がある。整備すべき規程の種類とは、次の図表のようなものである。


教育を徹底する
制度、規程等の成果が出るのは、徹底した教育があってこそである。最近の若い人たちはテレビゲームや学校での授業、あるいは携帯電話によるメール送受信の日常化の影響もあって、パソコンのキーボード、マウスの扱いにはほとんど抵抗がなく、それこそゲーム感覚で習得している。
したがって、ビジネスにおけるデータの意味、重要性、取扱いに慎重さが要求される理由等をよく教え、規程の履行をやかましく迫ることによって、身につけさせるようにしなければならない。

システム監査を実施する
機材が揃い、制度が完備し、規程が作成されていても、現実にそれが十分に活用され、実行されていなければ、効果は減殺される。
終業後、熱心にパソコンに向かっているので、何をやっているのかと見たところ、ゲームに熱中していた、という話もある。また、パソコン作業の中身はやっている本人しかわからない、といったこともある。だからこそ、システム監査の重要性があるのである。
同時に、携帯電話の爆発的な普及や機種の多様化に伴い、企業内パソコンや情報へのアクセスが容易になり、その分、対応策をよりシビアに、堅固にしておく必要性が高まっているといえよう。

<< ウイルス対策 >>

ウイルス問題とは
パソコンにウイルスが侵入してきて、パソコンの機能を麻痺させてしまう、あるいはデータが消滅してしまうという、いわゆるウイルス問題が新聞紙上をにぎわせている。ウイルスは、インターネット回線を通じて侵入することもあれば、ウイルスに感染したファイルの入ったデータ・ディスクをパソコン本体に挿入してファイルを開いた際に侵入することもある。LANでパソコンがつながっている場合、1台がウイルスに感染すると他のパソコンにも一気に広がることにもなる。では、ウイルスの被害を被らないための対策はどう立てたらよいのだろうか。

友人・知人からのメールでも添付書類には要注意
eメールがビジネス・ツールとして定着してきた現在では、日に何通ものメールが送られてくる。こうしたメールの中に添付書類がある場合は要注意である。ウイルスの感染は、この添付書類を開くことによって起こるケースが非常に多いからである。添付書類は、むやみに開かないようにし、ウイルス検査を行なうなどの配慮が不可欠である。
この添付書類は、得意先等からのメールの場合でも安心はできない。ウイルスの入ったメールは、知り合いのメールを装って送られてくることもあるからである。
たとえば、次のようなウイルスがある。
得意先A社からメールが送られてきたとしよう。すると、これに引き続いて同じA社のメール・アドレスの入ったメールが送られてくる。担当者は、補足事項でもあるのかと思って、これに付いている添付書類を開くと、その瞬間ウイルスに感染するというものである。
こうした手の込んだ悪質なウイルスもあるので、絶対に油断は禁物である。

ウイルスに感染しないための方策
ウイルスの感染を防ぐには、ウイルスのワクチンソフトをパソコンにインストールしておき、定期的にチェックしたり、データ・ディスクをパソコン本体に挿入すると自動的に検査が始まるような設定にしておくことが必要である。
さらに肝心なことは、必ず最新のワクチン・ソフトに更新し続けるということである。ウイルスには次々と新種が登場する。したがって、新種ウイルスに対抗していくには、ワクチンも新しいものにしなければならない。
また、前述のように添付ファイルを開くとき、インターネットでダウンロードしたファイルを開くときなどは必ずウイルス検査をするよう義務づける必要がある。

感染した場合は
このような対策を講じていても、ウイルスに感染してしまうおそれもある。その場合、ハードディスク内のデータが改竄されたり、消失してしまったりして、データが破壊されてしまう。
そうなると、これを復活させるのは非常に困難である。したがって、普段からデータをバックアップするような体制をつくっておくことが大切である。

ハッカー、その他の対策も必要
ウイルスによってデータが破壊されるのも問題だが、それ以上に怖いのは外部からの不正なアクセスによって企業の重要なデータを盗まれることである。企業内で運営されているLANがインターネットと接続している場合、悪意の第三者、いわゆるハッカーがインターネットを介して侵入してきてデータを盗んだり、システムを破壊したりする事件も起こり得る。こうした不正なアクセスを監視し、防ぐシステム(=ファイアーウォール)を構築しておくことも検討すべきであろう。
その他、ウイルス、ハッカー、不正アクセスによる損害に対しては保険(たとえばネットワーク・セキュリティー保険)等による損害補填も検討しておくべきである。
最近は、ほとんどの社員が個人でもパソコンを所有しており、会社での残業規制がある場合などは、データをコピーして自宅に持ち帰り、自分のパソコンで処理するケースも多々ある。そうなるとデータの公私混同が行なわれたり、ウィルスの進入を見過ごしたりと、トラブルの原因ともなりかねない。振込め詐欺や悪質商法を予防すべく、個人情報保護法が制定されたが、依然パソコンの不適正かつルーズな取扱いによるデータ流出が報じられている。警察署から被疑者情報が洩れたり、先生が生徒の成績結果を盗まれたりと、制度・規定以前の問題が山積している。まずこのあたりの徹底した教育、チェック、整備から始めねばならない。

著者
樫木 正明(元ローランド株式会社顧問)
2006年9月末現在の法令等に基づいています。