社内ルール、体制づくり講座
きっかけは1台の感染から。全社的にセキュリティ対策に取り組むための社内ルール、体制づくりが大切です。
大切なのは社内体制を警備すること
たった1台の感染から会社の信用失墜の危機に…ということならないために、全社をあげてのセキュリティ対策への取り組みを行うことが重要です。そのためには、会社として全社的にセキュリティ対策に取り組むための社内ルール、体制つくりが大切です。
製品・サービスの導入に合わせて社内体制を整備し、自社にあった管理ルールを決めて運用しましょう。
社内体制づくり
1. まずはセキュリティ担当者を決めましょう。
セキュリティ担当者の決定は、会社の必須業務としての重要性を明確にすることになり、社員全員の自覚を促す効果があります。中小企業の場合、専任はなかなか難しい話かもしれません。しかし、社内の体制・ルールづくりや適切なウイルス対策ソフト・サービスの導入や管理をあわせて考えていくことで、兼任でも十分にその責務を果たすことは可能です。
2. 次にセキュリティ担当者の役割を決めましょう。
セキュリティ担当者を決めたら、すぐにその担当者が行うべきこと(役割)を具体的に決めましょう。役割が明確になれば、担当者自身にも自覚と意欲が生まれ、兼任の場合は自身の仕事のバランスを計算する基準にもなります。専任/兼任にかかわらず、担当者が行うべきことには、以下のようなものが考えられます。これらを参考に、自社版を作成してください。
セキュリティ担当者の役割(例)
- 社内のすべてのパソコン/サーバにウイルス対策を実施する。
- すべてのウイルス対策製品のプログラム、パターンファイルの更新を管理する。
- 常に最新のウイルス情報を入手する。
- 社内におけるルールを策定し、適切なトレーニングを行う。
3. 社内教育を推進しましょう。
社員一人ひとりのセキュリティへの意識づけが重要です。最低限の事項としてクライアントPCには必ずウイルス対策をすぐに行うことを徹底しましょう。また、万が一何か不審なものを発見した場合にはすぐに報告することも徹底させていきましょう。
社員に最低限意識してほしいウイルス対策
- メールの添付ファイルは不用意にクリックしない。
- 受信メールを自動的に開く設定はしない。(プレビュー表示の禁止)
- 怪しいWebサイトにはアクセスしない。
- フロッピーディスクやCD-ROMの受け渡し時には、必ずウイルスチェックを行う。
ルールづくり
1. 感染した場合の対処方法をガイドライン化しましょう。
社内の体制が整ったら、次のステップとして全社的な管理運用のルールや万が一感染した場合のガイドライン等の整備を進めていきましょう。ガイドラインとは日常の管理運用時および非常事態 (ウイルス感染) 発生時に、社内の「誰が、何をしたらいいのか」を明文化したルールブックです。ガイドラインのポイントは、以下のとおりです。
ガイドラインのポイント
- すべての社員が、感染の疑いがある時にチェックを実施。
- 感染の疑いがある場合の応急処置。(疑いのあるパソコンの接続ケーブルを抜く)
- すみやかに所属長および担当者に報告する。(メールではなく口頭で)
- 担当者から社内に告知し、全社員に注意を呼びかける。
- 担当者の指示のもと、適切な処置を行う。
- 処置が終了したら、復旧を社内に知らせる。(原因と対策方法についても共有する)
- 担当者は経営幹部に報告を行う。
2. 新しい社員が入った場合の対応方法をガイドライン化しましょう。
基本のガイドラインが整備できたら、社員を増やした場合の対応方法もガイドライン化しておきましょう。できるだけ本人が入社したその日のうちに、ガイドラインを用いた研修を行うことが大切です。社員だけでなく、派遣スタッフやアルバイトスタッフの初出社時にも同様の対策が必要です。ガイドラインのポイントは、以下のとおりです。
ガイドラインのポイント
リモート等で利用する場合がある際には、リモートアクセスする場合のガイドラインを作成しておきましょう。また、外部からの持込PCがある場合には、接続可能な場所、アクセスへの制限を設ける、あるいは検疫などのソリューションの導入を検討するなど、持ち込みPCへのセキュリティポリシーと接続ルールを決めておくことも必要です。
