システム管理者の心得
システム管理者は、企業の番人。さまざまなレベルの社員に企業としての統一ポリシーを徹底させ、セキュリティレベルを常に保つための基盤作りと、いざというときの対応を確定させておく必要があります。
セキュリティポリシーを確立しましょう
まずは企業の情報セキュリティに関する基本方針をしっかり定めておきましょう。セキュリティ対策ソフトの使用、ウイルス感染時の対処方法、業務用PCの持ち出しや私用PCの持ち込み、情報漏えいリスクの高いファイル交換ソフトの使用についてなどについてのルールを明文化しておき、全社員に提示するとともに、いつでも閲覧できる状態にしておく必要があります。
社員の不正行動を想定しましょう
企業内には多くの社員が存在します。残念ながら、中にはポリシーに反する社員も出てきてしまいます。また、その他の社員も、つい忘れてしまったり人的なミスが発生したりすることがあり得ます。管理者は「社員はこんなことをするかもしれない」という考えの基、それに対するシステム導入、社員監視、対処方法の策定、等を用意しておく必要があります。
履歴を追える仕組み作りをしましょう
不正アクセスや機密情報漏えいなどの事件が発生した場合、法的な紛争に備えるために情報を収集・分析し、その原因や証拠を明らかにしておく必要があります。そのためには問題発生前に、体制作り、システムの導入が必要になります。入退室の管理に始まり、データアクセス履歴、データ変更履歴、システム操作履歴、送受信メール、等を保管し分析できるようにしておきましょう。これらの、体制作り、システム導入は、事件の発生をあらかじめ防ぐ抑止効果と共に、再発防止にも効果を発揮します。
現在の脅威を把握しましょう
企業の情報を攻撃から防ぐために、セキュリティ対策製品を導入することは重要なことです。しかし、現在発生している脅威に対抗できる製品を導入しなくては効果が得られません。現在インターネット上にはどのような脅威がはやっているのか、現在の脅威に対抗するためにはどのような機能が最適なのか、等を考慮した上で初めて導入すべきセキュリティ対策製品が見えてきます。最新の脅威情報は、セキュリティメーカのホームページやメールサービス、各種セミナー・イベント、等を積極的に利用しましょう。
最適なセキュリティ対策製品/サービスを導入し、運用しましょう
自社の環境にあった適切なセキュリティ対策製品/サービスを導入し、企業情報を外部の脅威から守りましょう。ひとたび被害が発生してしまうと、セキュリティ対策製品/サービス導入の初期費用の比ではないくらいの費用が発生してしまいます。最悪の状況を想定した上で、被害発生前に最適な製品/サービスを導入しましょう。
現在導入されている製品の運用を把握しておくことはもちろん、その製品が適切かどうかを定期的に見直すことも大切です。製品を使うにあたって、大事なのはその運用。新規導入時は、運用時のこともトータルで考えるとよいでしょう。
セキュリティ強化は社員の意識作りから
セキュリティ対策製品を導入してシステムを強化しても、社員の意図しないおこないによってセキュリティに穴が空いてしまうことがあります。社員一人ひとりのセキュリティへの意識づけによって、初めて強固なシステムが完成に近づきます。入社時に自社のセキュリティポリシーに関する講習を行うのはもちろん、定期的に社員への意識付けのためのセミナーなどを行うことをおすすめします。
