情シス特化型メディア SYSZO

投稿日時 - 2010.11.09 17:48:28

もぐさん

はじめの一歩

ぜひご指導ください。

知人の会社さんのおはなしですが、思いっきり顧客データを扱う業種です。
なのに、
①外部からの出入りはフリー(「こんにちわ〜」とドアをあけてフリーに入ってきます。)
②社員は私物のノートを持ち込み社内LANに勝手に接続(ウィルス対策ソフトが入っているから問題ないといっている様子)
③サーバルームの仕切りはない
④USBなどの規制もない(データ取り出し放題)
⑤Webも閲覧し放題

などなど、大変恐ろしい状態です。
総務担当の知人は、まず最初の一歩としてお金をかけずに出来るところからセキュリティを強化しなければとあせっているそうです。

いろいろご意見あると思いますが、まず最低限これ!!という
アドバイスいただけますでしょうか?

よろしくお願いします。


0
いいね
2010.11.09 20:41
きたぺいさん
こんにちは。

当社も個人情報を多く扱う業種です。
セキュリティ対策らしいことはしていましたが、穴だらけだったので
一年かけて上司、会社を説得しました。

その結果、セキュリティ対策にそれなりの費用をかけることができ、
グループ会社の中ではトップレベルのセキュリティ対策を実施しました。

そのために行ったことは二つです。

(1)機密情報が何かを定義し、それが漏れた場合の会社のリスクを
事例を交えて訴えました。

(2)会社のインフラ(ネットワーク、パソコン、紙文書を含め)を
わかりやすく図にして、そこにあるセキュリティホールとそれを
埋めるための対策を提案しました。

まずは、会社の経営陣、従業員にどういったセキュリティのリスクが
あるのかを理解してもらうことが大切だと思います。

その中からおのずと何から手を付けるべきかわかると思います。
0
いいね
2010.11.10 03:07
desatoさん
> 総務担当の知人は、まず最初の一歩としてお金をかけずに出来るところから
担当ベースでの対応では限界がありますし、へたをすると経営側が敵に回る(「余計な事をするな」)可能性があります。やはり情報漏洩のリスクを訴えて何らかの対策を「会社ぐるみで取り組む」という方向に持って行く必要があるでしょう。”お金をかけずに”と言ってもそのうちにお金を掛けざるを得なくなりますのでまずは経営層の同意を取り付けるのがいいでしょう。

私のところの子会社は社長が「間接費用は一切かけない」が信条でやはりセキュリティもなにも無い状態でした。が、私が監査をして「情報セキュリテイの面で大きなリスクがある...」と指摘したところ、社長が総務部長を呼びつけて「セキュリティがダメだと言われた。おまえの責任だ。」と言い出したのにはびっくりしました。(「おまえの信条とやらが原因だろうが」と思いましたが)
そして
・情報管理責任者の任命
・PCの持ち出し使用に関する規則と対策(ディスク暗号化ソフト、盗難防止ケーブル、...)。
・USBメモリ使用規則。私物使用禁止。パスワードロック必須。
・サーバは一番奥の棚に整然と収納(サーバルームはないし、仕切るスペースも無いので、フロア中から見える位置に置いて”衆知の監視下に置く(これは便利な言葉です)”事にしました。
・入り口は元々、仕切られており外来者は内線電話で担当者を呼び出す方式です。
・私物PCをLANに繋ぐことは流石にありませんでしたが、親会社と同じ「情報機器使用規程」を制定しました。
・Webは親会社管理で行われていました。
ということを行って、ある程度の体裁は付いたと思います。
費用は
・持ち出しPCに「秘文(HDD暗号化ソフト)」を購入 @1.2万×数台
・パスワードロックUSBメモリを購入 @千円×20個
で合計でも10万も要ってません。(サーバの棚は余剰品を流用)
0
いいね
2010.11.10 09:21
たま屋さん
まずは現状を知ってみて、何をすべきかを考えたらいかがでしょう
相談相手が見つからない場合は、コピー機やさんやPCの業者さんに聞くと良いですよ
なかにはその会社の情報セキュリティ担当者がセミナーを開いてくれる場合もあります

0
いいね
コメントする

ログインしてからコメントできます

SYSZOはアプリ版もご利用ください

SYSZOアプリ版では質問機能以外につぶやきやフレンド登録、チャット機能など様々な機能があります。

SYSZOはApp StoreまたはGooglePlayよりダウンロードしてご利用ください。

  • App Store
  • Google play

急上昇ワード

更新2017.01.20 00:07

SYSZO応援企業