HOME > ソフテックだより > 第56号(2007年12月19日発行) 現場の声編「セキュリティ対策」

「ソフテックだより」では、ソフトウェア開発に関する情報や開発現場における社員の取り組みなどを定期的にお知らせしています。
さまざまなテーマを取り上げていますので、他のソフテックだよりも、ぜひご覧下さい。

ソフテックだより(発行日順)のページへ
ソフテックだより 技術レポート(技術分野別)のページへ
ソフテックだより 現場の声(シーン別)のページへ


ソフテックだより 第56号(2007年12月19日発行)
現場の声編

「セキュリティ対策」

1. はじめに

当社では、約1年前にある担当者の不注意によって、『出張用ノートパソコンの紛失』という苦い経験をいたしました。

幸いな事に、機密データはハードディスク内には入れておらず、大問題に発展する事はありませんでした。会社として情報漏洩対策に取り組んでいなかったという事はありませんが、社外での情報漏洩対策については、今までは担当者任せの面がありました。

これは会社として大変な問題ですので、このことをきっかけに社内でセキュリティ対策について取り組んでいく事としました。

約1年かけて対策案を検討してまいりました。社内研修会でも定期的に対策について議論し、すぐに対処できるものは実行に移してきましたが、検討を進めるにつれて、社外での情報漏洩対策だけではなく色々な面で情報漏洩対策が必要である事が分かりました。

そこで、当社の新年度が始まる12月21日より正式に『情報セキュリティ管理室』を立上げ、社内外での情報漏洩を防ぐために今まで以上に厳重に管理していく事といたします。

今回は『会社としてどういった事を検討してきたか?』と『今後どのように取り組んでいくか?』についてご紹介したいと思います。

2. セキュリティ対策検討

前項でもお話ししましたが、当社は『社外でのセキュリティ』という点でいたらない部分がありましたので、そこを重点的に検討してまいりました。
それでは一部をご紹介させていただきます。

(1) 出張用パソコンの管理

(1)-1 個人PCでの出張業務は原則『禁止』

過去に使用した事実はございませんが、あらためて『禁止』を謳います。

(1)-2 出張用PCの管理

当社では各社員に1台ずつ開発用のデスクトップPCを割り当てており、その他に出張用ノートPCは共用として専用の置き 場に置いてあります。
共用であるがために、各人の都合で自由に使用されている状況でしたが、今後は申請制度を適用し、管理者の許可なく使用することを禁止いたしました。

(1)-3 情報の扱い

出張用ノートPCは共用として使われていたため、使用する社員の判断で情報の削除を行う必要がありましたが、今後は返却の際に『業務に関わる情報は全て削除して返却する』事を徹底する事にいたしました。

(2) 社外持ち出し品のセキュリティについて

(2)-1 出張の際の移動

この『移動中』が一番注意しなければならないところです。
じつは、1年前の紛失もこの『移動中』に起きました。
とくに帰社時などは、出張業務が無事終了した事によって気が抜ける事も十分考えられます。

この取り決めに四苦八苦いたしました。
100%防ぐ手段が無いためです。最初は会社で鍵付きの出張用バッグを用意する事も考えましたが、移動中にどこかへ置き忘れたらアウトですし、各担当者の出張が重なる場合もあるのでいくつ用意するか?も難しいところです。
最終的には、状況に関わらず『常に携帯する』事を全社員に周知徹底する事としました。

(2)-2 置き忘れ/盗難対策

上記でも述べましたように、個人の意識だけでは100%防ぐ事はできません。そこで全ての出張用ノートPCを暗号化する事としました。
当社はソフトウェア開発を生業としており、暗号化する事でPCの速度低下を懸念する担当者もおりましたが、事前検証の結果数パーセントの速度低下で済む事が分かりましたので、ハードディスクを暗号化する市販ソフトを導入する事としました。

(3) ストレージデバイスの扱い

(3)-1 ストレージデバイスの管理

ポータブルハードディスクやUSBメモリなど、簡単に携帯できるストレージデバイスは大変便利ですが、会社として個々のデバイスの管理をする事はしておりませんでした。
これも出張用PCと同じく注意が必要です。

現状使用しているストレージデバイスは全て使用禁止とし、会社として暗号化ソフト内蔵のUSBメモリを用意する事としました。
今までに紛失した事実はございませんが、仮に紛失した場合であっても情報を守る事ができます。

お客様からは「うちの会社ではそのような事は実施済み、あたりまえ!!」というご意見を頂くかもしれません。しかし会社としては「あたりまえ」で済ませて個人の判断に任せてしまう事はできません。

また、いくら取り決めをしても各担当者が意識改善しなければ、何をしても効果はありません。
全社一丸となって情報漏洩対策に取り組んでいく事が重要です。
今後は、社内各部署のミーティングなどの場でセキュリティに関する議論も実施していきます。

ここでご紹介した以外にも、例えば出張先からの社内ネットワークにリモートアクセスする際のセキュリティ対策などは数年前から実施しておりますが、それらはまた別の機会にご紹介いたします。

3. 今後のセキュリティ対策への取り組みについて

冒頭でも述べましたが、正式に『情報セキュリティ管理室 』を立上げ、社内のセキュリティについてあらゆる面から対策を検討していきます。

例えば、お客様より当社での機密情報の扱いなどについてお問合せを頂く機会がございます。
当社は受託開発を行っている会社であり、常に提案営業を心がけてお客様のニーズに柔軟に対応できるための体制をとっております。
これはセキュリティに関しても当てはまる事と思います。お問合せを受けてから対策しているようでは会社として問題がありますので、お客様からのご要望をもとに『ソフテックの規定は必要十分か?』、『会社としてどのように対応していくか?』を検討させていただきます。
今後当社担当者よりお客様へ『機密情報の扱い』や『セキュリティ対策』について、どのような取り決めをされているのか、また当社へのご要望などをお伺いさせて頂く事があるかと思います。
その際には、率直なご意見などお聞かせいただければと思います。

また、当社では業務遂行にあたり協力会社様にもご来訪いただく機会がございますが、そうした際にも『機密情報の漏洩対策』は万全を期さなければなりません。
基本的に社内ネットワークへの参加はしないようにしておりますが、業務を遂行するにあたり不都合が出てくる可能性もあります。他にも仕事に関わる紙の書類や文書ファイルなどの管理も重要です。

業務に支障をきたすことなく、お客様が安心して当社へお仕事をご依頼いただける会社を目指し、室員6名(社内ネットワーク管理者を含む本社事業所4名/八戸事業所2名体制)を筆頭に全社で取り組んでいきたいと思います。

(T.T.)


関連ページへのリンク

関連するソフテックだより

ページTOPへ