中小企業の情報セキュリティ対策について「何をすべきか」と聞かれたとき、もしもまだほとんど手がつけられていない状況ならば、下記について対策を検討する必要があります。
注)ここでの中小企業は、この中小企業の情報化基盤 で説明しているものを前提としています。
コンピュータを守る(主にウィルスや不正侵入などからコンピュータを守る)
- ファイアウォール
- 外部からの不正な攻撃を防ぐ(使用しないポートを閉じる)
- 不正アクセス・コマンドに有効
- 自動更新(アップデート)
- ソフトの脆弱性(バグ、不具合)を修正する
- ウイルスや不正アクセス・コマンドに有効
- ウイルス対策ソフト
- ウイルスなどの不正なプログラムを防ぐ
- ウイルス等の不正なプログラムに有効
データを守る(データそのものを様々な状況から守る)
- バックアップ
- 重要な情報ファイルは定期的に(自動的に)バックアップしておく
- ファイルが壊れたり、PCが故障したときに有効
- バックアップの復元テスト、バックアップ媒体の遠隔地保管も重要
- アクセス制御
- 重要なデータは必要な人だけが読み書きできるように設定(制御)しておく
- 不正アクセスなどに有効
- アクセスのためのID,パスワードの管理も重要
- 暗号化
- 重要な情報ファイルを持ち出すときや送るときに暗号化する
- 不正アクセスなどに有効、情報漏えい時の最後の砦
技術(IT)以外の対策(人・組織に関するの対策)
- 規程(ルール)と教育
- 社員に守ってほしいセキュリティ上のルールを文書化し、公知する
- 作成したルールを教育する
- 対策の実施状況のチェック
- 実施した対策(上記の技術的な対策や決められたルール)がきちんと実施されているか確認する
- きちんと実施されていない対策を見直す
> 中小企業が最低限実施すべき情報セキュリティ対策(2/2) 具体例編 もご覧ください。
