情報セキュリティ(10) 対策の決定と通知

診断結果をもとに、実行すべき情報セキュリティ対策を検討します。前回書いた、「5分でできる!情報セキュリティ自社診断」の25項目のうち、弱いと思われる問題に対しては、同資料の解説編に、具体的な対策事例が書いてあります。費用がかかるものもありますが、全く費用がかからないものもあります。実行できるものから実施するというのも、一つの考え方です。

例えば、「OSの最新化」や「セキュリティパッチの実行」は、多少費用がかかりますが、基本的な施策です。一方、「怪しいメールは疑う」や「重要な情報を放置しない」などは、従業員の意識の問題であって、費用はかかりません。

施策を立てたのちは、従業員に周知します。独立行政法人情報処理推進機構(IPA)セキュリティセンターが作成した、 「情報セキュリティハンドブック」を参考に、自社の従業員への啓蒙資料を作成するとよいです。 「https://www.ipa.go.jp/files/000055529.pptx

最近のサイバー攻撃は、日々進化しており、システム的な対応だけでは防ぎきれません。従業員の意識向上がとても大切です。このシステム面での対策と、従業員の啓蒙、そしてそれを組織として取り組んでいるということが、サイバー攻撃から会社を守るために重要です。

投稿者プロフィール

小笠原 裕
小笠原 裕中小企業診断士 行政書士
バラの咲く街、八千代市緑が丘で、コンサルティング事務所を運営しています。