情報セキュリティ(10)　対策の決定と通知

診断結果をもとに、実行すべき情報セキュリティ対策を検討します。前回書いた、「5分でできる！情報セキュリティ自社診断」の25項目のうち、弱いと思われる問題に対しては、同資料の解説編に、具体的な対策事例が書いてあります。費用がかかるものもありますが、全く費用がかからないものもあります。実行できるものから実施するというのも、一つの考え方です。

例えば、「OSの最新化」や「セキュリティパッチの実行」は、多少費用がかかりますが、基本的な施策です。一方、「怪しいメールは疑う」や「重要な情報を放置しない」などは、従業員の意識の問題であって、費用はかかりません。

施策を立てたのちは、従業員に周知します。独立行政法人情報処理推進機構（IPA）セキュリティセンターが作成した、 「情報セキュリティハンドブック」を参考に、自社の従業員への啓蒙資料を作成するとよいです。 「https://www.ipa.go.jp/files/000055529.pptx」

最近のサイバー攻撃は、日々進化しており、システム的な対応だけでは防ぎきれません。従業員の意識向上がとても大切です。このシステム面での対策と、従業員の啓蒙、そしてそれを組織として取り組んでいるということが、サイバー攻撃から会社を守るために重要です。