「御社のセキュリティ対策はどうなっていますか?」
先週、とある大手企業さんからお仕事の具体的な相談を受けた後に聞かれました。正直「やばい。。」と思いました。近年セキュリティ対策に対しての法令に準拠しているか?ということを確認し、セキュリティ対策について資料を要求するクライアントが増えつつあるということは、弊社と取引のあるOA機器関係の会社から聞いてはいたが。。。。まさか、本当に聞かれるとはね。。汗
うちは、札幌で営業していた頃から○○商会さんにお願いし、自社サーバー(ファイルサーバーとして使っていただけ)とルータ手前(ネットの出入り口)でゲートセキュリティを入れておりました。当時から外部とのCAD連携や自社のファイル転送システムが必要になる時代がすぐ来ると思っていたし、当時はデザイン事務所としては大人数だったので、どんなアクセスを外部とするか?ルールはあれどもすべてを管理するのは難しいと思っていたので、そういったシステムを導入していたのです。しかし。。。今は何もしていません。。。なぜ?。。。札幌時代より上記の外部とのやり取りは増えているのですが、「導入費、維持管理費」に相当なお金がかかるのです。僕はなんでも「早すぎる!」と皆さんに文句を言われます。札幌時代にセキュリティ万全な事務所であっても、その恩を体感的に受けることがなかったのです。よって、関東に移転してからは、何も対策はしておりません。。。。また、最近はいろいろなクラウドサービスが増えてきて、代表するものはWin関係なら「OneDrive」、Macなら「icloud」というOSに連携性の良いというか、OS自体もローカルでファイルを保存させずクラウドに保存させるようインストールされる(デフォルトでは。。)クラウドがあります。また、OSに依存されない「Dropbox」も有名ですね。
これにより、複数台のPCを持っていてもクラウドでファイルを共有しやすくなり、「どこでもオフィス」が実現します。
半面、このようなアクセスしやすいクラウドはセキュリティに一抹の不安があり、万全の注意が必要なのと、OSの仕様によりファイルが消えたりします。(実際は、ユーザ側の操作ミスからなんですが。。)。このような例を挙げるときりがないですが、話を戻すと、こういったフリー的クラウドに大切なNDA情報を挙げておくのはとても危険なのです。でも実際は出張時など打合せ資料やCADデーターをオープンクラウドにUPして一時的な対策として僕もよくやりますが、打合せが終わった際もデーターを消去せず、放置してしまいがちですね。そんな感じでうちは再度、札幌時代のようなセキュリティ対策を講じることにしました。業者は決まっているので、このブログを見たセキュリティ対策の会社さん。。。営業来ても駄目よ。w 冒頭で言葉を投げかけてきたクライアントさんとはうちが対策完了してから、セキュリティ採択の資料を提示し仕事を開始することにしました。汗
近年、ウクライナ危機、北のサイバーによりサイバー攻撃が加速化し、弊社取引先もウイルスにやられ、対策に大きな費用と時間を費やしておりました。なってからでは遅いと思いますし、何もなかったらそれはそれでよいと思います。対費用効果だけで判断するのは日本人の最悪な思考です。しかし日本の商法もとても安易で、退避用効果が優先される法律解釈が多いですが。怒 余談でした。。。
日本のセキュリティ対策についての法律や制度があるのはご存じですか?
企業の経営者が必ず知っておくべき、情報セキュリティ関連の法律・制度とは?
JISにも規格があり、セキュリティ対策は企業の品質保証の範囲になっているということです。
我々のような小規模事業者については、売り上げも利益も小さく経費はできるだけ抑えたいという概念が必ず働きます。日本人はみなそうかも。ですが、最低限のセキュリティ対策は今やテナントを借りるより大切かもしれませんね。こういった対策に使えるIT補助金もある(IT補助金の本来の目的はセキュリティ)ので、是非対策をお勧めします。
対策を相談できる会社はたくさんありますが、彼らも営業なのでさまざまな危険性をアピールし、金額を上積みしてくるので(笑)、あくまでも参考なんですが、僕が「これで良い」と思う最低限の安心セキュリティの概略を下記に記しておきます。
1)サーバー:1TBくらいのwindowsサーバOSで運用するもの、Webやっている方で自社サーバーで監理したい方は2TB~3TBのもの(Macサーバーはよくわかりませんので、、、情報書けません。すいません)ミラーリング用HDもお勧めです。単なるファイルサーバではなく、OSでサーバーを直接監理しているので、通信関係の設定もルータ性能に依存せず、オリジナルな通信設定も可能ですし、バックアップもミラーリングHDにタイムリーにバックアップされる。各端末(PC)のバックアップも各PCに負担をかけずにサーバーにバックアップされます。(OSのバックアップならOneDriveやMacであればicloudにバックアップされる)自社サーバーへのリモートアクセスも可能。
2)ゲートセキュリティ:ルータぼ手前もしくはルータ直下で添付ファイルなどのbat.exeやエクセルなどが添付されたメールを排除したり、怪しいサイトにアクセスできなくします。これは、保守契約により常に最新のセキュリティ対策を講じていただけるので、社内LANに侵入することはまずありません。また、最近流行ってきているテキストリンクウイルス(メールに書き込んであるリンクテキスト。青字、アンダーバーがついているテキスト)も対策してくれますが、新種のものは潜ってしまう可能性がありますが、それもサポートメールが来て、見分けがつくようになります。
上記2点だけ行えば完璧ですが、2)の対策のみでもOKだと思います。
ご参考まで。。。