スキップしてメイン コンテンツに移動

情報セキュリティ対策チェック項目一覧

僕の会社は社員20人以下の中小企業なのですが、半数以上はこの1年以内に入社しており、急激に増加した状況です。現在社内の情報整備に追われているのですが、社員に対し、情報セキュリティ対策について個別にチェックしてもらいたいと思い、以下のような一覧を作りました。一般的なものが多く、どんな会社でも使えるような、汎用的な内容ばかりだと思います。他にも追加すべき項目があれば、ぜひご指摘頂ければと思います。

------------------------
[PC(物理的)]
 ・事務所内PCは、デスクトップ・ノート問わず、セキュリティワイヤを装着する。
 ・事務所内ノートPCについては退室時施錠可能なキャビネットに保管する。
 ・PCを持ち出しする場合は適切に管理する。可能であれば施錠可能なカバンを使用する。常に体から離さず、交通機関では膝上にカバンを置き、ストラップを手に握る。肩掛けカバンの場合はストラップを体に通し襷がけにすること。網棚等への配置・足元への配置は厳禁。
 ・飲酒が想定される場合は極力PCを持ち歩かない。どうしてもPCを持ち飲酒する場合はPCをもっていることを常に意識し、カバンを体から話さない、もしくは身につけたままにすること。
 ・持ち出したPCを自宅に保管する場合、施錠可能な場所に保管すること。机上への放置は厳禁。
[PC(OS/ソフトウェア等)]
 ・BIOSパスワードを設定し、起動時にパスワード入力を求める。
 ・可能であればHDDパスワードを設定する。
 ・OSはユーザ名及びパスワード入力によるログイン/ログオンを必須とする。
 ・スクリーンセーバによるコンピュータロックを有効とし、復帰にはパスワードを求める設定にする。
 ・OS及びソフトウェアは常に最新バージョンを使用する。
 ・アンチウイルスソフトの導入を必須とし、ウイルスパターンファイルは常に最新バージョンを使用する。
 ・Winny、WinMX等のP2Pファイル共有ソフトの導入を禁ずる。導入が発見された場合罰則を適用する。
 ・不要なソフトウェアは極力導入せず、導入後不要と判断されるものは随時消去する。
 ・ファイルを削除した場合には、完全消去ソフトを使用し、PC上から完全にデータを削除する。
[ユーザ名・パスワード]
 ・パスワードについては推測の難しい強固なもの(原則英大小文字・数字・記号を使用した12文字以上)を使用する。ただし、サービスにより使用文字列・文字数に制限がある場合はその限りでは無い。
 ・個人にて社外サービスを使用する場合、会社にて使用しているユーザ名・パスワードは使用しない。
 ・パスワードは全てのサービスにて統一せず、個別に設定することが望ましい。
[Webブラウザ]
 ・ユーザ名やパスワード等の入力情報は極力保存せず、保存した場合は適切に管理を行う。
 ・キャッシュ及びクッキー等の情報は定期的に削除されるよう設定を行う。
 ・社内機密環境やお客様環境のURLはブックマークに登録しない。登録してある場合は全て削除すること。
[E-mail]
 ・メールソフトウェアの起動時及びアクティブ時にパスワード入力を求められることが望ましい。
 ・お客様のメールアドレスは極力アドレス帳に登録する。ただし、既に取引が終了したお客様、長期的に連絡を取っていないお客様の情報については削除を行う。お客様の氏名及びメールアドレスは個人情報であることを認識すること。
 ・誤送信防止のため、メールアドレスの手入力は避ける。
 ・複数のお客様にメールを送信する場合、メールアドレス情報の共有が不要な場合は、各メールアドレスをBCCに記述する。
 ・メールソフトの機能により、送信前に再度アドレスチェック画面を表示する機能がある場合には、機能を有効にする。
 ・メールを送信する前に、送信先及び内容、添付ファイルについて別の社員によるダブルチェックを行う。
 ・転送を行う場合、転送元のメールに記載された情報について、本当に転送が必要なものなのか、慎重に考慮する。
 ・お客様にメールにて資料を送付する場合、パスワード付圧縮にて送付する。パスワードは資料送信のメールとは別手段(TEL、事前に取り決め、別メール)にて共有する。
 ・お客様からメールにて資料をご送付頂く場合、パスワード付圧縮にて送付頂くようご依頼する。パスワードは資料送信のメールとは別手段(TEL、事前に取り決め、別メール)にて共有する。
 ・社外サービスを利用する場合、原則会社のメールアドレスを使用して登録してはいけない。
[TEL]
 ・お客様の電話番号は極力アドレス帳に登録する。ただし、既に取引が終了したお客様、長期的に連絡を取っていないお客様の情報については削除を行う。特に携帯電話番号はお客様個人の有するものである場合が多々あるため注意。お客様の氏名及び携帯電話番号は個人情報であることを認識すること。
 ・必ず電話先の相手が本人であることを確認し、本人以外の場合は不要な情報を提供しない。
 ・留守番電話には重要な情報を登録せず、連絡手段(再度連絡する/折り返し連絡がほしい)のみを登録する。
 ・携帯電話はキー操作ロック機能にて、パスワード入力を求める。アドレス帳操作に個別にロック機能がある場合は有効にする。
 ・携帯電話は原則ストラップを取り付ける。ネックストラップもしくはクリップ付であることが望ましい。
 ・社有・個人を取らず、お客様の電話番号が登録された携帯電話を紛失した場合、速やかにセキュリティ管理者に届出ること。 
 ・自身の携帯電話や自社の電話以外からお客様に電話した場合、可能な限り発信履歴を削除する。
[FAX]
 ・送信先FAX番号については、入力後別の社員にてダブルチェックを行う。
 ・FAXは事前にテストFAXを送信後、電話にてテストFAXの到着を確認し、リダイアル機能にて資料を送信する。
 ・FAX送信後の資料については速やかに回収、必要に応じて廃棄することとし、FAX周辺に放置しない。
 ・自社のFAX以外からお客様にFAXした場合、可能な限り発信履歴を削除する。
[お客様資料]
 ・事務所内のお客様に関する資料は全て施錠可能なキャビネットに保管する。
 ・事務所内のお客様に関する資料は全て管理番号を割当て保管する。管理番号に基づき、定期的に資料の保管状態を確認する。
 ・資料の参照及び貸し出し状況は管理簿にて管理する。持ち出しは原則厳禁とし、やむを得ず持ち出すを行う場合はセキュリティ管理者の承認を得る。また、持ち出しについても別途管理簿にて管理する。
 ・紙等物理的にお客様資料を持ち歩く場合は厳重に管理し、不要な資料は即シュレッダーにて廃棄処理を行う。
 ・お客様資料は原則PCに保存せず、社内ファイルサーバに保存する。社外からお客様資料が必要な場合はVPNを使用して参照を行い、参照後は全てのキャッシュを削除する。
 ・個人PCにて業務資料を保存及び利用することは厳禁。
 ・お客様からメールにて頂いた資料は、社内ファイルサーバに保存後、添付ファイルを削除する。
 ・社内の過般媒体(USBメモリ、CD、DVD)は適切に管理し、不要なものは情報削除後廃棄する。USBメモリの場合データ消去ソフトにて情報削除を行う。CD、DVDはメディアシュレッダーにて廃棄する。
 ・過般媒体はあくまで一時的な扱いとし、使用後はデータを完全削除する。過般媒体にデータを残しておかない。
------------------------

コメント

  1. 可能であれば持ち出しPC内のデータ暗号化を行った方が良いと思います。

    あ、あとP2PがPSPになっちゃってますよ。

    返信削除
  2. PSPwwwww修正しました、ありがとう!

    あと、PCの暗号化は悩んだんですけど入れてないですよね。PCの暗号化のコストがむちゃくちゃ高いので、中小企業だと導入できない、というのが理由なんですけど...いれておいたほうがいいかなぁ。

    返信削除

コメントを投稿

このブログの人気の投稿

リモートワークは仕組みじゃなくて文化です

ここ最近、コロナウイルス関連の報道が数多くあるが、その中でも多くの企業がリモートワークを推奨するという記事やプレスリリースが注目を浴びている。それ自体はもちろん大変望ましい。不要な対面での接点を減らすことで感染リスクを抑えることが出来るし、通勤ラッシュや首都圏への経済集中も抑制出来るからだ。

だがちょっと待ってほしい。リモートワークというのは社員が在宅で働くことだけを指すのではない。社員が在宅で働いても出社時と同じパフォーマンスが出ることをリモートワークというのだ。だからこの記事のタイトルで「リモートワークは仕組みじゃなくて文化です」と書いた。

弊社がリモートワークを導入したのは2011年の東日本大震災がきっかけだけれど、9年経った今、どのようにリモートワークを運用して、そしてパフォーマンスを維持しているかを共有したいと思う。以下のことが文化として根付けば、その会社のメンバーはリモートワークでもオフィスでも同じようなパフォーマンスが発揮出来るはずだ。

1.勤怠を厳密に管理しない え、だってダルくないすか。管理するの。何時に働き始めて何時に働き終わったかなんて関係ないっしょ。大事なのは働いた結果のアウトプットであり、働いた時間なんか問題じゃない。

2.休憩も厳密に管理しない え、だってダルくないすか。管理するの。何時に休憩し始め(ry

3.工数を厳密に管理しない え、だ(ry

4.目に見えるアウトプットを意識する 当然のことながら、仕事は結果が全てであり、結果が出なければどこで何時間働いたって意味がない。そして結果というのは目に見えなければ意味がない。 だからこそ、アウトプットを出すこと、アウトプットを評価することに徹底的にこだわる。それはドキュメントかもしれないし、お客様やパートナーとコミュニケーションするためのメールかもしれないし、社内の改善活動かもしれないし、メンバーへのフォローかもしれないし、ブログかもしれないし、Slackでの発言かもしれない。 とにかく目に見えないものは周りも認められない。目に見えるアウトプットしか評価されないし、そのために徹底的にアウトプットするんだ、という意識を社内でしっかりと作ることが重要。

5.コミュニケーションコストを意識する どんなに頑張っても、オンラインのコミュニケーションはオフラインのコミュニケーションの密度を越えられない…

41歳になりました

30代の頃は40歳になるまでの1年1年を意識しながら生きていたんだけど、40歳を越えてから自分の年齢にまるで興味が無くなり「あれ、今40歳だっけ、41歳だっけ」くらいの感じだったのですが、昨晩妻に確認したところ今日で41歳になりました。本厄ですが今の所は大きなトラブルもなく、もしかしたらコロナウイルスって僕が厄年のせいかな?くらいの気持ちでおります。

折角なので近況報告です。

コロナウイルス ... 現在弊社ではBCP体制として全オフィス閉鎖、全員在宅勤務、出張禁止となっています。僕も在宅勤務をしており、3月の出張を全てキャンセルしました。丸々一ヶ月自宅にいるのはなんと2015年8月以来4年7ヶ月ぶりです。ほぼ5年じゃん...この5年出張しかしてねえじゃん俺...おかげで毎朝6時起床で飲酒ゼロという健康的な生活を送っております。仕事 ... 2019年7月に弊社執行役員から取締役に変わったのですが、「使用人兼務役員だし大した変わらないだろ」と高をくくっていたところ、なんだかんだと自分の部署以外にも目を向ける必要が出てきたり、海外拠点のビジネスについても責任が伴ったりと、なんか結構変わっちゃったな、という感じです。41歳もまた新しいチャレンジをする一年になる予定なのでお楽しみに。家庭 ... 長女が大学進学して一人暮らしを始め、一安心していたところに長男が酒と煙草で停学2連チャンし自主退学、何とか私立高校に編入させて寮に引っ越しをさせ、結果的に妻と次男と3人暮らし、というのが現状です。この長男についてはまぁちょっと色々酷い時期があったものの、正直なところ僕も他人様に胸を晴れるほど立派な高校生だったわけでもないし、長男自体は編入後にすごく大人になったことから、コレ自体はまぁ長男にとって必要な経験だったんだろう、とポジティブに捉えています。彼も来年は高校卒業を迎えるので、ちゃんと手に職つけてくれると良いな。あと長女には2歳年上の彼氏が出来ました。うん、お父さん大丈夫。お父さん冷静。お父さんちょっとジム行ってくる。英語 ... 1日2時間の英語の勉強時間をキープし続けて、まぁとりあえず海外に独りで行っても困らないし、英語のミーティングは70%くらいは言ってることわかる、たまに返事も出来る、くらいが現状。今年も勉強頑張ります。大学 ... 僕は工業高校卒ですぐ就職しており大学…

贅沢に対する恐怖に怯えている

僕が小さい頃、我が家は貧乏だった。

とは言え、極端なほどではない。家もあったし、サッカーという習い事も出来ていたし、三食ちゃんと食べることが出来た。でも例えば外食はしないとか、ブランドものの服は着ないとか(今思い出せばジャージ以外着たことなかった)、旅行には行かないとか、ファミコンを買ってもらえないとか、そういうレベルでは裕福ではなかった。母子家庭だったので父親はおらず、慰謝料は一銭も入ってくることがなく、母はいつも頑張って働いてくれていた。

そんな母の姿を見ていたから、僕もとにかく金を稼がなくては生きていないという想いが強く、中学時代は知り合いの伝手でちょっとした日銭が稼げるアルバイトをしていて、中学卒業後にはすぐに手に職を得ることが出来そうな工業高校に進学した。高校時代は平日も土日もずっとアルバイトで、年末年始も休まず働いていた。その後進学したいと思うようになり、高度専門士の取得が可能な4年生の専門学校への入学が決まっていたものの、金銭的な事情から進学を諦めざるを得なかった。結果として、高校卒業にすぐ就職した。

その後21歳という若年で結婚し、長女が生まれたけど、もちろん高卒で21歳の若者の給与なんかたかだか知れており、必死に働いた。本業だけでは食って行けず、知人の紹介で副業を持ち、朝8時から夜中3時まで働いた。結婚後の幸せ太りで10kg増えた僕の体重は、一番過酷だった2ヶ月間であっという間に元に戻った。

そんながむしゃらに生きて、今の僕がある。

率直に言えば、今の僕は僕の人生の中で最も金銭的な余裕がある。40歳になり、ある程度の給与を貰えるようになり、幸いなことにボーナスまでもらえる(僕がボーナスをもらったのは今の会社が初めてだ。ボーナスを初めてもらった時、「あ、ボーナスって本当に存在するんだな」と思った)ような状況だ。すごく幸せなことだと思う。

しかし、だからこそ、僕は贅沢が怖い。贅沢をすること、それに慣れること、そして贅沢にスポイルされることが怖い。必死に働いて、節約して、誰もやらないような泥臭い仕事をして、それで何とか生きていた経験の積み重ねが、今の僕を作っている。僕が今仕事をさせてもらえているのは、その経験を買ってもらえているからだけれど、それも「たまたま」であり、仕事がなくなった時にまた同じように必死の努力をしなくてはならない。必死の努力をするのは…