スキップしてメイン コンテンツに移動

情報セキュリティ対策チェック項目一覧

僕の会社は社員20人以下の中小企業なのですが、半数以上はこの1年以内に入社しており、急激に増加した状況です。現在社内の情報整備に追われているのですが、社員に対し、情報セキュリティ対策について個別にチェックしてもらいたいと思い、以下のような一覧を作りました。一般的なものが多く、どんな会社でも使えるような、汎用的な内容ばかりだと思います。他にも追加すべき項目があれば、ぜひご指摘頂ければと思います。

------------------------
[PC(物理的)]
 ・事務所内PCは、デスクトップ・ノート問わず、セキュリティワイヤを装着する。
 ・事務所内ノートPCについては退室時施錠可能なキャビネットに保管する。
 ・PCを持ち出しする場合は適切に管理する。可能であれば施錠可能なカバンを使用する。常に体から離さず、交通機関では膝上にカバンを置き、ストラップを手に握る。肩掛けカバンの場合はストラップを体に通し襷がけにすること。網棚等への配置・足元への配置は厳禁。
 ・飲酒が想定される場合は極力PCを持ち歩かない。どうしてもPCを持ち飲酒する場合はPCをもっていることを常に意識し、カバンを体から話さない、もしくは身につけたままにすること。
 ・持ち出したPCを自宅に保管する場合、施錠可能な場所に保管すること。机上への放置は厳禁。
[PC(OS/ソフトウェア等)]
 ・BIOSパスワードを設定し、起動時にパスワード入力を求める。
 ・可能であればHDDパスワードを設定する。
 ・OSはユーザ名及びパスワード入力によるログイン/ログオンを必須とする。
 ・スクリーンセーバによるコンピュータロックを有効とし、復帰にはパスワードを求める設定にする。
 ・OS及びソフトウェアは常に最新バージョンを使用する。
 ・アンチウイルスソフトの導入を必須とし、ウイルスパターンファイルは常に最新バージョンを使用する。
 ・Winny、WinMX等のP2Pファイル共有ソフトの導入を禁ずる。導入が発見された場合罰則を適用する。
 ・不要なソフトウェアは極力導入せず、導入後不要と判断されるものは随時消去する。
 ・ファイルを削除した場合には、完全消去ソフトを使用し、PC上から完全にデータを削除する。
[ユーザ名・パスワード]
 ・パスワードについては推測の難しい強固なもの(原則英大小文字・数字・記号を使用した12文字以上)を使用する。ただし、サービスにより使用文字列・文字数に制限がある場合はその限りでは無い。
 ・個人にて社外サービスを使用する場合、会社にて使用しているユーザ名・パスワードは使用しない。
 ・パスワードは全てのサービスにて統一せず、個別に設定することが望ましい。
[Webブラウザ]
 ・ユーザ名やパスワード等の入力情報は極力保存せず、保存した場合は適切に管理を行う。
 ・キャッシュ及びクッキー等の情報は定期的に削除されるよう設定を行う。
 ・社内機密環境やお客様環境のURLはブックマークに登録しない。登録してある場合は全て削除すること。
[E-mail]
 ・メールソフトウェアの起動時及びアクティブ時にパスワード入力を求められることが望ましい。
 ・お客様のメールアドレスは極力アドレス帳に登録する。ただし、既に取引が終了したお客様、長期的に連絡を取っていないお客様の情報については削除を行う。お客様の氏名及びメールアドレスは個人情報であることを認識すること。
 ・誤送信防止のため、メールアドレスの手入力は避ける。
 ・複数のお客様にメールを送信する場合、メールアドレス情報の共有が不要な場合は、各メールアドレスをBCCに記述する。
 ・メールソフトの機能により、送信前に再度アドレスチェック画面を表示する機能がある場合には、機能を有効にする。
 ・メールを送信する前に、送信先及び内容、添付ファイルについて別の社員によるダブルチェックを行う。
 ・転送を行う場合、転送元のメールに記載された情報について、本当に転送が必要なものなのか、慎重に考慮する。
 ・お客様にメールにて資料を送付する場合、パスワード付圧縮にて送付する。パスワードは資料送信のメールとは別手段(TEL、事前に取り決め、別メール)にて共有する。
 ・お客様からメールにて資料をご送付頂く場合、パスワード付圧縮にて送付頂くようご依頼する。パスワードは資料送信のメールとは別手段(TEL、事前に取り決め、別メール)にて共有する。
 ・社外サービスを利用する場合、原則会社のメールアドレスを使用して登録してはいけない。
[TEL]
 ・お客様の電話番号は極力アドレス帳に登録する。ただし、既に取引が終了したお客様、長期的に連絡を取っていないお客様の情報については削除を行う。特に携帯電話番号はお客様個人の有するものである場合が多々あるため注意。お客様の氏名及び携帯電話番号は個人情報であることを認識すること。
 ・必ず電話先の相手が本人であることを確認し、本人以外の場合は不要な情報を提供しない。
 ・留守番電話には重要な情報を登録せず、連絡手段(再度連絡する/折り返し連絡がほしい)のみを登録する。
 ・携帯電話はキー操作ロック機能にて、パスワード入力を求める。アドレス帳操作に個別にロック機能がある場合は有効にする。
 ・携帯電話は原則ストラップを取り付ける。ネックストラップもしくはクリップ付であることが望ましい。
 ・社有・個人を取らず、お客様の電話番号が登録された携帯電話を紛失した場合、速やかにセキュリティ管理者に届出ること。 
 ・自身の携帯電話や自社の電話以外からお客様に電話した場合、可能な限り発信履歴を削除する。
[FAX]
 ・送信先FAX番号については、入力後別の社員にてダブルチェックを行う。
 ・FAXは事前にテストFAXを送信後、電話にてテストFAXの到着を確認し、リダイアル機能にて資料を送信する。
 ・FAX送信後の資料については速やかに回収、必要に応じて廃棄することとし、FAX周辺に放置しない。
 ・自社のFAX以外からお客様にFAXした場合、可能な限り発信履歴を削除する。
[お客様資料]
 ・事務所内のお客様に関する資料は全て施錠可能なキャビネットに保管する。
 ・事務所内のお客様に関する資料は全て管理番号を割当て保管する。管理番号に基づき、定期的に資料の保管状態を確認する。
 ・資料の参照及び貸し出し状況は管理簿にて管理する。持ち出しは原則厳禁とし、やむを得ず持ち出すを行う場合はセキュリティ管理者の承認を得る。また、持ち出しについても別途管理簿にて管理する。
 ・紙等物理的にお客様資料を持ち歩く場合は厳重に管理し、不要な資料は即シュレッダーにて廃棄処理を行う。
 ・お客様資料は原則PCに保存せず、社内ファイルサーバに保存する。社外からお客様資料が必要な場合はVPNを使用して参照を行い、参照後は全てのキャッシュを削除する。
 ・個人PCにて業務資料を保存及び利用することは厳禁。
 ・お客様からメールにて頂いた資料は、社内ファイルサーバに保存後、添付ファイルを削除する。
 ・社内の過般媒体(USBメモリ、CD、DVD)は適切に管理し、不要なものは情報削除後廃棄する。USBメモリの場合データ消去ソフトにて情報削除を行う。CD、DVDはメディアシュレッダーにて廃棄する。
 ・過般媒体はあくまで一時的な扱いとし、使用後はデータを完全削除する。過般媒体にデータを残しておかない。
------------------------

コメント

  1. 可能であれば持ち出しPC内のデータ暗号化を行った方が良いと思います。

    あ、あとP2PがPSPになっちゃってますよ。

    返信削除
  2. PSPwwwww修正しました、ありがとう!

    あと、PCの暗号化は悩んだんですけど入れてないですよね。PCの暗号化のコストがむちゃくちゃ高いので、中小企業だと導入できない、というのが理由なんですけど...いれておいたほうがいいかなぁ。

    返信削除

コメントを投稿

このブログの人気の投稿

これで完璧!本当に役立つテレワークマナー

コロナ禍によってテレワークを導入する企業が増えた昨今、皆様いかがお過ごしでしょうか。僕は4連休明けでダルかったので有給を取得し妻とデートしてきました。イェーイ。 さて、 弊社 も今年2月以降は全社員完全テレワークに移行しました。弊社は2011年からテレワークを導入し各自が自由に活用していたため、特に大きな問題も無くテレワーク体制に移行したのですが、全社員完全テレワークは初めての状況であり、幾つかの課題が発生しました。特に、その状況下でも新しく入社する社員がいますので、これまで社内で培ってきた暗黙の了解が共有出来ないことは大きな課題でした。 ということで、本記事では、弊社のテレワークマナーについてご紹介したいと思います。皆さんのご参考になれば幸いです。 業務の開始と終了はチャットで宣言する これはオフィス出社時でもテレワークでも変わらないのですが、業務開始時と業務終了時にはSlackで宣言しています。弊社ではこれを開店/閉店と呼んでいます。 気をつけて頂きたいのは、これは 報告ではなく共有である ということです。業務開始と業務終了を共有しておくことで、同僚が相談したり依頼をしたりできる時間を把握出来ます。この共有をしておかないと、業務開始前や業務終了後にMentionがバンバン飛んで来るかもしれません。もちろん飛んできたからって怒るメンバーはいないのですが、お互いちょっとした気遣いが出来るように、自分が働いている時間は共有しておくと良いでしょう。 これは休憩時間も同様です。昼休みにのんびりゲームしているときにスマホがブーブー鳴っていたら気が散るかもしれません。休憩開始と終了をSlackで宣言することでゆっくり休憩することが出来ます。休憩中は Display name の後ろに「休憩中」等と付けておくのも良いでしょう。 マイクとスピーカーはPC内蔵のものを使わない PCの性能は以前と比べて格段に上がっていますが、残念ながらマイクとスピーカーはそうではありません。マイクについては音質は向上しているものの、指向性が無いために周囲の音を拾ってしまいます。そしてPC操作時には、どうしても打鍵音がダイレクトに響いてしまいます。またスピーカーは、まぁ正直全く駄目です。音楽を聞くのにさえ向いていないのに、音声のやり取りなんか出来るわけがない。 マイクとスピーカーは必ず別に用意しましょ

「許可を得るな、謝罪せよ」が意図していること

 弊社ではセルフマネジメントとアウトプットファーストを行動指針として掲げていますが、セルフマネジメントを象徴する言葉としてよく使われるのが 「許可を得るな、謝罪せよ」 です。 細かい話は 以前ブログにした のでそちらを読んで頂くとして、この言葉が意味するのは「アクションするのにいちいち許可を得る必要はない。許可を取る時間が無駄。やっていいですかじゃなくてやりましたと言えばいい。その結果間違っていれば謝れば良いだけ」です。 何故この方針を取るのか、この方針によってどのような結果を期待しているのか、を改めて整理したいと思います。 アクションのスピードを上げたい これは上述した意味の通りで、何らかの施策や企画があるときに、上長の許可を取るために資料を作ったり、打ち合わせしたり、下調べをしたり、という時間が無駄だからです。 この考え方の前提として「小さな失敗を早くたくさんする」というのがあります。どんな施策も企画も、正解なんて誰にもわからないし、やり方次第で変わるものです。アイデアの時点であーだこーだ言うより、実際に手を動かしてやってみて、その結果から継続の判断を行うことで、リスクを小さく、コストも小さく、たくさんアクションすることが出来ます。 モチベーションを持って取り組んでもらいたい 何でもそうですけど、人に言われたことをそのままやるより、自分で考えたことを自分のやり方でやるほうが、面白いです。僕が仕事をする上で、または僕がピープルマネジメントする上で、一番重要視しているのは、面白いかどうか、です。 担当者がモチベーションのないままやって成功することなんて(ほとんど)ありません。その施策や企画の実施に一番モチベーションがあるのはそれを考えた人なので、その人に主導してもらうのが一番成功率が高いです。 主体性を持って取り組んでもらいたい モチベーションと同様に、担当者が主体性のないままやって成功することなんて(ほとんど)ありません。その施策/企画を自分ごととして捉え、だからこそ知恵を絞って、全力を発揮する、つまり主体性を持って取り組むことが、一番成功率が高いです。そしてもちろん、一番主体性を持てるのはそれを考えた人です。 なお、主体性と責任は違います。前述の通り「小さな失敗を早くたくさんする」ためには、失敗に対して責任を追求するのではなく、結果と知見を追求する、という文化が

組織を構成するビルダー、フォロワー、ワーカーについて

僕の経験上、新しい事業体を立ち上げたときの組織構成は大きく3つに分かれる。というか3つのタイプを必要とする。なお、ここではそもそもパフォーマンスが出ない人を含めていない。 その事業を成功させることに高いモチベーションがあり、その結果の責任も積極的に取るタイプ。会社の創業者とか新部門の責任者とか、立ち上げメンバーがコレに当たる。 もともとはその事業に対して特にモチベーションが無いんだけど、事業を担当することによって深くコミットし、結果としてモチベーションが高くなるタイプ。 事業に対するモチベーションが無いからコミットもしないんだけど、担当する業務はしっかりとこなすタイプ。 1をビルダー、2をフォロワー、3をワーカーとこの記事では呼称する。 事業が立ち上がったばかりの組織構成として、ビルダーは当然少ない。可能な限りフォロワーを増やすことを僕はお薦めする。事業のスタート時期というのは不足していたりそもそも無かったりすることがたくさんあり、それらをプロアクティブに拾い続けて解決するためにはモチベーションが必要だからだ。この時期の組織では、業務に対して合うスキルセットの人を採用する(=ワーカー)より、企業理念や事業ビジョンにコミットしてくれる人(フォロワー)を採用したほうがスピードが上がる。ワーカーがあまりに多いと作業指示が無いゆえの作業待ちが発生し、スピードが上がらない。比率的には1:6:3くらい。 事業がある程度立ち上がって順調に拡大するフェーズになると、今度はフォロワーをどうやってビルダーに成長させるか、ワーカーをどうやってフォロワーに成長させるか、が課題になる。このくらいのフェーズではマネジメント教育とかコーチング研修なんかが必要になる。企業理念や事業ビジョンを更に明確にし、言い続け、常に意識させる作業が必要になる。 そして、ある程度事業の形が出来てくると、ふわふわした仕事が少なくなるので、ワーカーを業務に対してアサインしやすくなる。こうなると2:4:4くらいの比率でも上手くいく。それでもワーカーを過半数以上にするのは僕はおすすめしない。事業にコミットしない人が増えると組織全体が「コミットしないのが当たり前」「コミットしない人が評価されて不公平」みたいな空気感が生まれちゃうことが多い。なので過半数以上は事業にコミットする人で固めたほうが良い。 つまり、組織の責任者は「