IPA(独立行政法人 情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」を参考に、情報システム管理者になった場合に担当者が行うべきことを整理してみましょう。

ソリューション最終更新日: 20190923

社内でひとりの情報システム管理者になったら

  • このエントリーをはてなブックマークに追加

情シスとは、情報システムの略でネットワークやパソコンまたはその周辺機器を運用管理するための仕組みです。企業ではITトラブルを未然に防いだり、実際に大小様々なトラブルに対応することが主な業務になると思いますが、小規模事業者では、ひとりで情報システムを任される「ひとり情シス」と呼ばれる状態や、別の仕事と兼任で情報システムを任されるということも少なくありません。

IPA(独立行政法人 情報処理推進機構)が公開している「中小企業の情報セキュリティ対策ガイドライン」を参考に、情報システム管理者が行うべきことを整理してみましょう。 どんなことに注意して業務を遂行したらいいのかを紹介します。

社内におけるITシステムの現状把握

IT・システム管理者の役割は、社内にあるコンピューターやネットワークを運用・管理・保守することです。ITの普及によりさまざまな業務の効率が向上する一方で、秘密情報や個人情報の漏えいやサイバー攻撃など、これまでにはない多様なトラブルが発生するリスクも高まっています。そんな中、ITの安全な利活用を支えるIT・システム管理者は、企業成長において不可欠な存在であり、大きな役割を担っているといえます

ではさっそく、IT・システム管理者になった時にまず何をすればいいか、考えてみましょう。
最初にすべきことは、現状を把握することです。オフィス内にはPCやサーバーなどのIT機器が何台あるのか、そこではどんなソフトウェアが使用され、どのバージョンかなど、自分がこれから管理していくシステムの全体像を掴むことは、とても重要です。

現状把握ができたら、それぞれのパソコンを管理しやすい環境を整えましょう。端末を識別する番号を付けたり、各パソコンの情報をまとめた管理シールを貼っておくのも1つの手。また、自社で利用している情報システムをまとめた台帳を作成したり、図式化するなどしておくと、トラブルに対する対策やそれにかかる予算を検討しやすくなります。

出典:“中小企業の情報セキュリティ対策ガイドライン”P23「IT 利活用方針と情報セキュリティの予算化 」より出典:“中小企業の情報セキュリティ対策ガイドライン”P23
「IT 利活用方針と情報セキュリティの予算化 」より

OSやソフトウェアは常に最新の状態にする

社内のITシステムの全体像が掴めたら、できるところからセキュリティ対策を実践していきましょう。

個々のパソコンで使用しているOSやソフトウェアは、時間の経過とともに脆弱性と呼ばれる不具合(バグ)が発見されることがあります。これは、セキュリティ上の弱点といえるもの。これを放置しておくと、セキュリティ上の問題点が解決されず、ウィルスなどに感染してしまう危険性が高まります。

脆弱性はプログラムの不具合や設計ミスなどが原因で起こりますが、それが発見されると、OSやソフトのメーカーは脆弱性を修復するための更新プログラムを配布します。これをダウンロードしてOSやソフトをアップデートし、常に最新な状態にしておくことが大切です。OSやソフトウェアのアップデートは、定期的に行うよう心がけてください。

個人でソフトウェアのインストールやアップデートをさせない

個々のパソコンに、使用者が勝手にソフトウェアをインストールしたり、アップデート(バージョンアップ)したりすると、せっかく把握した情報が無駄になり、管理ができなくなってしまいます。インターネットからダウンロードできるものの中には、悪意のあるプログラムが含まれているものや、脆弱性が存在しているものもあります。また、使用するOSやソフトウェアの種類やバージョンを統一しておけば、運用の効率化や障害時のスムーズな対応にもつながります。効率的にITシステムを管理するためには、会社で許可されていないソフトウェアをパソコンに入れさせないことが必要です。ソフトウェアのインストールやアップデートをする必要がある場合は、必ず事前にIT・システム管理者に一報を入れてもらい、安全性が確認できてから行ってもらうようにしましょう。

私物端末の業務利用(BYOD)は避ける

BYODとはBring Your Own Deviceの略で、パソコンやタブレット端末、スマートフォンなど、私物のデバイスを持ち込むという意味です。こうした私物の端末を職場に持ち込んで業務に利用することは、コスト削減や生産性の向上につながる一方で、盗難や紛失による情報流出、私物端末から社内のIT機器へのウィルス感染など、セキュリティに関する危険性が高い行為です。

また、先述したソフトウェアと同様に、現状把握が困難になるという面もあります。そのため、できる限り私物端末の利用や持ち込みは慎むのが理想です。どうしても必要な場合は、事前に端末の状態を確認して安全性を確保したり、接続できるネットワークに制限をかけるなど対策を講じ、IT・システム管理者の許可や管理のもとで利用するのがおすすめです。

端末ごとのセキュリティ対策

社内のIT機器を把握し終えたら、ウィルスの侵入やデータの漏えいが起こらない状態かどうか、個々の端末の設定を確認していきましょう。

ウィルス対策ソフトを設定する

近年、悪質なウィルスはIDやパスワードを盗んだり、遠隔操作をしたり、ファイルを勝手に暗号化するなど多様化しています。電子メールをプレビューしたり、Webブラウザでホームページを閲覧するだけでも感染するなど巧妙化しており、トラブルの規模や内容は拡大の一途を辿っています。

パソコンやネットワークをウィルスから守るためには、ウィルスへの適切な対策が不可欠です。ウィルス感染を防ぐためには、パソコンにウィルス対策ソフトを導入し、ウイルス定義ファイル(パターンファイル)を常に最新の状態にしておきましょう。

パスワードを強化する

パスワードは、社内情報へのアクセスの可否を決める重要なものです。しかし近年、設定したパスワードが推測や解析されたり、ネット上から流出したID・パスワードが悪用され、不正ログインの被害が増えています。

端末や情報の不正利用を防ぐためにも、パスワードを考える時はできる限りセキュリティ効果を高めるため、「長く」「複雑に」「使い回さない」という点に注意し、推測されない安全なパスワードを作成してください。また、使用したパスワードは複数のシステムやサービスで使い回さず、定期的に変更すること、他人の目に触れることがなくかつ自分が忘れない方法で、厳重に保管することもポイントです。

このほか、PCのセキュリティ対策については、下記の記事も参考にしてみてくださいね。

“PCを使う人が知っておくべき最低限のセキュリティ対策”
https://www.pc-koubou.jp/magazine/3271

データの管理とバックアップ

データの管理やネットワークで接続された機器の設定を間違うと、無関係な人に情報を覗き見られ、大切なデータの漏えいにつながります。許可していない外部の人間から社内ネットワークに不正アクセスされた場合、ウィルスと同様にデータは筒抜け状態になってしまいます。社内にデータ共有用のサーバーがある場合は、無関係な人がデータにアクセスできる状態になっていないか、しっかりとリスク管理をしましょう。

まず、従業員の利便性を保ちつつ、安全性が両立できる適切なアクセス権の設定を行うことが大切です。またサーバー上や端末に入っているデータは、サービス停止やデータの消失・改ざんなどに備えて定期的にバックアップをとり、万が一の場合に復旧できるようにしておきます。社内にある端末のデータバックアップについては、下記の記事も参考にしてください。

“パソコンのデータバックアップ方法”

https://www.pc-koubou.jp/magazine/15980

社内のリテラシー教育

近年、IT機器やシステムが社会に浸透しているとはいえ、社内の従業員全員がIT機器に強いわけではありません。どれほど高機能なセキュリティ機器やソフトを導入して、IT・システム管理者が適切な対応を行っていても、それを使用する他の従業員の理解や活用方法にばらつきがあれば、確実な運用・管理・保守は難しくなり、セキュリティやコンプライアンスに関する重大なトラブルを招く恐れもあります。

そうした事態を防ぐためにも、社内でITリテラシーについて教育を行うことは、IT・システム管理者にとって大きな役割の1つです。

社員のITリテラシーを向上させるためには、基本的な知識や会社の方針を共有する機会を定期的に設けることが必要です。新しい機器やシステムを導入するタイミングや、役職や部署など必要なセグメントごとに研修を行いましょう。

研修では、まず情報セキュリティに関する脅威を伝え、セキュリティに対する従業員の意識を高めることが大切になります。取引先や関係者と偽ってウィルス付きのメールを送ってきたり、正規のウェブサイトに似せた偽サイトを立ち上げ、ID・パスワードを盗もうとするなど、攻撃の手口は年々巧妙になっています。そうした事例を知ることは、適切な対策につながるため、最新の情報を共有するよう心がけてください。

このほか、

・パスワードの適切な設定・保管方法
・パソコンや持ち運び可能なメディアを利用してデータを外部に持ち出す際の注意点
・顧客から受け取ったデータの取り扱い方法

など、具体的な社内ルールを確認しておきましょう。

中小企業のIT・システム管理チェックシート

いかがでしたか?IT・システム管理者を任された時に、まず行うべき業務の流れが少し見えてきたでしょうか。

最後に、今回説明した内容を「中小企業の情報セキュリティ対策ガイドライン」に記載されている「自社診断のための25項目」をもとに、表にまとめてみました。

No 診断内容
基本的対策 1 パソコンやスマホなど情報聞きのOSやソフトウェアは常に最新の状態にしていますか?
2 パソコンやスマホなどにはウイルス対策ソフトを導入し、ウイルス定義ファイルは最新の状態にしていますか?
3 パスワードは破られにくい「長く」「複雑な」パスワードを設定していますか?
4 重要情報に対する適切なアクセス制限を行っていますか?
5 新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?
従業員としての対策 6 インターネットを介したウイルス感染やSNS への書き込みなどのトラブルへの対策をしていますか?
7 パソコンやサーバーのウイルス感染、故障や誤操作による重要情報の消失に備えてバックアップを取得していますか?
8 重要情報が記載された書類や電子媒体を持ち出す時は、盗難や紛失の対策をしていますか?
組織としての対策 9 従業員に守秘義務を理解してもらい、業務上知り得た情報を外部に漏らさないなどのルールを守らせていますか?
10 従業員にセキュリティに関する教育や注意喚起を行っていますか?
11 個人所有の情報機器を業務で利用する場合のセキュリティ対策を明確にしていますか?
12 情報セキュリティ対策をルール化し、従業員に明示していますか?

この表では、現在自社で行われている情報セキュリティ対策がどのくらい実施できているかを把握できます。こちらを参考にすると、自社で実施すべき対策が見えてくると思いますので、ぜひ活用してみてください。

IPA(独立行政法人 情報処理推進機構)について
https://www.ipa.go.jp
中小企業の情報セキュリティ対策ガイドライン
https://www.ipa.go.jp/security/keihatsu/sme/guideline/

パソコン工房 NEXMAG[ネクスマグ]編集部アイコン画像
ライタープロフィール パソコン工房NEXMAG
[ネクスマグ] 編集部

パソコンでできるこんなことやあんなこと、便利な使い方など、様々なパソコン活用方法が「わかる!」「みつかる!」記事を書いています。

記事を
シェア