12. 社内ネットワークのための情報セキュリティ管理

現在多くの企業で社内のパソコンをネットワーク化して運用していることと思います。ネットワーク化することで、会計システムや稟議といったプログラムを、複数の社員が同時に利用することを可能にし、業務効率が向上することが導入している大きな理由でしょう。

社内ネットワーク化を導入している企業の多くは、情報漏洩を防止するために様々なセキュリティ対策も講じているようですが、外部からの脅威には対策を施しているものの、内部からの脅威には手をつけていないというケースがよく見られます。

今回は内部からの脅威にも対応できる社内ネットワークのセキュリティ対策についてご紹介したいと思います。

情報漏洩事故はほとんどが社内に原因あり！

情報漏洩事故は、人為的なミスを含め、多くが社内で発生しています。主な要因はメールの誤送信や間違った処理での流出、持ち出したパソコンやデータの紛失やウイルス感染による流出などです。販売目的などで、故意に情報を盗んでしまう社員がいる可能性も捨てきれません。

これらの人為的なミスや不正は社員教育によって徹底することは当然ですが、社員の倫理観のみに期待するだけでは社内からの情報漏洩を防ぐことはできないのが実情です。

よって、社内ネットワーク全体の情報セキュリティを管理する仕組みが必要とされています。

社内ネットワークにあるシステムやデータは、企業にとってとても重要な情報です。取引先の情報、社員情報、技術的な情報が含まれていることもあるでしょう。にもかかわらず、経営者から新入社員までの全社員が同じアクセス権を保有している企業は少なくありません。

会社にある機密情報は、職位はもちろんのこと、部署に応じてアクセスできる権利を制御するべきです。

例えば、「データを閲覧するだけの権限」「データを編集できる権限」「データを出力できる権限」といったように権限を分けるのです。これらの権限は職責や担当業務に応じて制御することにより、不正流出はもちろんのこと、メール誤送信のようなケアレスミスで情報漏洩が起きる危険を少なくすることを可能にします。

社員によって異なるアクセス権を提供するためには認証サーバーを導入する方が良いでしょう。認証サーバーを導入することによって権限の細分化はもちろん、多様な権限制御を可能にしてくれます。またネットワーク管理者の管理業務の軽減にもつながります。

異なるアクセス権限を付与したとしても、認証を行うパスワードの管理がずさんであっては対策を講じた意味をなしません。パスワードが流出してしまうと、権限を持たない者による「なりすまし」のアクセスを許してしまうので、情報漏洩の危険が増大します。

パスワードは正しく設定し、悪用されたりしないようにしっかりと管理することが重要です。また定期的にパスワードを変更することも決して忘れてはいけません。

「ログ管理とは何？」という方から、さらに活用したい方まで、ログ管理をわかりやすく説明します。≫ ログ管理とは？