情シス奮闘記 中小企業編
第1回 テーマ「セキュリティ教育」
2017年2月
えっ、ノートPCを置き忘れた!? 持ち出し禁止って言っていたのに…
~社内教育こそセキュリティ対策の基本。自分事として考えてほしい~
機械部品製造業のアミダ社は社員が50人余り。情報システム担当は、総務と兼任の中村和人氏が一手に引き受けている。市販のパッケージソフトウェアを使った給与・会計システムから、10年前にSIベンダーが作ったという資材購入・製品販売システムに至るまで、すべての面倒をみているのが中村氏だ。実質的に1人で情シスを担当している状態なので、セキュリティ対策はおざなりになりがち。そんなアミダ社には日々様々な問題が起こっている。
登場人物
- アミダ社:社員50人あまりの機械部品製造業。関東に本社・部品工場。中国に提携する下請けメーカーがある
- 中村 和人:総務部所属。情シスを1人で取り仕切っている。入社10年目
- 江窪 満:アミダ社の社長。2代目だからか、どこかのんびりしているところがある
- 仙道 淳:営業職の社内ユーザー。トラブルをよく起こす社員
- 海田 大輔:外部のシステム会社のSE。中村の友人
- 加藤 彩:総務部の女性社員。陰ながら中村をサポートしている
*文中の氏名・社名はいずれも実在するものではありません
ノートPCを飲み屋に置き忘れた!
今年も顧客回りと新年会で終始した正月の始業日。翌日、アミダ社の総務部社員・中村和人が会社に出ると、営業部の仙道淳が浮かない顔をしている。
「どうした。昨日、飲み過ぎたか」
「なくしちゃったんです」
「えっ、何を?」
「ノートPC……。たぶん、3次会のバーだと思うんですけど」
「あれからまた行ったのか。バーには連絡したの?」
「それが夕方からしか店を開かないんで」
「まずいな、それは。会社で使っているパソコンだろう?」
「ええ、営業報告書が途中だったんで、自宅で残りを仕上げようかと思って……」
「あれほど会社のノートPCを持ち出すのは厳禁と言っているのに」
「すいません……」
仙道が憔悴しているのは、なにも二日酔いのせいだけではない。会社の重要書類が入っているパソコンを、規則に反して持ち出したばかりか、置き忘れてしまったことの重大さに恐れおののいているからだ。
「いつも、困った人ですよね、仙道さん」
そう話しかけてくるのは、総務部で中村の隣に座る加藤彩だ。
「セキュリティ対策、もっとバシッとやらないとだめなんじゃないですか」
「それはそうなんだけれど……。社長がなあ……」
中村の顔も浮かない。社長はITオンチを自称する人。中村が常々、セキュリティ対策の強化を訴えているのに、なかなか話を聞いてくれない。
問題を整理するために、外部セミナーを受講
幸い、仙道のノートPCはバーのマスターが保管してくれていて、無事に戻ってきた。ただ、これが悪意ある第三者にわたっていたらどんなことになったか。
「うちみたいな会社の営業報告書なんか、興味を持つやつ、いないんじゃないですか」
ノートPCが戻ってきた次の朝には、仙道はひと事のように平気な顔をしている。
「社内のセキュリティ意識を高めるには、どうしたらいいかなあ」
その晩、居酒屋で中村の前にいたのは、友人の海田大輔だ。大手のシステム会社を経て、今は小さなソフトウェア会社を経営している。中村は社内システムについて事あるごとに海田に相談してきた。
「仕事用のパソコンを自宅に持ち帰るなんて、基本中の基本がなっていないよな。それがいかに重大な問題を引き起こすか。社員がわかっていないからだと思うよ。それを説明するおまえも、頭の中が整理されていないんじゃないか」
「そうかもな。セキュリティ対策を基礎からしっかり勉強して、社内に徹底させなくちゃならないんだけれど、本を読んだだけじゃ、なかなかピンとこなくてな」。それ以上に、他のシステムの管理で忙しく、勉強する時間がなかなか取れないのが中村の悩みだった。
「一度、セキュリティセミナーみたいなのに参加してみたらどうだ。専門のコンサルタントが一から教えてくれるよ」
「でも、そういうのって高いんだろう。うちの社長がウンというか」
「無料のセミナーも探せばあるよ。セキュリティの基本中の基本から解説してくれるから、何から手をつけるべきかがわかると思うよ」
セキュリティ対策は掛け声だけではダメ。ロジカルシンキングが必要
中村は海田の紹介で、とある会社が主催しているセキュリティセミナーに参加することにした。終業後に開かれるし、無料だし、これはいちいち社長にお伺いを立てるものでもない。
1回だけのセミナーだったが、社内のPC管理、メールセキュリティ、サイバー攻撃の種類など、企業が最低限押さえておくべきセキュリティのポイントと最近の事例が紹介された。
「従業員や職員の不注意や過失により、ノートPCが盗難・紛失に遭い、そこから過去のeメールや契約書、財務諸表などの情報が漏えいする事件は後を絶ちません。持ち出しの厳禁を徹底することは大切ですが、それにも限界がある。人がミスを冒す前に、システムで情報を保護することが重要。例えば、ハードディスクの暗号化などは効果的な対策です」
講師の話を聞いて、中村は目からウロコが落ちる思いだった。
管理しようにも管理しきれないのが人の常。ましてや、アミダ社のように1人で情シスをみている体制では、すべてを管理することは不可能だ。
「社内PCのハードディスク自体を丸ごと暗号化してしまえば、万が一悪意のある第三者の手に渡ったとしても、データを読み出せないようにできるはずだ」
情報管理を人手だけにたよらず、システム化することの意味を、中村はあらためて理解したのだ。
「もっと、ロジカルに考えればいいんだな」
システム担当者の意思を社内教育に落とし込む
「でも、中村さんが勝手にみんなのPCにハードディスクに暗号をかけちゃうわけにはいきませんよね。そうすることが、セキュリティ対策上必要だってことを、まずは社員全員にわからせないと」
セミナーに参加した翌日、そのことを話していると彩はそう言った。確かに彩の言う通りだ。そのとき、中村の頭の中であるアイデアがひらめいた。
「社内セミナーというか、勉強会というか、そういうのを一度開いてみようか」
「それはいいですね。私もできる限り、サポートしますから」
こうしてアミダ社創業以来初めての(というとちょっと大げさだが)、ITセキュリティ社内勉強会の準備が始まった。
「今、パソコンやメールなしでは誰も仕事ができないですよね。ノートPCの社外持ち出し全面禁止は当たり前。スマートフォンやタブレット端末の管理も年々厳しくなっています。その一方で、セキュリティを破る様々な犯罪が横行しています。我が社も、そんなの関係ないと言っている場合じゃないんですよ。こういう事態を放置していたら、取引先にだって迷惑をかけてしまうんですから」
渋る江窪社長が、それでも勉強会の開催にOKを出したのは、「取引先に迷惑をかける」という、中村の最後の一言だった。もしそうなったら、ひと事ではない。会社の存亡にかかわる。社長はセキュリティ対策を自分の問題として、ようやく認識したのだ。
「講師は誰がやるんだい?」
「本当は外部の専門家を呼びたいところですが、第1回ですから私がやります」
そう言い切ってしまったが、中村は内心不安だった。書籍や外部セミナーで得た知識をいろいろ伝えたいが、ITの専門用語ばかりを羅列しても、誰も理解してくれないだろう。
「セキュリティ対策をシステム化する。その元締めは自分がやる。しかし、それがうまくいくためには、社員全員の協力が不可欠だ。第1回の勉強会では、それを強調することにしよう」
そう心に決めた中村だった。
勉強会は成功し、社員のセキュリティ意識も向上
社員の約半分25名を集め、第1回のITセキュリティ勉強会は成功裏に終わった。
「結構、みんな真剣に聞いてましたね。しかも、中村さんの話はすごくわかりやすかったです。あののんびり屋の仙道さんさえ、細かくメモを取っていましたよ」と、少人数の打ち上げの場で中村に感想を述べた。
「自分たちの仕事で決して外部に漏れてはいけない機密情報って何だろう、というところから考えてもらうようにしたのはよかったかもね」
「そうそう、機密情報ってだけでは漠然としているけど、営業なら販売先リスト、製造なら設計図、総務・人事なら給与管理データやマイナンバー情報など、部署や仕事によって重要機密情報って違いますしね。ITセキュリティってひと事じゃなくて、自分のことなんだと気づいてもらうきっかけにはなったと思います」
彩の適切なサポートも、勉強会成功の一因だと、中村は考えていた。
「彩さんが事前にメールを回してくれたり、ポスターを作って貼り出してくれたりして、ほんと助かったよ。話もITセキュリティの初歩の初歩にテーマを絞ったのがよかったんだろうね。これまでコンピュータウイルスについて何となく話を聞いたことがあったという人もいかに怖いかがわかった、って言ってくれたし」
「PCのIDやパスワード管理の話のときも面白かったです。『パスワードをすぐ忘れるので、PCに付箋を貼り付けたり、同じパスワードを使い回している人がいるけど、それはやめましょう』って中村さんが言ったら、ほぼ全員が『やってた…』って青ざめた顔をしてたもの」
ITセキュリティ問題はまずは社員全員の“気づき”が重要。そこに課題を発見したら、日々の業務を通してそれらを解決するための継続的な実践が欠かせない
「これからできれば1カ月に1回ぐらいは、この勉強会を続けていきたいんだ。社長もセキュリティ対策は最優先事項だなんて言いだしたし。彩さん、今度もサポートお願いできるかな」
「はい! 私にできることがあれば何でも言ってください」
忙しくあわただしい日々だったが、彩の笑顔に癒された中村だった。
だが、セミナー後の穏やかな日々もつかぬ間、アミダ社に再び事件が発生。サイバー攻撃に遭ったのだ。そのとき中村がとった行動とは一体……?
今回のポイント
- セキュリティ対策の基本は、社員一人ひとりが「自分ごと」として考えること
- 中堅中小企業では経営トップの意識改革も重要
- 「他人(他社)にも迷惑がかかる」「経営者の責任になる」「会社存続にかかわる」という言葉が効果的
- 標語や掛け声だけでは十分ではない。社内セミナー・勉強会などを通して、現実を伝える
情シス奮闘記 中小企業編
- 第1回 テーマ「セキュリティ教育」
- 第2回 テーマ「サイバー攻撃」
- 第3回 テーマ「SNS利用編」
- 第4回 テーマ「改正個人情報保護法」
- 第5回 テーマ「働き方改革」
- 第6回 テーマ「ランサムウェア」
- 第7回 テーマ「シャドーIT」
- 第8回 テーマ「BYOD」
- 第9回 テーマ「IT資産管理」
- 第10回 テーマ「顔認証」(前編)
- 第11回 テーマ「顔認証」(後編)
- 第12回 テーマ「IoT」(前編)
- 第13回 テーマ「IoT」(後編)
- 第14回 テーマ「サイバーセキュリティ経営ガイドライン改訂」
- 第15回 テーマ「企業間データ提携」
- 第16回 テーマ「セキュリティ人材育成」
- 第17回 テーマ「OS移行(Windows 10)」
- 第18回 テーマ「ビジネスメール詐欺」
- 第19回 テーマ「Webサービスからの個人情報窃取」
- 第20回 テーマ「内部不正」
- 第21回 テーマ「無線LAN」
- 第22回 テーマ「メール誤送信」