情報セキュリティへの取組
情報セキュリティ基本方針
当社が顧客の信頼を保持し、競争力を維持していくためには、情報資産に対して適切なセキュリティ対策を実施し、紛失、盗難、不正使用から保護しなくてはならない。そのため、ここに「情報セキュリティ基本方針」を定め、当社が保有する情報資産の適切な保護対策を実施する。経営者を含め全従業員は、本趣旨を理解し、当社のセキュリティ規定を熟知、遵守しなくてはならない。なぜならば、そもそも「会社として守らなければならない情報と、それにかかわる業務・サービスは何か」を考え「情報セキュリティ上の問題が発生した場合に会社として大きな損害を受ける可能性が高い情報、および業務」だからです。また、そのミスが発生して場合、業務運営が成り立たなくなる可能性を考慮にいれていなければならない重要な課題である。
そのために、下記に記載することで、全社員の意識の向上と連絡の徹底を計らなければならない。
(1)情報セキュリティに関する役割と責任を定め、これを組織的に管理運用する体制を確立する。
- 情報セキュリティ 総合責任者 越 将
- 日々管理責任者 運行管理士 田中 政明
- ドライバー管理責任者 伊藤 隆広
(2)全ての情報資産やその扱いについては、関連法令や契約事項を遵守するとともに、お客さまから預かった情報は、約束した目的にのみ使用する。又コンピュータウィルスによる感染やその他の不正アクセス等の脅威から情報資産を守り、社内関係部門へは勿論、お客さまやお取引先にご迷惑をかけることのないように、組織的に取組む。
(3)これらを確実に実行し、情報セキュリティの管理と継続的な改善を図るための、情報セキュリティマニュアルを定め、関係者全員で遵守する。
(4)推進に当たっては、これらの重要性を認識し、経営資源の確保や割当ての優先度を十分考慮するとともに、関係者全員への遵守と改善に必要な教育や普及活動を継続的に行う。
(5)情報セキュリティの内部監査を定期的に行い、遵守状況の評価を行い、是正策等の推進による実効性の追求と信頼性向上を図り、事業継続に貢献する。
(6)情報セキュリティ基本方針並びに諸規定に反する行為があった場合は、あらかじめ定められた処罰や契約内容に準じて対処する。
情報セキュリティマニュアル
適用範囲の定義
管理すべき業務を特定する。
管理業務とは、 配送受注・配送手配・伝票入力・メールの送信・受信
その業務に付随する組織、所在地、資産を特定する。
組織 本社内の社員(代表取締役 越 由美子・取締役 越 将
運行管理士 田中 政明・営業責任者 伊藤 隆広)
所在地 本社 草加市青柳7-63-23
資産 上記業務にかかわる書類・データ(配車ノート・FAX・パソコン内のデーター・メールの内容等)のすべて。
守るべき業務を運営していくにあたって必要なシステムを特定する。
情報セキュリティ管理責任者
- 全般取締役 越 将
- 日々運行時の管理者 運行管理士 田中 政明
- 教育担当 伊藤 隆広
情報セキュリティの管理対策
不正アクセスに対して
セキュリティ事故を未然に防ぐために、もし起こっても再発させないためにもコンピュータシステムのセキュリティ対策はいまや欠かせないものとなってきました。
コンピュータのセキュリティ対策として下記のもので対応しているみたいです。
■不正アクセスの防止
今不正アクセスとは、法律上は次のように定義されています。
- なりすまし(他人のID,パスワードなどを不正に利用する行為)
- セキュリティホール(プログラムの不備などを攻撃する行為
不正アクセスの予防策にはいろいろありますが、代表的なところでは、ファイアウォールの設置、ネットワークの監視、システム脆弱性の監査に基づくセキュリティホール対策などがあります。 ファイアウォールは、近年ではかなり標準的になってきたシステムです。 社内インフラなどに外部から侵入しようとすることを防ぐ役割を持っています。
当社では今現在、ソニックウオールによって対策をしています。
■ネットワークからの不正アクセス
不正アクセスの目的のほとんどは他人のIDやパスワード、クレジットカード番号など重要なデータを盗むことです。その手口は非常に巧妙になりつつあり、正規アクセスと不正アクセスの区別をすることが難しくなってきています。不正アクセスの手法としては、最近はフィッシングと呼ばれるものが多くなってきています。
フィッシィングを狙った不正アクセス者の手法は、最初に偽装した有名メーカーのWebサイトを制作します。この偽装されたホームページへ誘導するために、メーカーが発行するメールなどに似せた偽のメールで相手に送ります。内容は例えば「会員の情報を下記URLに移動させて頂きます。内容を再確認するので下記URLをクリックしてください。」メールには正しいURLを記載してありますが、転送先は偽装されたホームページになっている場合がほとんどです。このように相手を偽装されたホームページは正規のWebサイトなのか偽のWebサイトなのか判断しにくいのが現状ですので十分に注意を払いおこなってください。
パソコン内のデータに関しては、パスワードにより、外部のものが一切閲覧できないよう対策を講じています。
メールに関して
社内の情報に関しては、一切の持ち出しを禁止、データのメモリースティクの転送にもパスワードを作成してセキュリティの強化を図っています。
セキュリティ情報の収集
月間情報セキュリティの購読など最新の情報の収集に努めて、新しく最新しなければならないものはいち早く取り入れ、全社員に教育し徹底していきます。
システム障害発生時の対応
システム障害発生時は、速やかに担当者に連絡をとり最善の方法をとり対処してゆくこと。
情報セキュリティの社員教育
社内業務の人間すべての情報セキュリティに関して毎月1度定期的に勉強会を開き個人の精度を高める。
情報セキュリティの再度チェック項目
半年に1度この項目に対しチェク表を作成してチェックする。尚 追加項目ができた場合は随時追加してゆく。
今そこにあるリスクは「身近にあるがなかなか気付かないリスク」「すぐに改善できるリスク」などを毎回定期的にチェックし改善を図っていく。
オフィス・環境でのリスク
バックアップ媒体はどこに保管しているかチェックしてみましょう
バックアップ媒体は、システムがダウンしたときに復旧するためのいわば最後の砦です。本体の中に入れっぱなしになどしていないでしょうか。なぜなら、本体が火災を起こしたり、破損をしてしまった際にはバックアップ媒体も破損してしまう危険性があるからです。そのためにも、バックアップ媒体は本体の物理的なトラブルに巻き込まれない場所に保管すべきです。ただし、保管場所にも注意が必要です。なぜなら、バックアップ媒体は本体の情報を保存しているものなので、そこから情報を引き出すことが容易にできてしまいます。そのためにも、保管場所に関しては盗難対策が必要です。鍵のかかる場所に保管するのが望ましいでしょう。
壁に掲示されているものをチェックしてみましょう
オフィス内の壁に掲示されているものは、自部門内で確認するためにはよいかもしれませんが、外部からきた第3者への情報漏えいの可能性があります。例えば営業戦略であったり、営業先を記した予定表などが誰からでも見える位置にあることで、第3者に競合情報などが推測されてしまい、営業戦略上不利になってしまうかもしれません。このような場合には、対策として外部に見えないように貼る、内部が見えないようについたてなどを立てる。お客様の名称などを外部にわからないような暗号で記述する。(A社、B社のように)などといったことが考えられます。
ごみ箱をチェックしてみましょう
ごみ箱の中に書類はありませんか。その書類に書いてある情報は機密情報ではありませんか。ごみは情報の宝庫です。何気なく捨てたごみ箱に機密情報が記載されていて、「ごみ箱から情報漏えい」ということはよく聞く話です。さらに、意外と気にされていないCD-R/RWなどの媒体にも注意が必要です。なぜならCD-R/RWなどには社内システム情報や、さまざまな情報が無造作に入れられている可能性があるからです。そのため、書類にはシュレッダーをかけて、CD-R/RWなどは物理的に破壊するなどして読み取れないように対策をとることが望ましいでしょう。
空調電源ON時の不安定になることはないかチェックしてみましょう
古いビルの電源は、PC1人1台の環境を想定して作られているものではありませんでした。そのために大型のサーバや多数のクライアントPCが設置されているビルの電圧は不安定になりがちです。事務機器などが増えた場合の電源対策はどうなっていますか。
組織構造とオフィスのレイアウトは整合していますか
異なる部門においては、対象とするお客様がまったく異なる可能性があります。もし、財務部門が会社の財産情報などを銀行と話し合っているときに、すぐ隣の営業部がお客様とミーティングを行っていたとしたら・・・というように話し声からの情報漏えいの可能性があるようであれば、オフィスのレイアウトを1度見直してみてはいかがでしょう。
PCの設置位置をチェックしてみましょう
外部の人間が通る際に、PCの画面は意外に見えるものです。本来であれば外部の人間が通るところとは壁で隔てるのが望ましいのですが、PCを設置する際、もしくは席の配列の際に、PCの画面が外部の人間に見えない方向になるようにするだけでもかなりよい対策になると考えられます。ただし、どうしてもレイアウト的に無理なようであれば、OAフィルターなどを使用するのもよいでしょう。
プリンタやFAXの設置位置を確認しましょう
事務所では来訪者などの部外者が通るそばにFAXやプリンタが置かれている場合がよくあります。このような状況の場合、取引先から送られてきた見積もりや印刷した重要文書を見られてしまい情報が漏えいする危険性が出てきます。対策としてFAXやプリンタなどは通路側には設置しない、またはパーティションで仕切って見えなくするなどの工夫をすることが望ましいでしょう。
スプリンクラー下の情報機器の設置状況をチェックしよう
もしタバコの煙などが原因でスプリンクラーが誤作動を起こしてしまった場合、スプリンクラーの下にサーバなどが設置されていたとしたら、サーバは水浸しになってしまう可能性があります。情報処理機器を設置するときにはスプリンクラーの位置に注意しましょう。
ドライバーの伝票管理の徹底
ドライバーの個人情報記載の伝票の保管場所は弊社の指定の伝票収納ケースでの保管の確認(車の中の保管場所)をてっていする。
