セキュリティ改善
近年、企業内のITシステムの複雑化やリモートワークの推進に伴うセキュリティ対策の重要性が増していますが、情シス部門の人手不足といった課題を抱える企業も増えています。「ひとり情シス」で運用しており通常業務に加えてセキュリティ対策にまで手が回らないといったケースもあります。
情報セキュリティの重要性
近年、セキュリティ対策の重要性がますます増しています。例えば、上記は「世界のサイバーセキュリティ市場規模の推移及び予測について表したグラフです。このように、世界的なサイバーセキュリティ市場規模が右肩上がりである点からも、セキュリティ対策に注目が集まっていることがわかるといえるでしょう。
実際にどのようなセキュリティに関する問題が発生しているのかといった点について見ていきましょう、実際に起こった事例を2件ご紹介します。
不正アクセスによる個人情報流出の疑い
2023年8月、長崎大学において同学のe-ラーニングシステムが第三者からの不正アクセスを受け、サーバに保管されていた個人情報が流出した恐れがあると発表されました。
同大学の公式ホームページを通じて情報提供があったことから不正アクセスが発覚し、直ちにネットワーク切断等の初動対応を実施。平成28年度から令和5年度までに、長崎大学のe-ラーニングシステムを利用した約6,500人分の氏名や性別、電話番号などの個人情報が漏洩したおそれがあるとのことです。
メール一斉送信によるメールアドレスの流出
2023年8月、江戸川区が実施を委託していた講座の受講予定者に対してメールを送信する際に、受講予定者のメールアドレスが他の人にも表示される形で一斉送信が行われました。こちらは、本来アドレスを他の人に見えない形(BCC)で送るべきところを他の人にも見える形(To)で送信したことによるものです。
この件により10名分のメールアドレスが流出しました。再発防止策として、個人情報保護の徹底を図るように厳重に指導するとともに、メール送信時のダブルチェックを徹底するというようにセキュリティ対策の強化に取り組んでいます。
社内でできる?セキュリティ対策
IT管理によるセキュリティ
ハードウェアやソフトウェア、ネットワークなど組織の情報技術システムを把握・管理することによってセキュリティ対策の強化につなげられます。近年ではリモートワークなどで社外に端末を持ち出して作業する、また社外から社内のネットワークにアクセスするといったケースも多く、リスクも増えているためIT管理の重要性が増しているといえるでしょう。
ウイルス対策ソフト
パソコンが1台ウイルスに感染するだけで会社のネットワークに接続しているパソコンが被害を受ける可能性も考えられるため、セキュリティ対策を行う上では、ウイルス対策ソフトの導入が必要です。ファイアウォール、メールブロックなどの機能が搭載されているソフトを選ぶことでセキュリティ強化ができます。
ソフトウェアのバージョン管理
ソフトウェアのバージョンが古いまま使い続けないように、バージョン管理を行うことも大切です。古いバージョンのまま使用していると脆弱性を狙われてしまうおそれもゼロではありませんので、ソフトウェアのアップデートを忘れずに行いましょう。
アクセス制限
アクセス制限を厳密に行うこともセキュリティ強化に繋がります。アクセス権の申請があった場合には、なぜアクセス権が必要なのか、といった確認の実施も重要です。このように、業務上で必要な従業員のみにアクセスを許可する、という点を徹底してください。
パスワード管理
システムやサーバーへアクセスする際に使用するパスワード管理についてもしっかりと行っていきます。この場合、パスワードを推測されにくいものに設定する、またパスワードの定期的な変更を行うといった対策が考えられます。一定の期間が過ぎたらパスワードを変更するように社内でも徹底を呼びかけましょう。
社員教育によるセキュリティ
定期的にセキュリティに関する社員教育の機会を設けることも大切です。教育の機会を設けると、社員のセキュリティに対する意識を高め、ルールの遵守につなげられます。
私有機器の制限
社内のセキュリティを高めるために、個人のタブレットやスマートフォンなどの業務利用は禁止することが望ましいといえます。もし私有機器の利用が必要なのであれば、申請・許可制にして「業務が終わったら指定のツールでデータを消去する」といったようなルールを守るように徹底することがポイントとなってきます。
クリーンデスク
席を離れるときや退社する際に、机の上にUSBメモリや個人情報が記載された書類などを放置しない、という取り組みを「クリーンデスク」と呼びます。この取り組みを行うことによって、盗難や紛失、廃棄による情報漏洩対策ができます。
メール対策
身に覚えがないメールは簡単に開かない、またファイルが添付されたメールの場合はそのファイル自体がウイルスである可能性がある、といった点を認識した上でメールを使用するように従業員に教育を行っていくことも大切です。さらに、ウイルス対策ソフトの導入によりセキュリティ対策も行えます。
アウトソーシング会社を安さだけ選ぶのは要注意
情報システム部門では社内の重要な機密情報を取り扱うため、アウトソーシング会社を選ぶ際には安易に「安さ」だけで決めてはいけません。まずは、情報の取り扱いがしっかり行われていることを大前提にすることが必要です。
知らないと損をする重要なポイントを押さえつつ、おすすめできるアウトソーシング会社をご紹介します。これにより、リスクを下げた情シスアウトソーシングの選択ができるようになります。
セキュリティ改善のアウトソース事例
セキュリティ事故対応のための体制づくりを早急に実現
損害保険会社セキュリティ対策支援の事例をご紹介します。こちらの損害保険会社では、セキュリティ対策に力を入れたいもののスキルを持った人材がいなかったため外部にセキュリティ対策を依頼しました。具体的には、セキュリティ関連のマニュアルとフローに加えて、社内のIT利用規約の作成を実施しています。
こちらのアウトソースにより、早急にセキュリティ事故対応のための体制づくりを行えた点に加えて、ドキュメントの整備と管理手法を確立。さらに社内のサイバーインシデント対応能力の強化も行えています。
IT運用管理システムの導入で運用に関する業務負担を軽減
大手金融業での事例です。こちらの企業ではさまざまなシステムを各部門で管理していることから、社内全体のIT資産の状況把握が難しい状況となっていました。さらに、インシデント発生時や変更時の影響範囲が正確に把握できない・全体の対応着手までに時間がかかるなどさまざまな課題を抱えている状況でした。
その課題を解決するため、こちらの企業ではクラウド型IT運用管理システムの導入を実施しました。システムの実装経験が豊富であり、実装後のアンケートでも評価が高かった企業へのアウトソースを行っています。
システム導入後、システム構成情報を自動で収集できるようになり管理工数が削減しました。さらに管理状況やインシデントが発生した際に影響する範囲についても迅速に把握できるようになったという成果が得られています。
USBメモリ利用のルールを構築し、ウイルス感染リスクを低減
ウイルス検出が多発していたエネルギーインフラ会社におけるアウトソース事例です。ウイルス検出多発の原因は、「USBメモリの運用ルールが設定されておらず、ユーザーが自由に使用できること」であると判明したため、まずUSBの利用実態を把握しました。その結果、従業員数を超えるUSBメモリの利用が確認されたことから一度デバイス制御によって利用禁止の状態とし、業務上で必要な場合は申請を行って許可を取る仕組みを構築しました。こちらのアウトソース先企業では、デバイス制御に伴う運用ルールの検討や作成について対応している点もポイントです。
利用に関する仕組みを構築し、運用を開始したところUSBメモリからのウイルス検出が激減し、感染リスクを低減できたという結果が得られています。またUSBメモリの利用制限を行ったことから、情報漏洩のリスク軽減にもつながったと考えられます。
セキュリティ改善をアウトソースするメリット
専門知識を持った第三者の脆弱性診断
アウトソースにより、専門的な知識を持った第三者による脆弱性診断が受けられる点が大きなメリットです。サーバーやアプリ内の欠陥を検出するために行われる脆弱性診断にはさまざまな方法がありますが、専門業者であればその企業ではどの診断が必要なのかを判断できるため、高い精度での診断を行えるでしょう。
固定業務を軽減し、コア業務に専念できる
企業においてセキュリティ対策を行う上では、例えばIT監視といった固定業務が多数発生します。そのため、セキュリティ改善の取り組みを専門業者にアウトソースすることによって、固定業務に対する業務負担が軽減します。その分IT担当者がコア業務に専念できるといった点もメリットのひとつといえるでしょう。
セキュリティ改善のアウトソースサービスを紹介
それでは、セキュリティ改善のアウトソースサービスについて見ていきましょう。こちらでは、2021年6月28日時点で「情シスアウトソーシング」と検索し、プライバシーマークやISO27001のいずれかを取得している企業を3つ選出しました。
クロス・ヘッド株式会社:情シスSAMURAI
コンサルティングとアウトソーシングで情シスをサポート
同社の「情シスSAMURAI」は、情シスを支援するサービスです。情シスの人手不足や業務の属人化、ルール不足といった課題について、情シスについて理解している同社がコンサルティングとアウトソースにて支援を実施します。
具体的にはIT環境改善や業務改善、セキュリティ運用アウトソースなどさまざまなサービスを提供します。情シスが抱えているさまざまな課題の解決を目指し、さらに情シス業務の内製化のサポートも行っていきます。
クロス・ヘッド株式会社の会社情報
対応エリア | 公式サイトに記載なし |
---|---|
営業時間 | 公式サイトに記載なし |
電話番号 | 03-4405-7911(代表) |
公式HP URL | https://www.crosshead.co.jp |
リップル株式会社:Total IT Helper
2種類のプランによりお客さま企業を支援
リップル株式会社のサービス「Total IT Helper」は、ヘルプデスクに特化した「オンラインヘルプデスク」と、情シス部門の業務を任せられる「情シス代行サービス」の2種類のプランを提供しています。特に情シス代行サービスにおいては、ヘルプデスクやネットワーク構築、サーバ運用などさまざまな業務の代行を依頼可能です。
また、現在のインフラ環境がお客さま企業にとって適切かどうか、といった相談にも対応している点も特徴のひとつといえるでしょう。
リップル株式会社の会社情報
対応エリア | 地方都市まで広範囲で訪問対応可能 |
---|---|
営業時間 | 公式サイトに記載なし |
電話番号 | 0120-890-880 |
公式HP URL | https://ithelper.ripple-call.co.jp |
アイチーム株式会社:情シスソリューションサービス
情シス部門が抱える課題の解決を目指して取り組む
アイチーム株式会社では、業務効率化・セキュリティ強化など情シスが抱える課題の解決を目指す「情シスソリューションサービス」を提供。さらに、情シス業務の内製化支援も行っている点も特徴となっています。
そのほか、WEB分野を中心としたIT企画を立案する「IT企画サービス」や人的リソースやスキルの不足をカバーし、お客さま企業の成長につなげる「アウトソーシングサービス」など、多彩なサービスを提供しています。
アイチーム株式会社の会社情報
対応エリア | 公式サイトに記載なし |
---|---|
営業時間 | 公式サイトに記載なし |
電話番号 | 06-6537-9350 |
公式HP URL | https://i-team.co.jp |
おすすめのアウトソーシング会社3選
情報セキュリティに関する第三者認定を取得している点に注目し、その上で他にも特徴的なサービスを提供しているアウトソーシング会社を選定し、おすすめしています。
「情シスアウトソーシング」とGoogle検索し、ヒットした上位50ページのサイトのうち、公式サイトが表示された会社28社を調査。そこから、オンサイト対応している、公式サイトに事例を掲載している、プライバシーマークもしくはISO27001を取得している会社からそれぞれ選定して紹介しています。(2024年4月15日調査時点)
情シス業務を引き継げる
本社所在地・対応範囲
所在地 | 東京都港区港南1丁目2番70号 品川シーズンテラス24F |
---|---|
対応 エリア |
日本全国 |
スク
を立ち上げられる
本社所在地・対応範囲
所在地 | 熊本県熊本市中央区辛島町3-20 NBF熊本ビル3階 |
---|---|
対応 エリア |
応相談 |
資産管理まで依頼できる
本社所在地・対応範囲
所在地 | 東京都千代田区大手町一丁目9番2号 大手町フィナンシャルシティ グランキューブ19F |
---|---|
対応 エリア |
記載がありませんでした |