通信と多様なケイパビリティを活用し、DXと事業基盤サービスでお客さまビジネスを支援します。
CO2排出量の可視化から削減まで、一貫してカーボンニュートラル実現を支援します。
KDDIは『つなぐチカラ』でビジネス、ライフスタイル、社会をアップデートします。
場所にとらわれずつながるソリューションを、デバイスからセキュリティまで支援します。
多数の次世代型低軌道衛星により高速・低遅延通信を提供します。
データセンターからネットワークまで、業務に最適なソリューションをトータルで提供します。
中小規模の事業者向けに特化したスマートフォンのご利用方法のご案内です。
中小規模事業者のやりたいことや変えたいことを、モバイルとクラウドの技術を用いてサポートします。
情報セキュリティ監査とは、企業や組織が保有する情報を守るために、セキュリティ対策やシステム運用の弱点を洗い出し、脅威に対する準備が万全かどうかを評価するプロセスです。
個人情報の取り扱い状況などをガイドラインをもとにチェックし、セキュリティリスクの可視化や、必要な対策の実施を行うために行います。
多くの大企業では、定期的に社内監査を実施し、自社のセキュリティ対策を見直していますが、近年増加している情報漏えい事件やサイバー攻撃の影響を受け、取引先の企業にも監査を依頼する企業が増えてきています。
この監査の結果によっては、取引継続の判断となるケースもあるため、自社においても日常的にセキュリティ対策を講じることが重要です。
情報セキュリティ監査は実施する会社や団体によって内容が異なりますが、一例としては以下のような調査項目が挙げられます。
調査項目 | 内容 |
---|---|
情報セキュリティ体制・組織 | 社内の体制・ルールが適切に整備されているか |
物理的セキュリティ | パソコンやスマートフォンなどのハードウェアが適切に管理されているか |
情報システム・通信ネットワークの運用管理 | 業務で使用するシステムやネットワークの運用管理状況の確認 |
情報・情報システムへのアクセス制御 | 誰がどの情報にアクセスできるか、その管理体制が適切に整備されているかの確認 |
情報セキュリティの事故対応 | サイバー攻撃や情報漏えいが発生した場合の対応策が整備されているか |
情報セキュリティ監査では社内の情報セキュリティ体制や運用状況、個別のシステムやネットワークの運用リスクまで細かくチェックされます。
そのため、ある日突然取引先から情報セキュリティ監査の依頼を受けて慌てないためにも、日頃からさまざまな準備や対策を講じておくことが求められます。
情報セキュリティ監査を受けるにあたり、中小企業にはどのような準備や対策が求められるのでしょうか。事前に必要な対応をしっかりと行うことで、監査の結果がより効果的な改善につながります。ここでは、準備すべきポイントをわかりやすく解説します。
情報セキュリティ監査を受ける際は、企業内で設定しているセキュリティルールやガイドラインの内容を確認し、必要に応じて見直すことも大切です。特に中小企業では、セキュリティ対策の重要性が十分に認識されていないこともあり、ルールが曖昧なまま運用されているケースがあります。
そのため、後述の対策を日常的に行うことが重要です。
OSを最新版に更新をはじめ、ファイアウォールやセキュリティソフトなどを導入しているか、それらが適切にバージョンアップされているかも重要なポイントとなります。
専任のシステム管理者が不在の企業では、日常的にハードウェアやソフトウェアのメンテナンスが行われていないケースも見受けられます。PCやスマートフォンはもちろん、サーバーやルーター、ファイアウォールなどのネットワーク機器が最新バージョンに更新されているか、セキュリティパッチ (注1) が適用されているかを確認しておくことが重要です。
自社にシステム管理者が不在であったり、専門的な知識がなく対処が難しい場合には、専門の業者に依頼することも検討してみましょう。
情報システム・通信ネットワークを適切に運用管理するためには、セキュアな環境を整備しておくことが重要です。
しかし、システムやネットワークの構築には多額のコストと専門的な知識・高度な技術も求められ、自社での導入にはハードルが高いと感じられる中小企業も多いことでしょう。
そのような場合には、外部サービスを利用するという選択肢もあります。
たとえば、KDDIではウィルス対策やリモートデスクトップサービス (注2) 、セキュリティブラウザ (注3) などのサービスを2つまで選択できる「ベーシックパックプラス」を提供しており、安全にPCやスマートフォンを活用できるセキュリティ体制構築を支援しています。
業務で使用するシステムや、重要な情報が保存されているフォルダ、ファイルなどにはパスワードを設定しておくことでセキュリティリスクを低減できる可能性があります。
たとえば、各種システムにログインする際のパスワードを定期的に変更したり、二段階認証を必須にすることは不正アクセスを防ぐための基本的な対策のひとつに挙げられるでしょう。
個人情報や機密情報の漏えいを防ぐためには、パスワードの設定だけでなく、特定の社員のみにアクセス権限を付与することも基本的な対策となります。
申込書や顧客リストなどを紙で管理している場合には、個人情報を扱う部屋の入退室管理を徹底することが大切です。
また、万が一情報漏えいが発生した場合に備えて、アクセスログを記録しておくと早期の原因究明につながる可能性もあるでしょう。
加えて、機密情報や個人情報の漏えい事故が発生した際、まず誰に報告するのか、報告の方法やルートを明確にしておいたり、どのような初動対応が求められるのかをマニュアルに記載しておくことも大切です。
情報セキュリティ監査を受けることで、リスクの可視化だけでなく、取引先や顧客からの信頼性を高めることができます。また、監査によって得られるフィードバックをもとに、将来のトラブルを未然に防ぐことができるため、長期的な企業の安定と成長にもつながっていきます。まずは今回紹介した監査の内容やポイントを参考にしながら、自社でできることから少しずつ始めていきましょう。
ただし、情報セキュリティ監査は毎年実施することが推奨されているため、一度監査を行って終わりではなく継続的な対策が求められます。
自社にどのような対策が求められるのか分からず悩んだときは、KDDIの「法人オンライン相談デスク」をぜひご利用ください。KDDIでは情報セキュリティ対策のさまざまなソリューションを提供しているため中小企業のお客さまが抱えるお悩みを解決するためのさまざまなご提案をさせていただきます。
KDDIのサポートを活用し、今すぐできる対策から一歩ずつ進めていきましょう。