Cyber NINJA、只今参上

デジタル社会の世相をNINJAの視点で紐解きます。

中小企業のサイバーセキュリティ(2)

 これらの基本方針・規則のサンプルや自社診断チェックシートは、専門家でなくても分かるように平易な言葉で書いてある。それはすべての従業員や関係者が、その内容を理解できないといけないからだ。関係者の中には一時期だけオフィスに出入りする人や、デジタルが苦手な経営者自身も含まれる。

 

 それだけに、内容そのものも決して高度なことを要求していない。サイバーセキュリティガイドラインとしては「入門編」と言えるだろう。例えば自社診断チェックシートは25項目について自己診断し、各項目4点満点。合計100点が取れれば終わり・・・ではなく「次のステップに進みましょう」とある。

 

https://www.ipa.go.jp/security/keihatsu/sme/guideline/5minutes.html

 

 チェック項目のうちいくつかを紹介しておこう。

 

    f:id:nicky-akira:20200808093829j:plain

 

◆パスワードの設定

 長くて破られにくいものにせよとある。例えば「名前+部屋番号」のようなものだと、容易に推測がつくので破られやすい。「8Y#mdx4uH$2d」のような脈絡がなく大文字・小文字・数字・記号が入り混じったものがいいとされる。

 

◆重要情報の送付

 メールの地の文には書かないで添付Fileにし、それにパスワード保護を掛ける。パスワードは別のメールで送る。

 

◆バックアップ

 重要情報は必ずバックアップをとる。ランサムウェアで暗号化されてしまっても、バックアップがあれば「身代金」を払う必要はない。もちろん事故や自然災害などで失われる事態への対策にもなっている。

 

◆重要情報の媒体の始末

 重要情報を入れたことのある媒体は、必ず復元できないように「とどめを刺す」こと。消したつもりでも、初期化したつもりでも、データが復元できてしまうことが多い。HDDはもちろんだが、ちょっと持ち歩いたUSBなどにも言えること。

 

◆個人所有機器の業務利用

 業務や扱うデータ、機器そのものも含めて、どの範囲まで使っていいか、使う際のチェックはどうするか、申請・認可・監査の手続きはどうかなどを決めて周知すること。テレワークにあたり、これが守られていないケースは、(大企業でも)ままありそうな気がする。

 

 自己診断なので、甘めにでてしまうこともあるかもしれないが、診断項目を知るだけでもセキュリティ対策の勉強になるように作られている。

 

<続く>