暗号化ソフト導入後に行うべきこと
暗号化ソフトを導入するべきことは、大きく分けて3つあります。具体的には、下のような3ステップにわかれています。
- 1.プロジェクト体制の構築
- 2.手順書の作成
- 3.不可欠となる監視
それでは、これら3ステップについて具体的に見ていきましょう。
1.プロジェクト体制の構築
暗号化は全社レベルで行うこともあれば、特定の部門のみで行う場合もあります。たとえばマイナンバーでは、全社レベルで取り扱いを徹底しなければなりません。開発情報の暗号化であれば、開発部門のみで完了するのです。
プロジェクトチームの発足
システムの構築後、その規模に合わせた導入体制を準備します。牽引役となるリーダーとメンバーを選任して、プロジェクトチームを発足させ、導入を図ります。セキュリティポリシーの整備、利用手順の作成、モニタリング等の運用に及ぶまで、細則を決めていきます。
セキュリティポリシーの整備
暗号化は、企業のセキュリティポリシーに則って推進されます。基本的な考えに変更はないとしても、暗号化を入れることでポリシーの再設定がともなうことがあります。セキュリティポリシーを再確認し、不足事項があれば加えていきましょう。
マイナンバー制度の施行にともない、セキュリティポリシーの新規作成、あるいは見直しをせまられている企業も多くあります。これを機に併せて取り組みましょう。
現場を巻き込む
部門レベルであってもリーダーは不可欠です。暗号化は従来とは異なる手順や、新たな操作が必要となります。人事権を持つリーダーでなければ、現場は容易に従いません。システム部門だけで推進するよりも、リーダーを立てて、現場を巻き込んで展開することをお勧めします。
スモールスタートする
最終的には全社的な取り組みであっても、最初は限られた部門から始め、順に拡大していくことをお勧めします。暗号化ソフトに限らず、新しいシステムには使い始めて気づく落とし穴があるものです。それを拾い上げ、改善を加えつつ全社に拡大していきましょう。
2.手順書の作成
プロジェクトチームの重要な任務が、啓蒙と手順書作成にあります。
まず、なぜ暗号化が必要なのかを社内に徹底します。すでに行っているセキュリティ施策に合わせ、暗号化することで機密情報の漏えい防止を強化できます。個人情報が漏えいした場合の金銭的損害、ビジネス上の機会損失、ブランドイメージの低下等を訴え、社員のセキュリティ意識を高めていくのです。
次に何を暗号化の対象とするかを明確にします。たとえば、顧客情報であったり、開発情報であったり、マイナンバー関連の情報です。
そして、暗号化の手順を示します。操作自体は、さほど複雑にならないはずです。指定のフォルダに入れる、あるいは個々にパスワードを設定してファイルを暗号化するなどです。それでも導入当初は、繰り返し呼びかけることが必要になります。
3.不可欠となる監視
暗号化システムの導入は、その手順書を現場に渡してそれで終わりではありません。手順どおり行っているかを定期的に確認することが、不可欠となります。シンプルな操作であっても面倒と思う社員はいますし、うっかり手順を省いてしまう社員もいます。
2015年に発覚した日本年金機構の情報漏えい事件では「個人情報は指定のフォルダに格納し、そのフォルダから自分のパソコンにダウンロードして使用してはならない」という規定がありました。しかし、職員はそれぞれ勝手に自分のパソコンに個人情報のデータをダウンロードして作業していました。
さらに、「個人情報を含んだファイルは暗号化する」という規定がありましたが、4割近くのデータが暗号化されていなかったそうです。これ以外にも複数の要因が重なり前代未聞の漏えい事件となりました。
手順書をつくっても、モニタリングするなどして徹底しなければ意味がありません。ダウンロードできなくしたり、ダウンロードされた段階でアラートを出す仕組みや、ファイルのデータ自体を消失させる機能を持つソフトもあります。場合によってはそのような機能の追加を検討していきます。
下記の記事では、実際の製品を様々な視点で徹底比較しております。少しでも気になる製品があれば無料資料請求してみてください
暗号化ソフト導入後も気を抜かずに運用をすすめよう!
これまで暗号化ソフト導入後にするべきことについて確認してきました。ぜひ3ステップを理解し、暗号化ソフト導入を上手に進めて、セキュリティ対策の最後の砦として有効に機能させていきましょう。
