東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

セキュリティ対策の具体例
~技術的対策を活用~

技術的対策で人的ミスを削減

組織的対策、人的対策、物理的対策、技術的対策の4つは完全に切り離すことはできません。例えば、パスワードを使った認証などは技術的な対策と考えることができます。しかし、パスワードを利用する人からの流出をしないように強化するのは、人的対策ということもできます。
ある企業では、人的な対策を中心に対応を進めていました。人的対策は技術的対策に比べてシステムに関する費用が掛からないといった点にメリットがあります。しかしながら、人の入れ替わりやルールの認識間違い、うっかりミスなどによるヒヤリハットは少なくなりませんでした。

人的対策のミス

そこで、一部を技術的対策に変えていきました。技術的対策では初期投資こそかかりましたが、決まったルールをシステマチックに実施できます。ルールを知らない人が間違いを犯すことや、うっかりミスが減少し、人的対策をしていたころに比べて、セキュリティにかける対応の時間が減り、減った時間でセキュリティ計画を立てたりと、未来にかける時間が増えてきました。
現在では、セキュリティ対策は技術的な対策を優先的に考え、それを補完する形で人的対策を導入しています。

しかしながら技術的対策が万能というわけではありません。だんだんと時間がたってくると、アクセス権限の見直しがされず、本来ならアクセスすべきでない部署異動した人にアクセス権限があるという状態になりました。本来なら知る必要性がない情報を知ることになり、情報流出等の危険性が増すことになります。
そこで、定期的な見直しや異動時のアクセス権限のルールなどを定めました。最初はセキュリティ担当者が人事異動の情報をもとに設定を直していましたが、タイムリーに対応をすることは難しく、権限変更まで時間がかかってしまいました。そこで、異動に伴うアクセス権の削除は異動前の役職者が担当し、アクセス権の付与は異動後の役職者の権限で行えるようにしました。セキュリティ担当者は正しいアクセス権となっているか、イレギュラーなアクセス権があった場合に役職者に確認する対応をすることで、現在ではチェックの機能も働き、適切な運用となっています。

技術的対策の運用

このように、取り組みを進めることで新たな課題が出てくることはあります。新たな課題に対して対処していくため、PDCAを回していくことで成長につながっていきます。