企業の「信頼」を守る、セキュリティソリューション

4つの視点で取り組む、情報セキュリティ対策

本ブログではこれまでの連載で「情報セキュリティ対策の概要」や「サイバーネットワークの攻撃手法」、「サイバーセキュリティ強化策」についてお伝えしてきました。
情報セキュリティ対策は企業の社会的責任の一つであり、効果的に実践するためには経営幹部と従業員間で意識を共有し、情報セキュリティポリシーに沿った行動を確実に実行することが肝であることがわかりました。
連載のまとめとなる今回は、これまでの内容をもとに「ドキュメント」、「ファシリティ」、「IT」、「マネジメント」の4つカテゴリーに分け、私たち福島リコピーが提案する情報セキュリティ対策について紹介します。

ドキュメントセキュリティ(Document Security)
~紙・電子データ~

日常業務で取り扱う書類や資料などの紙類や、パソコンの中の電子データのことを総じて「ドキュメント」といいますが、これらは一般的に以下のようなライフサイクルをたどります。
「1 発生」→「2 伝達・活用」→「3 共有・保管」→「4 廃棄」
このライフサイクルを情報セキュリティ対策の視点で俯瞰すると、常にリスクを抱えながら日常業務を行っていることがわかります。以下に、それぞれの項目の具体的な事例と対策例について紹介します。

【1 発生】

放置プリントによる機密文書の持ち去り

▼対策例

【2 伝達・活用】

FAXやメールの誤送信

▼対策例

【3 共有・保管】

アクセス権侵害によるデータ改ざん、不正コピー、委託先における管理不足

▼対策例

【4 廃棄】

文書廃棄箱の不正な持ち出し、保管文書の誤廃棄

▼対策例

以上のようなドキュメントセキュリティに関して、私たちはさまざまなソリューションを提供しています。

1 ファクス、スキャン等の誤操作による情報漏えい抑止

ファクス誤送信抑止設定など複合機のセキュリティ機能設定の活用で、使いやすさを損なうことなく、リスクからドキュメントを守ります。また、「RICOHサーバーレスワンタッチスキャン」により、宛先間違いによるデータ誤送信を抑止するほか、ローカルフォルダーでも共有をかける必要はありません。

2 放置プリントによる情報漏えい抑止

ICカード認証により利用者を限定し、セキュリティを確保します。複合機のパネルを操作して、自分自身が印刷指示をかけて出力を行うため、印刷物の取り違えや取り忘れによる情報漏えいリスクを低減します。また、ICカードがない場合でも手軽かつ安全に印刷できます。

3 情報の取り扱いルールを策定する

情報を組織的にマネジメントするための改善支援システムを用意しています。「Ridoc Smart Navigator V2」は、複合機や他のアプリケーションと連携し、ドキュメントの電子化から管理、検索、活用、共有まで、ビジネス文書や帳票の流れを改善するドキュメント管理システムです。また、「Ridoc GlobalScan Version2」は、紙文書の電子化システムです。ユーザーはスキャニングの設定や保管ルールを意識することなく、また、管理者は最小限の作業でスムーズな運用を実現できるなど、次世代のドキュメント配信ソリューションです。

4 ログを管理する

ユーザー認証と連動し、ジョブログデータを収集・蓄積します。利用履歴の把握や文書のトレーサビリティの確保により、万一の際のスムーズな調査を実現しました。ほかにも、セキュリティ意識の喚起と漏えい抑止効果を高めるさまざまなソリューションを用意しています。

ファシリティセキュリティ(Facility Security)
~物理によるセキュリティ~

ファシリティセキュリティ(物理によるセキュリティ)とは、機器や媒体の「破壊」「紛失」「盗難」といった事象に備えるセキュリティ対策です。
例えば、各社・各部門・業務内容などによって保有する情報セキュリティリスクに違いがあり、対策内容(どこまで対策をするか)は大きく異なります。この情報セキュリティリスクが大きな場合は、大きなコスト(初期投資、維持費)をかけてでも、組織として戦略的に対策を講じる必要があります。

【1 入退室管理】

情報漏えいの大半が「内部関係者」とされる昨今、監視カメラと連携して入退室できる人を制限し、情報・資産を守ります。

【2 監視カメラ】

映像監視はインシデント、事件、事故発生時の重要な証拠であると同時に、犯罪の抑止効果を高めます。企業ごとに目的・用途にあわせた最適な監視カメラソリューションを用意しています。

【3 セキュリティキャビネット、鍵管理システム】

紙文書や鍵の管理を厳重に行うシステムで、誰が、いつ、どの扉を開けて、いつ締めたのかを記録します。個人情報保護法、金融商品取引法による社内文書、メディアの保管等に必要です。

【4 セキュリティエリアの設定】

セキュリティレベルにあわせて、オフィスの領域を誰でも立ち入りできる「パブリックエリア」と、原則として従業員しか立ち入りできない「セキュリティエリア」に区分し、パーテーション等で仕切ります。また、サーバールームや役員室等、セキュリティレベルの高いエリアには監視カメラを設置するなど対策を強化します。

ITセキュリティ(IT Security)
~ネットワーク・システム~

不正送金や標的型攻撃による情報漏えい、身代金要求型のランサムウェアなど、その仕掛けは巧妙化し、サイバー攻撃の脅威はますます高まっています。企業規模や業務内容にあわせて、ITセキュリティ強化に向けた対策を講じなければなりません。

【1 テレワークセキュリティ対策】

テレワークの普及など多様な働き方が可能となる一方で、これまではなかった情報漏えいのリスクが増えることにもつながります。リスクを減らし、安全性の高い環境を整備するなど、適切なセキュリティ対策を講じる必要があります。

【2 ゲートウェイセキュリティ対策】

UTM(Unified Threat Management:統合型脅威管理)機器を用いて、情報の入口と出口のセキュリティを高めます。ファイアウォールだけでは防げないさまざまな企業への脅威や不審な通信をブロックします。

【3 エンドポイントセキュリティ対策】

通信ネットワークに接続されたエンドポイント(PCやサーバーなどの端末)のセキュリティを強化して脆弱性を低減します。

【4 データセキュリティ対策】

ランサムウェアやウイルス攻撃を受けた際、バックアップデータをクラウド保管することで感染からブロックし、企業の機密情報を守ります。

セキュリティマネジメント(Security Management)
~人・組織~

企業の情報セキュリティ対策は、単にセキュリティ対策ソリューションを導入するだけでなく、人や組織に対するセキュリティマネジメントが欠かせません。

情報資産を守る安心・安全なオフィス環境の構築を、社内実践見学ツアーや各地域セミナー、個別教育等によってサポートします。また、実践に役立つ資格取得研修やプライバシーマーク取得、ISMS(情報セキュリティマネジメントシステム)取得のためのコンサルティングも行っています。

【1 従業員のセキュリティ意識の可視化サービス】

模擬的な標的型攻撃メールを実際に受信する「体感訓練&教育サービス」です。万が一、標的型攻撃メールを受信したときに適切な対応ができるよう訓練を通して学びます。

【2 情報セキュリティコンサルティング】

ISMSやプライバシーマークの認証取得支援、現状評価や内部監査支援を行います。

【3 研修サービス・セミナー】

ISO27001、プライバシーマークの認証・認定対策などの研修コースを開設しています。また、ニーズにあわせたオンサイト研修(講師派遣)も実施しています。

【4 e-ラーニング環境提供サービス「学び維新」】

企業におけるコンプライアンスならびに情報セキュリティの徹底が急務となる中、短期間で効率的な全社員教育を行うためのツールとして、リコーグループで実践してきたシステムをSaaSで提供しています。