社内教育の手順を見直そう
これまでITセキュリティについて、
さまざまな対策を解説してきました。
ネットワーク機器のアップデートやOS のアップグレード、
ファイアウォールの設置などは確かに不可欠なセキュリティ対策です。
しかし、やはり最後に肝心なのはそれを使う「人」になのです。
利用する人が不注意なミスをしたり、
内部不正を犯してしまうなら、
いくら対策をしても安全を保つのは難しいと言えます。
セキュリティ対策について無知であるがゆえ、
メールを謝って送信したり、
ウイルスに感染してしまう添付ファイルをうっかり開いてしまったり、
外出先で紛失してしまったり・・・。
また、SNSの流行により、
誰でも簡単に情報を収集したり発信したりできるようになりました。
それに伴い、会社の重要な情報を流出してしまったり、
知らないうちに著作権を侵害してしまうリスクも出てきました。
「知らなかった」では済まない事態にもなりえます。
つまり、現代社会においては会社でのセキュリティ教育は欠かせないのです。
まずは経営層の教育からはじめ、
セキュリティの重要性を知ってもらうことからスタートです。
その方が社内でのセキュリティに対する取り組みがスムーズに進みます。
その次に、社員への教育をしましょう。
社内でのセキュリティ教育の実施例としては、
e-ラーニングがあげられます。
e-ラーニングは業務に忙しい社員でもスキマ時間に受講できるため、
手軽な方法です。
1人1人の理解度をしっかりと把握したいなら、
スケジュールの調整や講師の選出などの手間はかかりますが、
対面での研修がおすすめです。
これらの研修に加え、実践的な訓練もした方が良いでしょう。
例えば、訓練の連絡をせずに偽のフィッシングメールを社員に送りつけ、
リンクを開いてしまった社員に研修を受けてもらうなどです。
また、実際にサイバー攻撃を受けてしまった時や、
うっかりミスで情報漏洩してしまった時に、
どのように対応すべきかの確認を、
定期的に訓練しておくことも重要です。
すでに学んだように、サイバー攻撃の手口は日々進化していますし、
ネットワーク環境も変化していくので、
ITセキュリティの担当者が情報にアンテナを張り、
こまめに教育内容に反映させていくことも必要になるでしょう。
開発を外部に委託する時
Webサイトのリニューアルや、スマホ向けページの制作、
業務プロセスをシステム化したい時など、
外部に発注をかけることもあるかもしれません。
外注の場合は、「SI」や「SES」を提供する会社と契約をします。
SI
「SI」はSystem Integrationの略で、
システム開発の要件定義、設計、リリース後の保守、運用を総合的に行う事業です。
信頼できる企業であれば成果物の品質は期待できますし、
発注側に知識がなくても、
アドバイスをもらいながら開発を進めることができます。
SIを提供する会社のことを、「SIer(エスアイヤー)」と言います。
SES
「SES」はSystem Engineering Serviceの略で、
エンジニアの労働力を提供するサービスです。
一般的には自社(発注側)に来てもらい開発をします。
SIは成果物に対して報酬を受け取りますが、
SESは労働に対して報酬を受け取ります。
委託先を選ぶ時の注意
委託先は企業だけでなく、
クラウドソーシング(マッチングサービス)を利用して、
個人にも委託をすることができます。
企業に依頼をするよりも費用が安いというメリットがありますが、
必要な技術力を満たしていないなどのミスマッチが起こることが多いので
注意しましょう。
委託先が企業であっても個人であっても、
それぞれ得意分野があるので、
開発したいものが得意分野であるかを見定める必要もあります。
またSIerに委託するような大きなプロジェクトである場合、
信頼性は重要な鍵となります。
これまでどのような規模の仕事をし、どれぐらいの実績があるのかを、
Webサイトなどで確認してから依頼してください。
技術力だけではなく、
コミュニケーション能力があるかどうかも見極めが必要です。
こちらの伝えたいことをしっかり汲み取ってくれるか、
現場へのヒアリングや、細かな気づきや気配りができるのかという点も、
開発にあたっては大切なポイントになります。
ITセキュリティの担当者は、
上層部とのやり取りや社員教育、現場へのヒアリング、
そして外注する場合は委託先とのやり取りなど、
コミュニケーション力やマネジメント力も必要になります。
セキュリティに関する知識や技術だけではなく、
こうした能力も身につけるようにすると、
業務がよりスムーズに進むでしょう。
Lesson9では、AIの進化によるITセキュリティへの影響や、
新たなサイバー攻撃の手口について学習をします。
