中小企業において、 情報セキュリティ対策でここだけは押さえておくべきポイントとは?

情報セキュリティ対策において、残念ながら「基本対策はコレ!」というモノはありません。個社ごと現状が異なるので、とるべき対策は異なります。そう答えられるとがっかりかもしれませんが、ちょっと落ち着いてリスクを整理することで、簡単にざっくりとした方向性を見出すことはできます。守りたいモノをはっきりさせて、何をリスクと見るかを考えることが大事です。セキュリティに100%はありませんので、満点は目指さず、リスクの高いところから潰していく。専門家に頼らずとも、これを継続することで、グンと安全性は高まります。
ここで、とある小規模病院様の一例をご紹介いたします。
①守りたいモノをピックアップ
- 最低限Aを守らないと業務が遂行できないため、今回守るモノはAとする。(Bについては最悪諦めがつく)
②考え得るリスクを整理
- Bのメール・インターネット経由でA.Bともにウイルス感染する可能性がある
- A.Bの機器類は無線LAN接続しているが不正接続等無いか?
- Aの電子カルテ、診療報酬請求システムもインターネット接続するがウイルス感染しないか?
③ 対策すべきリスクを決定
- 発生確率が高く、Aにも影響すると業務が遂行できなくなるため、対策を行う。
- 安全な設定ができていれば発生確率は低い。念のために設定を確認する。
- メーカーが仕組みを提供しているため、第三者がそこに対策を行うのは難しい。
④ 事前対策
- A.BのNW環境を分離する。Bに被害があってもAに影響を及ぼさないようにする。
⑤ 事後対策
- A.Bともに最低限のウイルス対策ソフトは導入しておく。
- メーカー推奨のウイルス対策ソフトは導入しておく。