拍手0

取引先の情報漏えいリスク、あなたの会社は大丈夫?

投稿者: Nadia_Kovacs30 Employee 投稿日: 2014-10-20 | 10:38 · 編集日: 2016-09-21 | 14:01 · コメント数 0 · 翻訳:

サービスやサポートなどを委託している取引先が、あなたの会社の機密データにアクセスできる場合を想定してみてください。あなたの会社では、機密データを安全に保護するための対策を講じているでしょうか。

取引先は、ビジネスを成功させるうえで重要な鍵を握っている反面、セキュリティ上の脅威となる可能性もあります。なぜなら、あなたの会社のセキュリティは、取引先のセキュリティレベルに左右されるからです。

シマンテックが昨年実施した『2014 Small/Medium Business Mobile Survey』によると、中小規模企業経営者の 約4 分の 1 が、会計事務所や給与計算業務プロバイダなどの取引先選定にあたって情報セキュリティポリシーを考慮していません。さらに小規模企業に限定すると、この数字は 44 % にも上ります。

取引先と情報を共有する際は、情報を保護するためのセキュリティ対策を徹底させることが重要です。取引先の社内体制を管理することはできないとしても、取引先がデータの安全確保のために取り組んでいるかどうか確認することは可能です。以下の 4 つの質問を使って、取引先のセキュリティ体制を評価してください。

1. 顧客の情報をどのように保護していますか?

すべての取引先候補に、セキュリティポリシーについて尋ねてください。データをやり取りする際や保存する際に、暗号化など情報を保護するための強力なプロセスを整備しているかどうか確認します。また、社外の安全な場所にデータのバックアップを保持しているかどうかも確認してください。ハードコピーは、鍵の掛かる施設やアクセス制限のある保管場所に保存する必要があります。確認する際は、テクノロジーに精通したリソース (取引先または社内の専門家) に同席してもらうようにしましょう。

デバイスを保護するために使用しているハードウェアやソフトウェアについても確認してください。パソコンやサーバーには、最新のファイアウォール、企業向けのウイルス対策ソフトウェアやスパイウェア対策ソフトウェア、最新のセキュリティパッチをインストールする必要があります。情報にアクセスするために使用しているモバイルデバイスにも、マルウェアやプライバシーの漏えいから保護するためのソフトウェアが必要です。取引先の種類によっては、ファイルの保存期間や破棄に関する明確なポリシーを策定する必要もあります。

2. 従業員の採用調査は行っていますか?

すべての取引先に、従業員の採用調査プロセス (過去の雇用証明など) と、従業員による不正防止のために講じている対策について尋ねてください。また、承認された従業員以外は顧客データにアクセスできないようにするために、どのようなプロセスを導入しているか確認します。ファイルをパスワードで保護するにせよ、データの保管施設に鍵を掛けるにせよ、業務上必要な従業員以外はデータにアクセスできないようにすることが必要です。

3. 従業員をどのように教育していますか?

取引先の従業員も、あなたの会社の従業員と同じように基本的なセキュリティ対策 (ベストプラクティス) を実行する必要があります。基本的なセキュリティ対策としては、長くて複雑な (英数字や記号を組み合わせた) パスワードの設定や、パスワードの定期的な変更などがあります。さらに、疑わしい電子メールを判別し、見知らぬ送信元からのメールに記載されているリンクをクリックしたり不明なサイトからファイルをダウンロードしたりしないよう指導してください。

また、取引先の従業員が顧客関連情報にリモートからアクセスできるかどうか確認してください。アクセスできる場合は、どのようなガイドラインを策定しているか尋ねます。リモートアクセスには仮想プライベートネットワーク (VPN) を使用することが求められます。VPN は、インターネット上に安全な「トンネル」を構築してデバイスと会社のネットワークをつなぐ技術です。データへのリモートアクセスに使用するすべてのデバイスで、ウイルス対策ソフトウェアを実行している必要があります。

4. 当社のデータを第三者と共有する可能性はありますか?

取引先の種類によっては、業務の一部を外部に委託していることも珍しくはありません。たとえば、会計事務所の場合は簿記や確定申告書類作成サービスを、保険会社の場合はデータ入力や請求処理を外部に任せているかもしれません。すべての取引先に、こうした第三者との関係について尋ねてください。取引先の委託企業があなたの会社の情報に対してどのようなアクセス権を持っているのか、その委託企業のセキュリティポリシーをどのように評価しているのか確認します。

取引先のセキュリティポリシーを入念に評価することはもちろんですが、あなたの会社の内部でもセキュリティを最優先に考えることが重要です。安心してビジネスを展開するためにも、デバイスやデータのセキュリティを強化してください。