オフィスにおけるセキュリティ対策の進め方|具体策や活用できる補助金も紹介
働き方
オフィスのセキュリティ対策の重要性はわかっていても、具体的に何から始めれば良いかわからないという方も多いのではないでしょうか。
一重にセキュリティ対策といっても、オフィス内のどの場所に、何を目的とした対策を導入するのか、事前に確認しておくことは異なります。また闇雲にセキュリティ対策を進めようとしても、期待していた効果が出ずにコストだけが無駄になるケースは少なくないので注意が必要です。
この記事では、はじめてオフィスのセキュリティ対策を導入しようと考えている企業担当者の方に向けて、セキュリティ対策の進め方や具体的なツール・システムをご紹介します。ぜひ参考にしてください。
目次
オフィス内のセキュリティ対策に取り組むべき理由
オフィス内のセキュリティ対策に取り組むにあたり、前提知識として「空間セキュリティ」と「情報セキュリティ」について確認しましょう。
「空間セキュリティ」とは、社員や取引先など、オフィスに来訪する人の動線から考えるセキュリティ対策のことです。「情報セキュリティ」とは、会社の機密情報や社員の個人情報など、情報資産を守るためのものを指します。
空間セキュリティ、情報セキュリティに対してそれぞれ具体的な対策は異なりますが、どちらのセキュリティに関しても取り組みべき理由は同じです。オフィス内のセキュリティ対策に取り組むべき3つの理由を解説します。
■企業の資産を守るため
一つ目の理由は「企業の資産を守るため」です。企業にとっての資産とは、現金や預金、建物や土地、設備、情報など多岐にわたります。こうした資産が何らかの理由で損害を受けた場合、その影響は図り知れません。
たとえば金銭が盗難された場合、企業経営に直接的な影響を及ぼします。それだけではなく「金銭が盗まれるようなセキュリティが甘い企業」と認識されることで、取引先や出資元など関係機関からの信用を失うほか、社会全体からの信頼も失う可能性があります。盗まれた金額以上の損失が発生するのです。
企業の資産を盗難、破損するのは、外部から侵入した第三者だけではありません。普段から出入りのある社外関係者や、社員による持ち出しなども考えられます。自社を守るためにも、あらゆる場合を想定したオフィス内のセキュリティ対策が必要です。
■社員を守るため
二つ目の理由は「社員を守るため」です。
空間セキュリティの観点でいうと、無関係な第三者がオフィス内に入ることで社員の身の安全が脅かされます。第三者が直接社員を傷つける危険性もあれば、窃盗目的の不審者が逃走しようとした際、制止しようとした社員が巻き込まれてケガをする場合も考えられるでしょう。
情報セキュリティの観点では、社員の個人情報が外部に漏れてしまうリスクがあります。社員の個人情報が外部に漏れると、社員だけではなくその家族にまで影響が及びます。
また、社員が企業の機密情報を外部に漏洩することも考えられるでしょう。社員が企業の機密情報を外部に漏洩させるのは、悪意がある場合だけとは限りません。情報の取り扱いについて社内でルールが整備されていなかったために、誤った方法で情報を取り扱ってしまい、漏洩につながるケースも想定されます。社内のルールを統一することも大切なセキュリティ対策です。
■社会的責務を果たすため
三つ目の理由は「社会的責務を果たすため」です。
企業には、社会的責任としてセキュリティ対策に取り組むことが求められています。個人情報保護法やマイナンバー法などの法令では、企業が取り組むべきセキュリティ対策が定められており、遵守しなければ法令違反として刑事罰や罰金を科される可能性もあります。
また、情報セキュリティ対策は世界的にも重要な経営課題です。情報セキュリティ製品・システム評価基準(ISO/IEC15408)や情報セキュリティマネジメントシステムの認証基準(ISO/IEC27001)といった国際基準が規定されており、こうした認証基準を取得することで客観的に企業の情報セキュリティの高さを証明することができます。
認証基準を取得している企業と優先的に取引をおこなう場合もあり、情報セキュリティに取り組むことはもはや企業として当然の責務と言えるでしょう。
オフィスセキュリティ対策を推進する流れ
オフィス内のセキュリティ対策を推進するにはどうすれば良いのでしょうか。オフィスにおけるセキュリティ対策の進め方を4つのステップにわけて解説します。
1.資産管理の把握
2.適切なツール・システムの導入
3.運用・保守ルールの策定
4.情報セキュリティの社員教育
セキュリティ対策をしたからといって、情報漏洩のリスクがゼロになるわけではありません。しかし、リスクを下げることはできます。情報や物品などの資産や社員、社会的信頼など、企業に関わるあらゆるものを守るために、セキュリティ対策に真摯に取り組む必要があります。
■1.資産管理の把握
最初に、セキュリティ対策が必要な資産を把握しましょう。何を守れば良いのかわからなければ、どのような対策をおこなうか決めることはできません。
セキュリティ対策が必要な資産は「物理的に対策できる資産」と「技術的に対策が必要な資産」の2つに分けて考えると良いでしょう。物理的に対策できる資産と技術的な対策が必要な資産ではセキュリティ対策の方法も異なるため、しっかりと洗い出して見える化することが大切です。
セキュリティ対策が必要な資産 | 例 |
物理的に対策できる資産 |
|
技術的な対策が必要な資産 |
|
洗い出す際には、現在の保管方法やリスクのあるポイントはどこかなど、現状の把握もあわせておこないましょう。現状を把握することで課題が特定でき、必要な対策を検討できます。
■2.適切なツール・システムの導入
次に、オフィスセキュリティ対策に適切なツール・システムを導入しましょう。一つの対策で全てをカバーできるわけではないため、それぞれの資産に合わせた適切なセキュリティ対策を導入する必要があります。現在の保管方法やリスクのあるポイントを判断材料に優先順位を付け、優先度の高いものからツールやシステムを導入しましょう。
たとえば、機密書類が記載された書類を施錠できない棚に保管していたとします。
現状ではセキュリティ対策が不十分なので、セキュリティ機能の高い収納棚や金庫に保管するなどの対策が考えられます。また、破棄する際は通常のシュレッダーではなくマイクロクロスカット式シュレッダーを使用してください。
このように資産価値が高いにも関わらず、セキュリティ対策が取られていないものを最優先にツールやシステムの導入を検討しましょう。
■3.運用・保守ルールの策定
導入するツールやシステムが決まったら、各ツールやシステムに対して運用・保守の社内ルールを策定します。社内ルールを決めることで、社員間で統一された運用ができるようになります。社外へ説明が必要になった際にも、あらかじめルールを作成しておくと説明がスムーズです。
運用・保守のルールには、基本方針や対策基準、実施手順などを盛り込みます。対策基準には「許可される行為」と「許可されない行為」の明確なラインを記載しましょう。違反した場合の罰則もあわせて規定します。
実施手順は、誰がおこなう場合でも同じ業務フローで作業ができるよう、できる限り具体的に記載します。
■4.情報セキュリティの社員教育
最後に、社員に対して情報セキュリティの教育をおこないます。どれだけ精度の高いセキュリティ対策を実施しても、社員が正しく理解、運用できなければ意味がありません。
また、セキュリティ対策だけですべてのリスクに対応できるわけではなく、最終的にはセキュリティ対策を運用する社員の意識や働きに委ねられることになります。
社員のセキュリティに対するリテラシーを向上させるため、ルールやマニュアルを策定し、教育することがセキュリティ対策の効果を最大化させることにつながります。
情報セキュリティ教育の一例をご紹介します。
- 社内担当者による研修
- 外部講師を招いた社内研修
- 外部セミナーへの参加
- e-ラーニング
社内担当者による研修は比較的費用をおさえることができますが、研修を企画する部署の負担が増える懸念があります。外部講師、外部セミナー、e-ラーニングは研修を外注する方法で、担当部署の負担をおさえることができますが、費用がかかります。社内担当者の業務状況や研修に対する予算などを考え、実施方法を検討しましょう。
空間におけるオフィスセキュリティ対策
空間におけるオフィスセキュリティ対策とは、エントランスや受付、廊下、会議室など、オフィス内の空間に対してのセキュリティ対策です。空間におけるオフィスセキュリティ対策の進め方や具体的なツールをご紹介します。
■セキュリティゾーニングの設定
セキュリティ対策を導入する前に、ゾーニングをおこないましょう。ゾーニングとは、社内をゾーン(エリア)に分け、セキュリティレベルやゾーンの使用用途に応じて具体的な対策を講じるものです。
ゾーニングを設定するのは手間がかかるものの、各ゾーンにあわせた対策をすることで、セキュリティ対策の効果を高めることが期待できます。ゾーニングの一例は次のとおりです。
セキュリティレベル | ゾーン | セキュリティ対策例 |
Lv1 | パブリックゾーン
|
制限や対策の必要性は低い
|
Lv2 | 共有ゾーン
|
不審者や部外者の侵入を防ぐ必要がある
|
Lv3 | ワークゾーン
|
外部の人間の出入りもあるため情報漏洩に注意が必要
|
Lv4 | 機密ゾーン
|
最も高いレベルのセキュリティ対策が必要
|
表内「セキュリティ対策例」に挙げたツールについて、次からご紹介します。
■防犯カメラの設置
防犯カメラを設置することで、何かトラブルが起こった際に防犯カメラの録画を確認して対応することができます。また、その場所を利用する人に「見られている」という意識を与えることもでき、不審者の侵入や社員の不正行為を抑止する効果も期待できます。
防犯カメラを設置する場合、おもに必要な費用は次のとおりです。
- カメラ代
- 設置工事費
- 電気代
- ハードディスク代
- モニター代
防犯カメラ1台につき、トータルで10~50万円前後が相場です。設置台数や配線距離、設置場所などによって金額は大きく異なります。なるべく費用をおさえたい場合は、リースやレンタルを検討しても良いでしょう。
■認証システムの導入
認証システムを設置し、各ゾーンへの入退室を管理します。認証システムにはテンキータイプやICカード、生体認証など複数の種類がありますが、特徴や導入コスト、セキュリティレベルはさまざまです。
認証システム | 特徴 |
テンキー |
|
ICカード認証 |
|
スマホ認証 |
|
生体認証 |
|
■パーテーションの設置
パーテーションを設置することで、目隠しや防音に役立ちます。1万円以下で購入できるものもあり、比較的導入しやすい対策と言えます。
目隠しが目的であればローパーテーションやデスクトップパーテーション、不審者の侵入防止も兼ねるのであれば天井までカバーできるアルミやスチールのパーテーションなど、場所と目的にあわせて選びましょう。
執務スペースや会議室、役員室などに設置する場合は、パーテーションに防音パネルを取り付けることで遮音性も高まり、会話内容から会社の機密情報が漏れるリスクも低減できます。
パーテーションに関する詳細はこちらの記事でも解説しています。
■サウンドマスキングシステムの導入
サウンドマスキングシステムとは、天井や壁にスピーカーを設置し、音楽を流すことで会話漏れを防ぐシステムです。個室であっても会話が隣の部屋に響く可能性があります。サウンドマスキングシステムを導入すると防音・遮音効果によりセキュリティが向上します。。
オフィスのデザインを損なわずに導入できる点や、1~2日ほどの短期間で設置できる点が支持されています。導入費用は機材の種類や設置台数によって異なりますが、設置工事費込みで20~100万円前後が相場です。
オフィスの防音対策に関する詳細はこちらの記事でも解説しています。
オフィスセキュリティ対策で必要なツール・システム
ここでは、オフィスセキュリティ対策で必要なツールやシステムをご紹介します。社員情報や顧客情報、営業情報など、システムや紙に記録された企業の機密情報が外部に漏れるのを防ぐ役割があります。
■セキュリティ機能の高い収納棚や金庫
重要書類や機密情報が入ったハードウェアなどは、鍵付きの収納棚や耐火・対工具防盗に優れた金庫に保管したうえで、権限を付与した人しか解錠できないようにしましょう。
解錠の履歴も残すと、よりセキュリティ面を強化できます。解錠履歴の管理は紙の台帳を用いるほか、解錠履歴を記録できる機能がついた金庫や収納棚を導入する方法もあります。
収納棚や金庫にはテンキーやダイヤル認証機能、よりセキュリティレベルの高い静脈認証が搭載されたタイプもあるため、収納する物品や保管する場所などにあわせて適したものを選びましょう。
■マイクロクロスカット式シュレッダー
機密性が高い情報が記録された書類は、通常のシュレッダーではなく、より細かく裁断できるシュレッダーを利用しましょう。
一般的に使われているシュレッダーはクロスカット式が主流ですが、マイクロクロスカット式と呼ばれるシュレッダーの方がより細かく裁断できるため、セキュリティ対策に効果的です。安価なものであれば15,000円前後から購入できるため、比較的導入コストが低いと言えます。
書類によっては、シュレッダーにかけない状態で廃棄すると個人情報保護法や不正競争防止法に抵触する恐れもあるため注意が必要です。社員にもシュレッダーをかけたうえで廃棄することを周知徹底しましょう。
■最新バージョンのOS・アプリ
OSやアプリを常に最新バージョンにアップデートしておくことで、セキュリティ面の脆弱性に対処したプログラムを適用できます。脆弱性をそのままにしておくと、外部からの不正アクセスを許してしまうほか、ウイルスに感染するリスクも高まるため注意が必要です。
ただし、使用しているシステムが新しいOSに対応していない場合やOS側に不具合がある場合などは、OSのバージョンアップで不備が生じる可能性があります。不測の事態に備えるためにも、事前にバックアップを取ってからバージョンアップを実施しましょう。
■セキュリティソフト
不正アクセスやウイルス感染の対策にはセキュリティソフトの導入が有効です。システムがウイルスに感染すると、自社システムから情報が漏洩する以外にも、取引先など外部機関へ感染が拡大するおそれがあります。このようなリスクを防ぐためにも、セキュリティソフトの導入は必須です。
導入するセキュリティソフトを選ぶ際は、対応しているOSやインストールできる台数、利用期間、動作の軽さ、カスタマーサポート体制などを踏まえて検討しましょう。
■VPN
VPNとは「Virtual Private Network」の略で「仮想専用線」とも呼ばれます。インターネット通信を暗号化し、ネットプライバシーを保護するためのサービスです。
インターネットに接続する際は、VPN接続を用いることでセキュリティの向上につながります。
VPN接続はリモートワークでも効果を発揮します。通常、リモートワークの場合は会社がセキュリティを管理できず、各社員の自宅のセキュリティ対策に任せるしかありません。そのため、セキュリティ対策のレベルにばらつきがでてしまう懸念があります。
VPN接続を使用すると、リモートワークでも会社と同じネットワーク環境でインターネットに接続できます。会社でおこなっているセキュリティ対策がそのまま適用されるため、高いレベルでのセキュリティ対策を実施することが可能です。
■パスワード管理ツール
使用するシステムやソフトのパスワード管理には、パスワード管理ツールを導入しましょう。どれだけセキュリティ対策を強化したとしても、パスワード情報が漏洩してはセキュリティ対策の意味がありません。パスワードが外部に漏れないように管理することが必要不可欠です。
パスワードを紙に書いて管理している社員もいるかもしれませんが、紙を落として盗まれる危険があります。ツールを用いてパスワードを管理することで、セキュリティを高めることにつながります。
パスワード管理ツールには、セキュリティソフトに搭載されているものや、クラウド上で使用できるものなどがあります。パスワードの保存や自動生成機能、ワンタイムパスワードの発行など機能はさまざまであるため、自社が使いやすいツールを選定しましょう。
企業が守るべき情報セキュリティ関連の法律
情報セキュリティ対策が不十分だと、自社の情報が漏洩するだけではなく、法令違反として企業が罰せられる場合もあるため注意が必要です。
下表は企業が守るべき情報セキュリティ関連の法律です。自社が守らなければならない法律を正しく認識しておきましょう。
法令 | 概要 | 法令違反による処罰(一例) |
個人情報保護法 | 企業や団体が個人情報をきちんと大切に取り扱ったうえで、有効に活用できるよう共通のルールを定めた法律。従業員情報や取引先の名刺も個人情報にあたるため、保有する個人情報が少ない企業でもこの法律が適用される。 |
|
マイナンバー法(番号法) | マイナンバー(特定個人情報)の確認・保管・利用・廃棄など正しい取り扱いを定めた法律。 |
|
不正競争防止法 | 営業秘密・限定提供データに係る不正行為の防止などを定めた法律。 |
|
金融消費取引法 | インサイダー取引の規制などを定めた法律。 |
|
民法 | 私人間の権利や義務の関係性をまとめた基本的な法律。709条で「不法行為による損害賠償」を規定。 |
|
オフィスセキュリティ対策に活用可能な補助金
オフィスのセキュリティ対策を導入する際に、コスト面がネックとなり導入をためらう方もいるかもしれません。現在はオフィスセキュリティ対策に活用できる補助金制度も複数あるため、そうした補助金を活用するのも一つの方法です。
ここでは次の3つの補助金をご紹介します。
・サイバーセキュリティ対策促進助成金
・ものづくり補助金
・IT導入補助金
募集の有無や条件、助成金額などは変更になる可能性があるため、応募前に最新情報を確認しましょう。
■サイバーセキュリティ対策促進助成金
IPA(独立行政法人情報処理推進機構)が運営する制度です。
中小企業者等がセキュリティ対策のため導入する機器の費用に対して助成されます。助成額は1,500万円を上限として、助成対象経費の1/2以内が支給となります。対象となる事業者はSECURITY ACTIONの2段階目(二つ星)を宣言している都内の中小企業者・中小企業団体に限られます。
出典元:公益財団法人東京都中小企業企業振興公社 令和4年度 サイバーセキュリティ対策促進助成金 申請案内
■ものづくり補助金
中小企業庁及び独立行政法人中小企業基盤整備機構が実施する「ものづくり・商業・サービス生産性向上促進補助事業」の一環で、国中小企業団体中央会が管理・運用している制度です。
設備投資で生産性アップを証明できる場合に利用でき、補助金を受けられるかどうかは審査で決定されます。補助額は応募のタイミングで変わり、直近の第11次締切分では上限が1,250万円となっています。
補助対象は機械装置・システム構築費をはじめ、次の内容に対して補助金が支給される仕組みです。
- 機械・装置、工具・器具の購入、製作、借用に要する経費
- 専用ソフトウェア・情報システムの購入・構築、借用に要する経費
- 改良・修繕又は据付けに要する経費
出典元:ものづくり補助事業公式ホームページ ものづくり補助金総合サイト
■IT導入補助金
独立行政法人中小企業基盤整備機構および中小企業庁監督のもと、一般社団法人サービスデザイン推進協議会が運営している制度です。
IT導入補助金には複数の種類があり、セキュリティ対策の費用に対して補助がおこなわれるのは「セキュリティ対策推進枠」です。補助額は100万円を上限として、かかった費用の1/2以内に対して支給されます。
補助の対象となるのは独立行政法人情報処理推進機構が公表する「サイバーセキュリティお助け隊サービスリスト」に掲載されているいずれかのサービスの利用料(最大2年分)と指定されています。
出典元:IT導入補助金2022
自社を守るためにセキュリティ対策を導入しよう
この記事では、初めてオフィスセキュリティ対策の導入を検討している方に向けて、セキュリティ対策の必要性や具体的な方法などを紹介しました。
セキュリティ対策を講じることは自社の資産を守るだけではなく、社員の安全や社会からの信頼を守ることにもつながります。もはやオフィス内のセキュリティ対策は企業にとって必要不可欠です。
今回紹介した内容を最初からすべて実施することは難しいかもしれません。すぐに実行可能な施策やイニシャルコストが安いものなど、できることから少しずつ始めてみましょう。