Q&A経営相談室
【危機管理】
自社から他社へのウイルス感染防止策
 
Q:
  ネットセキュリティ・マニュアルを作成中です。社内パソコンのウイルス感染による取引先への被害拡大を防止するには、どのような対策が必要になるのでしょうか。(婦人服小売業)
 
<回答者>情報セキュリティ大学院大学 教授 内田勝也

A:
 パソコンウイルスの感染ルートには、「外部からきた電子メールに貼付されていたファイルを誤って開いてしまったため感染した」「感染していたパソコンを社内のネットワークに持ち込んだ」「社内の利用者が怪しげなサイトを閲覧したためウイルスに感染した」等があります。
 感染原因としては、(1)ウイルス検出・削除のためのワクチンソフトを導入していなかった(2)ワクチンソフトを最新のものに更新していなかった(3)Windowsを最新のものに更新していない(Windows Updateの未実施)(4)ワクチンソフトを利用者が無効にしていた――等が考えられます。
 対策の第一は感染しない仕組みを考えることで、ワクチンソフトの導入は必須になります。

  また(2)のケースは、「更新が面倒」「ワクチンベンダーでトラブルがあると社内のパソコンに大きな被害がでる可能性がある」といった理由から行われていないことがままあります。ただそうした不都合よりも、実際に社内や外部への感染被害を与えることの方が遙かにリスクは高いといえます。ワクチンソフトの更新が心配であれば、複数のソフトを導入しましょう。
 ウイルス感染被害の多くは一部の従業員(役員、正社員、派遣社員等全ての利用者)の不用意な行為が原因の大部分ですから、まず事前対応として感染による問題点等を社内で教育し周知しておくことが大切です。教育では、次のような内容を定期的(年1回程度)に実施します。

1.ウイルス感染の原因行為の禁止を周知する
 ワクチンソフトの未導入や更新の未実施、ワクチンソフトを外したり自動更新を停止させる、電子メールの貼付ファイルを不用意に開く、怪しげなウェブの閲覧やファイルのダウンロード等を行わないよう徹底させます。

2.社外感染の危険性を認識させる
 ウイルス感染は、単に自社が被害者になるだけでなく、取引先等に対して加害者になりえることを示す。

3.感染被害例を紹介し自社でその感染が発生した場合、どの程度の被害規模・被害金額になるかを説明する
 自社業務への影響と取引先等に感染させた場合の影響を、事例で具体的に把握させます。

 その他、一般的な事故・事件対応は、『危機管理対応マニュアル』(東京商工会議所/サンマーク文庫)など参考資料を利用してください。

取引先に感染被害を与えたら…

 取引先に感染被害を与えた場合には、すぐに次のような対応を行うよう指導しておきます。

1.ワクチンソフトで自社の全てのPCが感染していないか確認
 最近の電子メールの添付ファイル等で感染を広げるウイルスでは、電子メールアドレスを偽称していることもありますので、ワクチンソフトで確認することが必要です。

2.同時に、ウイルス感染をさせた事のお詫びを行う
  お詫びは迅速に行う事は言うまでもありません。

3.原因が明確になっていれば、その対策、再発防止対策を相手に説明する

 自社で手に負えなければ外部に相談することも考えられます。

  ワクチンソフトを導入し常に最新の状態にすることやWindows Updateの実施といったセキュリティ対策を行っていなければ、損害賠償を請求されないまでも、取引先へ感染被害を広げたことで取引停止になる可能性があります。ウイルスに感染する取引先自身のセキュリティ対策にも問題がないとはいえませんが、原因はあくまでも自社であることの認識が必要となります。

提供:株式会社TKC(2006年2月)
 
(注) 当Q&Aの掲載内容は、個別の質問に対する回答であり、株式会社TKCは当Q&Aを参考にして発生した不利益や問題について何ら責任を負うものではありません。
戻る ▲ ページトップへ戻る