- 目次 -
●企業にとっての情報セキュリティ
情報セキュリティ 対策は、よくITと紐付けて話をされることが多いですが、そもそも本来は、ITあっての情報セキュリティではありません。
企業はさまざ まな「情報」を持っているはずです。社員の個人情報、顧客関連の情報、自社の機密情報… パソコンの中でなくても、紙に書かれているものもたくさんあるはずです。それらもみんな「情報」であり、外に漏れたらまずいものは守らなければなりませ ん。
情報セキュリティ対策とは、IT活用以前に企業になければならないルールであると考えてください。
ましてや、 ITとはInformation Technology、つまり「情報」を扱う技術なわけですから、ITを活用するのに情報セキュリティに対するポリシーがないということは、考えられませ ん。
●守るものを明確にする
情報セキュリ ティ対策を考える上での第一歩は、何が大事で何を守るのかを明確にすることです。自社にとって重要な情報資産とは何かを、まずははっきりさせてください。
社内で一番重要な情報資産が何かを判断できるのは、経営者です。ですから、経営者を含めて社内検討を行い、洗い出しを実施します。
情報 資産の重要性は、一般的に「機密性」「完全性」「可用性」という軸で評価されます。
| 機密性 | どこまで公開してよい情報資産なのか? | |
| 完全性 | 改ざんされるとどのくらいまずい情報資産なの か? | |
| 可用性 | どの くらいの期間使えなくなってもよい情報資産なのか? | |
●ポリシーの立案
重要な情報資産を明確にした上で、その資産をどのように守る のかを考えます。
それぞれの情報資産には、個別に想定されるリスクがあります。そしてそのリスクがどのくらい起こりやすいのか(発生確 率)は、リスクごとに異なります。すべてのリスクに対応するのは難しいですから、重要な情報資産の、一番発生しやすくて危険度が高いリスクに対する対策を 優先して、対策を立てていきます。
具体的な対策ですが、大まかに分けて物理的、人的、技術的対策があります。
| 物理的対策 | 棚や部屋への施錠、機器のワイヤーロッ ク、デスクの整理など | |
| 人的対策 | 文書取扱規定、各種資産の持ち出し制限、利用者制限、業務委託管理など | |
| 技術的対策 | ウイルス対策、スパム対策、ファイアウオー ル設定など | |
● 最大のセキュリティホールとは
企業にとって最大のセキュリティホールは「人間」です。社内ルールの策定・徹底・継続は、とにか く重要です。そしてこれらは、経営者が主導しないとなかなかうまく行きません。
また、情報セキュリティの脅威は、ITの進展に つれてどんどん拡大しています。HowTo記事のVol.3 ITが活用できる企業の6つの条件で、IT活用ができる企業の条件として「情報収集を実施すること」を挙げましたが、情報セキュリティについては企業の脅 威となるという意味で、日常的な情報収集が非常に重要です。できることなら専任の担当者を決めて、自社にとって必要な情報を集約したいものです。
そして、最終的な形として社内体制を完璧に整えようとするなら、その指針となるのが「情報セキュリティマネジメント」という考え方です。これは ISO27001として国際標準化されています。
<関連リンク>
情報セキュリティ・マネジメントの実施手順
http://itpro.nikkeibp.co.jp/article/COLUMN/20070530/273054/
