一般社団法人 東京都中小企業診断士協会 城南支部
1.情報リスクへの対処
情報リスクは次の3つが存在することで発生しました。
・守るべき情報資産がある。
・脅威(危険なこと、もの)がある。
・脆弱性(弱み、油断)がある。
このうち、情報資産と脅威については、なくすことができない、なくならないといえます。何故なら会社には必ず情報資産があり、脅威は外部からやってくるからです。
従って情報リスクを発生させないためには、何らかの手を打って脆弱性をなくすことが極めて重要となります。
実は情報セキュリティ対策とは、この脆弱性をなくすために打つ手に他ならないのです。
ところで、企業の経営者や管理者にとって、情報セキュリティ対策は非常に分かりにくいものの一つであると思います。
2.情報セキュリティ対策の考え方
情報セキュリティ対策は次の3つに分類して考えると理解しやすいのです。つまり「物理的対策」、「技術的対策」、「管理的対策」です。管理的対策は人的対策や組織的対策ともいいます。
「物理的対策」とはサーバ室やマシン室を別室にしたり、監視カメラを設置したりする目に見える対策のことです。
「技術的対策」とはファイアウオールの設置や暗号化、パスワード認証などのいわゆるセキュリティ技術のことです。
「管理的対策」とは情報の取扱についてのルールを決めて、それを遵守することをいいます。例えばPCの釣り扱いルール、電子メールやインターネットの利用ルール、鍵の管理などがあります。
「物理的対策」、「技術的対策」の2つは設備投資が必要ですが、その効果が明確であり、即効性があるために理解しやすいものです。
それに比べて管理的対策は、設備投資は必要ありませんが、人による運用を中心としますので定着・浸透するのに時間がかかります。
3.徹底が必要な管理的対策
しかし実際に最も徹底が必要なのがこの管理的対策です。何故なら情報セキュリティに関する事故は結局は人によるものであり、漏えい事故に関していえば、社内からの流出が大半なのです。
NPO日本情報セキュリティ協会の2008年調査によりますと、個人情報の漏えいの原因で多い順は「誤操作」、「管理ミス」、「紛失・置忘れ」となっています。この3つで全体の71.5%を占めています。
これらは気をつけていれば防げるものばかりです。
ではこの管理的対策を徹底するにはどのようにしたらよいでしょうか。
まずルールを策定します。どのようなルールが必要か、次回以降に解説します。
次にルールを文書化します。つまり「見える化」です。そして教育を行います。教育は1回だけなく、定着するまで繰り返し行うことが必要です。そしてルールを守っているか、チェックをします。
このように地道な活動を繰り返していくことが、セキュリティ意識を定着させていくうえで大切です。
柄澤明久
