Sphere System Consulting ltd. スフィアシステムコンサルティング株式会社

Vol.35 身の丈に合った情報セキュリティとは?その1

 コラム

身の丈に合った情報セキュリティとは?その1

 

情報セキュリティに対する重要性が増してきています。個人情報の漏えいやサイバー攻撃のニュースは連日のように発生しています。

ただしこれは、新しい技術の登場時にはやむを得ない側面もあります。

かつて自動車の登場により道路の整備と信号機や交通ルールが策定されて徐々に浸透していったように、ITのジャンルにおいても新技術の登場によりルールの策定と事故防止の動きが活発になっています。だだ少し違うのは、ITは新技術の登場スピードが速いため、法整備などルールが追いつかないという新たな一面があるということです。

 

変化のスピードが速いという特徴があるからこそ、情報セキュリティの本来の目的を見失うことのないよう注意する必要があります。

 

業務系ITにおいても、企業として情報セキュリティの対応は必要不可欠となりました。
ウイルス対策ソフトの導入は一般的になりましたが、セキュリティの対象は操作をする人にも向けられます。

 

大きな組織になると、内部統制との関連からIT統制などの監査項目も増えています。

一言に情報セキュリティといっても、外部からの防御であったり、内部である社内の様々なチェック(監査)とも関連してきます。

 

外部の対応は、主にツールや機器(例、ウイルス対策ソフトやファイヤーウォールなど)とその運用が中心になります。これに対して、内部の対応は、運用とその運用が適切かどうかのチェックが中心となります。

 

どちらにも共通するのは運用です。

企業の規模に関係なく、情報セキュリティ対応に欠かせないのは運用なのです。

 

監査がそれほど重視されない小規模組織から、第三者に向けて監査結果を公表する必要がある大規模組織まで、身の丈に合った情報セキュリティ対応が求められます。

 

この「身の丈に合った情報セキュリティ」を定義するとき、運用可能かどうか?が含まれなければならないのです。情報セキュリティに関するツールや機器を導入したとしても、必ず運用する仕組みが必要です。

 

具体的な例で言えば、ウイルス対策ソフトは導入したけれども、いざウイルスを検知したときに何をすればよいかわからず、被害を拡大させてしまうケースがあります。この例で言えば、ウイルス感染の疑いがあるときにLANケーブルを抜く(ネットワークから外す)という初動があらかじめ決め事として存在しないため、できない可能性があるのです。
もしかしたら、ウイルス対策ソフトの誤検知の可能性も考えられます。運用が機能しなければ、対応をしていないのと何ら変わらない状況になってしまいます。

 

もちろん情報セキュリティ運用を外部に委託するのは可能ですが、
すべてを外部に委託するのは難しいです。

 

情報セキュリティ対応は、企業活動において直接利益を生むのではなく、リスク対応です。
社内での運用管理が残る事を前提にリスク対応を組み立てる必要があります。