情報セキュリティ基礎知識


情報セキュリティの全体像

情報セキュリティは、守るべきものがあり、それを脅かす脅威とその脅威がついてくる脆弱性が存在するときに必要になると言われています。
それは会社が外部からの侵入を防ぐために会社の周りに塀を設けたり、出入り口に鍵をつけたり、24時間警備をつけたりする等、会社の資産(資金、在庫等)を守るのと同じ考えです。
益々、情報資産に対する価値が増えてきていることを考えると、経営課題として扱いすぐにでも対処すべき対策です。

防犯

守るべき資産とは

会社が守るべき資産とはどんなものなのでしょうか。オフィスのセキュリティでは守るべき対象として金庫や契約書、債権関連の書類、特許や開発中の製品設計書、そして在庫などが上げられます。
同じように考えると、守るべき情報資産は顧客情報や個人情報の電子ファイルや格納しているPCもしくはサーバー、可搬媒体になるでしょう。会社によってはこの他にも大切な情報資産があると思います。まずは、会社として守るべき情報資産を定めることから始めましょう。
そして、会社が運転資金を鍵付きの金庫に保管するように、守るべき情報資産も同じセキュリティ水準で管理することが求められます。限られた人のみにアクセスを許し、データを暗号化するなどの対策も併せて検討する必要が出てくるでしょう。

守るべき情報資産

情報セキュリティ対策は変化に合わせて行う

情報セキュリティ対策は一度行えば十分というものではありません。オフィスのセキュリティ対策との大きな違いはここにあります。毎日100万種以上の新たなコンピュータウイルスが生まれ、数年後に500億以上もの機器がインターネットにつながると言われる状況において、情報資産を脅かす脅威や脆弱性は絶えず生まれているのです。
そのため、情報セキュリティ対策もその変化に対応する必要があります。新たな脅威を検知し対処することができなければ対策を行っていないことと同じことになってしまうのです。
あなたの会社では新たな脅威や脆弱性を検知していますか。現在のセキュリティ対策は有効であると自信をもって言えますか。
最新のセキュアシステムを導入していたとしても数年も経つと様々な脆弱性が発見され放置していると外部攻撃を受けることがあります。また、windows OSを始め、ITの世界ではセキュリティ面で完全な製品を世に出す習慣がありません。最初は軽微な脆弱性であっても時間の経過と共にリスクが高くなることがあります。そのため、時代の変化に対応したセキュリティ対策が必要になるのです。

セキュリティ対策を行っていなければどうなるのか

情報セキュリティ対策を行っていなければ、オフィスのセキュリティと同じように侵入を受け資産を盗まれたり、破壊されたりすることがあります。
それだけでなく次のように被害が自社内に留まらず取引先など他の企業へ迷惑をかけることもあります。

  • メールアカウントが乗っ取られ取引先になりすましメールを送られてしまう
  • ウイルスファイルを社内に拡散される
  • 乗っ取られたPCが特定の企業を攻撃する
  • 不正送金される

しかし、未だに「情報システムを持っていないからうちには関係ない。小さな会社だから大丈夫。重要な情報は何もありません。」という経営者がいます。確かに大企業の方が狙われやすいですが、中小企業も攻撃対象となっています(参考:経営課題としてのセキュリティ対策)。また、情報漏洩は外部からの攻撃ではなく、会社に不満をもった社員の犯行であったり、PCやスマホを紛失したことによるので、いつでもインシデントが発生してもおかしくないのです。
21世紀の経営者としてセキュリティ対策をどのように扱うのかという課題はこれから先益々大きなものになっていくでしょう。

情報セキュリティ対策を行うメリット

情報セキュリティ対策を行っていなければ、自社が保有する情報資産を守れないだけでなく、取引先を始め様々な組織に迷惑をかける可能性があることを説明してきました。
ここでは、情報セキュリティ対策を行った時のメリットを改めてまとめたいと思います。

  • 社内の情報資産を守ることができる
  • 情報資産を守る体制・文化を構築できる
  • 取引先に『情報セキュリティ対策をしっかりしている会社だ』という印象を与える
  • 社員の情報セキュリティ対策スキルを向上することができる
  • 情報を適切に扱うことができる会社に成長することができる

実はセキュリティ強化を行うことは、情報を適切に扱う能力が組織としてあがることを意味します。多くの企業がまだ十分出ない状況を考えると、セキュリティ強化を行うことが新たな競争力を身につけることだといっても過言ではないでしょう。

情報セキュリティ対策の役割

情報セキュリティ対策は主に3点あり、情報セキュリティマネジメント、セキュアシステム、社員教育です。下記のリンクより各情報セキュリティ対策の役割を知ることができるので、ご覧になってください。

次の記事→ セキュリティマネジメント

コンタクト情報

Topics

Top