情報セキュリティ基礎知識


セキュリティマネジメントの必要性

あなたは、『情報セキュリティ対策=ウイルス対策ソフトの導入』と考えていませんか。
情報システムを保有していない会社の経営者や社員とお話するとそのような認識をもっている方は非常に多いという印象を受けます。
確かにウイルス対策ソフトを導入することは、PCを守るという観点で重要です。しかし、その対策だけでは企業における情報資産を守るには不十分です。USBの中のデータを守れるでしょうか。クラウドサービスにアップロードしたファイルは大丈夫なのでしょうか。あくまでもPCを守るという製品なのです。
スマホやノートPCを社外で紛失した場合や重要書類を社員が不正にコピーして外部に流出させたりするケースにはウイルスセキュリティソフトは役に立ちません。場合によってはシステムでは防御できないケースも出てきます。

このように、情報セキュリティ対策はIT面だけの対策ではなく、業務ルールや社員の情報セキュリティへの意識を総合したものが要求されます。そして個々の対策が有機的に連携し漏れのない対策を行うことが求めれます。

情報セキュリティの必要性

情報セキュリティポリシーの策定

情報セキュリティポリシーとは企業の情報セキュリティ対策の方針をまとめたものです。これを元にして各種規定や手順書を作成していきます。先に述べたように情報セキュリティ対策はITだけではなく人やルールについて漏れなく検討することが求められます。そのためには統一的な考えの下、対策を検討することが求められるため、最初にこの情報セキュリティポリシーの策定します。セキュリティマネジメントの要というべきものです。

ナレッジコーディネーターにおいても情報セキュリティポリシーやその実施手順書を策定しており、情報セキュリティポリシーは公開しているのでこれから策定を考えている方は参考にしてみてはいかがでしょうか。
(参考)情報セキュリティポリシー

情報セキュリティ対策の運用

いくら立派な情報セキュリティポリシーを策定しても実際の運用が回っていなければ意味がありません。サーバのログ収集や分析、ウイルスセキュリティソフトの設定・運用、スマホやUSBなどの可搬媒体の持ち出し確認、個人情報の適切な管理、最近ではSNSの業務利用を行っている会社が多いので、SNS利用状況調査等、定期的に策定したルールに基づいて運用できているのかチェックする必要が出てきます。

社員一人ひとりに関係することなので、会社組織に属する全ての人が当事者意識を持つことが求められます。『誰かがやっているから大丈夫だろう。聞いていなかった。』ということは許されません。情報セキュリティ責任者がリーダーシップを発揮して社員一人ひとりに情報セキュリティへの意識をしっかり根付かせることが求められます。

定期的に見直しできているか

情報セキュリティ対策は一度策定したからずっと有効に機能するわけではありません。スマホの登場やSNSの発展により業務が変わるように業務の変化に応じて情報セキュリティルールも変わることが求められます。策定した情報セキュリティポリシーの有効性を1年に一度評価し、必要に応じて変更していくことが重要です。場合によってはリスクを許容した上でルールを緩めて社員への負担を減らすという決断を下しても良いです。重要なことはできる範囲で確実にセキュリティ対策の運用を行い続けることです。

←前の記事 情報セキュリティ対策の全体像

次の記事→ マネジメントの役割

コンタクト情報

Topics

Top