企業の情報漏洩防止について/大塚 邦雄

 個人情報の管理について法整備が進み、昨年個人情報保護法が成立し来年には
本格施行されます。個人情報に関する関心も高まっており如何に情報管理を行う
かが今問われていますが、この情報管理は会社の大小に関わらず実施していかな
ければなりません。もし情報漏洩が発生した場合の代償は測りしれないものがあ
ることは周知の事実であり、転ばぬ先の杖で必要にして十分な対策を取っておき
たいものです。

 それでは情報漏洩を防ぐにはどうしたら良いのでしょうか。ここで改めてセキ
ュリティポリシーについて考えてみます。セキュリティポリシーと言うと堅いイ
メージになりますが初めから雁字搦めで度を過ぎたものを作ってもいけません。
費用対効果、業務への影響度を考えたバランスが必要であり、大上段に構える必
要もありません。そもそも情報漏洩の問題は今に始まったことではありませんし
情報が価値を持っていたのは今も昔も変わりませんが情報の量・スピードが飛躍
的に違い、そのもたらす価値が全く比べ物にならないものとなっており、セキュ
リティポリシーも社会の情勢によって対象となるものも変わってきます。このメ
ルマガを読まれている読者は当然パソコンを使われインターネットに接続して情
報を得ているわけですからウィルスの脅威にも曝されています。ですから情報を
得るだけでなく情報が漏れる可能性も秘めていることになります。

 ではセキュリティポリシーで何を決めればよいのでしょうか。まず守るべき情
報が何かということですが、情報セキュリティポリシーの対象となるものは、
1.情報システムそのもの。これはハード、ソフト、CDなどの外部記録媒体が
あたります。2.情報システムによって電磁的に記録された内容、3.前記情報
に接する人、となります。守るべき情報そのものは更にその重要性によって分類
します。
 一例をあげると、(顧客・社員の)個人情報あるいは会社情報の機密性、情報
の正確性・完全性の保証、情報を継続的に利用できる可用性などが考えられます。

 次にこの情報の価値を明らかにするとともに情報資産毎にリスクを分析します。
一般的にリスク大きさはその発生頻度と被害の大きさの積で求めます。
セキュリティー対策はこのリスクの大きさを下回る範囲とします。また忘れては
ならないことは被害を防止するだけでなく実際に被害が発生したときに如何に早
く復旧して定常業務に戻すか、その期間・費用も想定しておかなければなりませ
ん。そしてこの情報システムを管理する人、あるいは利用する人の権限と責任を
決め、対策案としてまとめます。対策案はこのリスクの大きさを小さくするので
すから、発生の頻度を抑えるか(例えばアクセス制限)、影響範囲を狭める方策
(例えば分散管理)を講じます。こうして出来たセキュリティポリシーは一度策
定したら終わりでなく、ここからがスタートとなります。情報技術は日進月歩で
変わりますし、スピード経営で会社の組織もフレキシブルに躍動を続けます。一
度作成したものも運用してみて、問題がないか評価し、見直しをして常に最適化
を図らなければなりません。この点がよく忘れられてしまいますので、情報シス
テム管理責任者は常に留意しておきたいところです。

 セキュリティポリシーが決まったら具体的な対策案を検討しますが、対策案と
しては、大きく次の3つがあります。
 (1)物理的なセキュリティ
  大事な情報が入っているパソコンが物理的に壊れたり、盗難にあったら手も
 足も出ないでは業務に支障があります。あるいはネットワークの回線が切断さ
 れてデータの受け渡しが遅れては困ります。また最近はノートパソコンの高性
 能化で持ち歩く機会が多いですが、危険度合いも高まります。これらの危険か
 ら情報システムを守るため設備・機器管理をします。
 (2)人的セキュリティ
  セキュリティの厳格化は時として業務の効率性・利便性に反することがあり
 ます。どこまで厳密にするかは前に述べましたリスクとの兼ね合いになります
 が、大事なのは危険を予知した場合の迅速な対応であり、被害を最小限に抑え
 ることに重点を置いた教育・訓練が必要です。ウィルスに感染しても知らぬふ
 りをされ、被害が広まったらそれこそ大変です。また“人を見たら泥棒と思え”
 という諺もありますが、組織内部において日頃からのヒューマン管理が大切で
 す。
 (3)技術的セキュリティ
  技術的なセキュリティとしては情報システムへのアクセス制限・記録、バッ
 クアップの取得、データの暗号化があります。また利用者に対して目的外の利
 用禁止・パソコン自体を含む記録媒体の持ち出し禁止・無許可のソフトウェア
 導入禁止などを徹底します。これらの技術的なセキュリティについては各種の
 ソフトウェアも開発されていますのでそれらを利用して安全対策を十分に立て
 ておきたいものです。

 セキュリティ問題は範囲が広く、専門的知識が必要となります。情報システム
に不安を感じたらITコーディネータにご相談ください。


■執筆者プロフィール

 大塚 邦雄
 情報処理システム監査、ITコーディネータ
 25年にわたるシステム経験をもとにIT化を支援します。
 e-mail:kunio920@mbox.kyoto-inet.or.jp

 

 

公式Facebookページはこちらから

<いいね>をクリック!