過去のコラムは、https://www.itc-kyoto.jp/category/column-old/に移行しています
入会案内
お問い合わせ
入会案内

あなたの会社の情報セキュリティは大丈夫ですか?/池内 正晴

1.はじめに

 昨年に公開された新しい「ITコーディネータ・プロセスガイドラインVer1.0」における改定ポイントのひとつとして、セキュリティ&リスク管理についての記述が多くなっている。以前のガイドラインでは、セキュリティについて明示的に記述している部分は下流部分の運用サービス・デリバリフェーズのみであったが、今回のものでは上流フェーズである経営戦略フェーズから「リスク評価」という項目で取り上げられているのをはじめ、各フェーズの随所にセキュリティ&リスク管理に関する記述が盛り込まれている。

2.情報漏洩のリスクの重要性

 企業が生産活動を行い、存在し続けていくためには、さまざまな戦略により競争力を確保し、顧客のみならずビジネスパートナーや地域社会など多くの関係者に対して価値のある活動を続けていかなければならない。この価値を見出すためには、優れた製品やサービスを適したタイミングで安価に提供できるようにするなどの、攻めの活動が重要なのは、言うまでもない。しかし、いかに効果的な攻めの活動を行ったとしても、内部の機密情報が外部に漏れるなどの事故によって、企業の存続に致命的なダメージを与えられる可能性がある。そのため、経営戦略はセキュリティやリスクの管理にも十分に配慮したものである必要がある。
 雑誌の特集記事などで、情報セキュリティ対策について書かれているのをよく目にする。そのなかには、情報システムに万全セキュリティ対策を行えば、「これでもう、あなたの会社は安心です」と思わせるような記事も、しばしば見受けられる。
 企業が活動を行っていれば、「新製品の企画」「顧客リスト」「商談の記録」など、数多くの情報が社内に存在しており、それが外部に流出すれば競争力の低下や社会的信用の失墜など、大きなダメージを受けることになる。これは、IT化を進めているか否かにかかわらず起こりうる事態であり、情報システムのセキュリティ対策という局所的な対応で万全の対応ができないということは明白である。

3.IT化に潜むセキュリティリスク

 企業が保有している情報のセキュリティを確保する対策として、その情報が関係者以外に奪われることが無いように、侵入阻止や施錠などの物理的な保護を行うことは、すでに常識的に実践されている。しかし、情報漏えい事件の事例をみてもわかるように、関係者の故意または過失により社内の情報が外部に流出するといった状況が数多く発生している。これを防止するためには、社内規則・制度の見直しやガイドラインの整備を進めるとともに、社員の教育を行っていくなどの全社的な取り組みが必要となってくる。
 社内業務IT化を進めることにより、多くの情報が電子データ化されて蓄積されていくこととなる。電子化されたデータの特性として、物理的に非常に小さな媒体に大量のデータを格納することができる。たとえば数百ページある紙の資料であれば容易に持ち歩くことは困難であるが、このデータを電子データ化すれば小さなUSBメモリに格納し、それをポケットに入れて持ち歩くことは容易である。
しかし、その小さなUSBメモリを紛失した場合の被害は数百枚の文書を紛失した場合と同じであるので、ちょっとした不注意が今まででは考えられなかった規模の事故につながる可能性があるのである。さらに、悪意を持っている社員がいれば、大量の情報を他の社員に気付かれること無く持ち出すことが容易になるのである。
 ITを活用した情報武装化は、企業経営にとって強力な武器となる反面、情報漏洩のリスクが増大してしまうという諸刃の剣なのである。そのため、これを安全な片刃の剣に変えるためのセキュリティ対策が重要になってくるのである。

4.万全の情報漏洩対策をめざして

 社内情報の保護を進める際に、まず初めに、守るべき情報とは何であるのか、そしてそれはどこにあるかということを考える必要がある。この情報は、電子データに限らず、紙ベースでファイリングされた物もある。この紙ベースの情報を電子データとして保存(もちろん、前項のセキュリティ対策をしっかりしたシステムである必要がある)することにより、安全性を高めることが可能となる。紙ベースの情報では、誰が何時、どの情報を参照したかを、確実に把握することは困難である。電子データとして保存されたデータであれば、その情報を参照するためには、コンピュータの端末を操作する必要があり、その操作内容をログとして保存しておけば、誰が何時、どの情報を参照したかを確実に把握することが可能である。そして、このログを適宜確認することにより、各利用者が機密情報を適切に利用しているかをチェックすることによって、不適切な利用を抑止する効果がある。ただ、注意しなければいけないのは、情報を利用するため使用したプリントアウトなどを放置されてしまうと、せっかくの機密情報保護が台無しになってしまう。情報漏洩防止の最終防衛ラインは利用者のモラルということになり、
ガイドラインの制定や社員の教育が重要な要素となるのである。

————————————————————————
■執筆者プロフィール
  池内 正晴 (Masaharu Ikeuchi)
   学校法人聖パウロ学園
       光泉中学・高等学校 教務部 情報担当
   ITコーディネータ
  E-mail: ikeuchi@mbox.kyoto-inet.or.jp

研究会
介護ソリューション研究会、WEB/SNS研究会を行っています
地域経済社会の発展に寄与すべく、組織を挙げて各種の事業を実施します。

経営課題を明確にした上で、ICTの活⽤を含めて総合的に経営課題を解決したい、既存のシステム活⽤がうまくいっていない、IT⼈材の育成をしたい等、IT経営に関することでお困りの⽅は、お気軽にお問合せ・ご相談ください。

会員情報
賛助会員情報
メールマガジン登録
お問い合わせ
itc_under_icon01
特定非営利活動法人ITコーディネータ京都

〒600-8813
京都市下京区中堂寺南町134番地
京都リサーチパークASTEM棟8階 8F06

© IT Coordinator Kyoto. All Rights Reserved.