ITmedia エグゼクティブセミナーリポート:限りなくゼロに近いリスクを追い求める
現場のITリスクを把握してルールを可視化し、運用および管理しながらリスクをゼロに近付ける努力をする。「ITmediaエグゼクティブセミナー」で日立ソフトの松江芳夫氏が情報漏えい対策のポイントを解説した。
情報漏えいとは、情報のコントロールを失うことと言える。いかに情報を保護し、コントロール下に置きながらチェックをするかが肝心だ。「第2回ITmediaエグゼクティブセミナー」で日立ソフトウェアエンジニアリングソリューション営業本部プロダクト営業部部長松江芳夫氏が情報漏えい対策のポイントについて講演した。
松江氏は、情報漏えい対策の手順として2つのステップを紹介した。1つは現状を把握しながら次にセキュリティポリシーを徹底すること、そして最後に運用を通じてポリシーに微調整を加えながら、PDCAサイクルを回すことだ。
「情報セキュリティの最大の目的は、安全と安心を提供すること」と、セキュリティ対策への意識向上を訴える日立ソフトの松江芳夫氏これまでの情報漏えい事件や事故報道を検証すると、いかに現場の実情を把握しておらず、情報をコントロールできていないかが見えてくるという。例えば、PCの操作記録などのログを月に一度しか検査していなかったり、同様の流出事故が数年前からあっても放置していた事例などは意外に多い。
このように現実を直視できていない企業は、内部や業務委託先の社員に情報を盗まれ、事件が明るみに出て企業の信頼性を失う結果となっている。「事件や事故は現場で起きている。現場で何が起きているのか、情報はどのように守られているのかが分からないのにセキュリティ対策をとれるはずがない」と松江氏。
持ち出しPCの盗難やWinny経由での情報流出事故も、現状を把握していなかったことによる被害と言える。例えば、仕事の続きをしようと資料データを持ち帰った社員が、帰宅途中でデータの入ったPCやUSBメモリを紛失する可能性はないだろうか。さらに、自宅PCにウイルス対策が施されていなかったり、家族共有のパソコンに子供がWinnyをインストールしていたら、など企業にとって流出の不安はたえないはずだ。
「このような現状を把握できれば、どのような対策を施すべきか見えてくるだろう。データをPCで持ち出すのであれば、ディスクごと暗号化する手段がとれる。また、USBメモリも暗号化できる製品が出ている」
また、情報をコントロールする場合も同社が提供している「秘文」のようなツールを活用できるだろう。例えば、情報を外部メディアへのコピーを制御する「秘文AE Information Fortress」や、印刷自体を制御する「秘文AE Watermark Print」。さらに、自宅PCのような社外のPCへのコピーを制御できる「秘文AE CopyGuard」といった製品もある。
セキュリティポリシーを形骸化させない運用を
現状を把握できたら、次にセキュリティポリシーを策定するべきだ。セキュリティポリシーの策定がなぜ重要になるかは、情報セキュリティに関する法令の個人情報保護法の目的を考えてみるとよいと松江氏は言う。
同法では、個人情報は消費者などから預かった資産であるとしており、それを適正に利用して管理することが求められている。つまり、個人情報を安全に保護することは企業としての社会的責務であると明文化されているのだ。対策を実効性のあるものにするには、「情報は単なるデータではないことを社員に理解させる必要がある」と松江氏は指摘する。
例えば、自宅に持ち帰った情報が情報資産であるという意識を持たせるには、セキュリティポリシーで明確に定義することが有効となるという。
また、不正競争防止法の目的からもポリシー策定する重要性が見えてくる。同法は、営業秘密を保護するためにアクセス制御といった秘密管理を求めるものだ。企業に流出防止のための自衛策を講じることが要求されており、実践的な管理をうながしている。しかし、ITインフラの整った企業ネットワークで、データ化された営業秘密が流出するのを確実に止めることは難しいが、止めるための仕組みやルールを構築して、最小限に抑えることはできる。そのためにも、情報を守る方針を策定することは必須なのである。
なお、セキュリティポリシーは策定後も現状に則して見直す必要がある。ハッカーなどによる攻撃は常に進化しており、新しい法令も次々に整備されている。また、運用を進めていくことで、当初は見えていなかったリスクが表面化することもあるだろう。「セキュリティポリシーを形骸化させては意味がない。運用状況を監視しながら見直すという、PDCAサイクルを実施する姿勢が重要だ」(松江氏)。
これを実現するには、セキュリティ対策の運用状況が可視化できるとよい。「車のイグニションを回すと自動的にオイルやバッテリーなどを点検できるように、セキュリティも管理者に負荷をかけない方法で簡単に点検できることが望ましいはずだ」(松江氏)。
リスクを完全にゼロにすることはできない。ただし、現状を見つめてポリシーを定め、適切な対策を施しながらPDCAサイクルで見直しを図ることができれば、限りなくゼロに近付けることはできるという。
関連記事
「IT全般統制の中核はセキュリティ統制」――あるソフトウェア企業の取り組み
ソフトウェア企業のクオリティは、2003年から全社的にセキュリティ対策に取り組み始め、運用・見直しを図ってきた。内部統制で求められるIT統制の対応のポイントもセキュリティ対策と変わりはない、という。
内部統制で競争力は向上するのか?
内部統制は、法律に従って実施するだけのものではない。企業戦略の土台としてルールを整備し、さらなる市場展開を目指すための戦略的な基盤と考えるべきだ。牧野二郎弁護士はこう主張する。
社内の混乱を最低限に抑えて切り抜けろ
日本版SOX法を目前に控えた今、内部統制の整備・評価で大変なフェーズにさしかかっている企業は少なくないはずだ。そのフェーズを上手に切り抜ける方法として、東芝ソリューションでは整備(文書化)・評価支援機能を持った内部統制推進ソリューションの活用を提案している。- 情報資産の保全はできているか?
情報セキュリティは企業にとって大きな経営課題の1つだ。フォーバル クリエーティブでは、「Check Point UTM-1」シリーズをはじめ総合的なセキュリティソリューションを提供し、その課題解決しようとしている。 - 最終チェック 現実を見た日本版SOX法対応
- 法務とITに存在する「深すぎる溝」
関連リンク
Copyright© 2012 ITmedia, Inc. All Rights Reserved.
Special
- PR -Special
- PR -ITmedia エグゼクティブのご案内
ぜひこの機会にお申し込みください。
下記入会条件を満たされている方には、ITmedia エグゼクティブ事務局が審査の上、入会のために必要な招待状をメールでお送りいたします。
Special
- PR -お勧めコミュニティー
この数日間で、大手各社経営者の年頭所感が発表された。私は自動車工業会、情報通信ネットワーク産業協会それぞれが 主催する賀詞交歓会に毎年出席しているが、今回の会場で各社トップが発表する年頭所感には、これまでにはない“改革”や“挑戦”といった意気込みをひしひしと感じた。
気持ちも新たに臨む新年!少しいつもと違うワインを楽しみたいものです。なかでも女性におススメして喜ばれるデザートワインに、珍しい「バニュルス・ブラン」をご紹介したいと思います!残念ながら、日本ではあまり見かけませんが、ぜひ知ってもらいたい極上の酒精強化ワインの一つです。
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
ITmediaはアイティメディア株式会社の登録商標です。