限りなくゼロに近いリスクを追い求める:ITmedia エグゼクティブセミナーリポート
現場のITリスクを把握してルールを可視化し、運用および管理しながらリスクをゼロに近付ける努力をする。「ITmediaエグゼクティブセミナー」で日立ソフトの松江芳夫氏が情報漏えい対策のポイントを解説した。
情報漏えいとは、情報のコントロールを失うことと言える。いかに情報を保護し、コントロール下に置きながらチェックをするかが肝心だ。「第2回ITmediaエグゼクティブセミナー」で日立ソフトウェアエンジニアリングソリューション営業本部プロダクト営業部部長松江芳夫氏が情報漏えい対策のポイントについて講演した。
松江氏は、情報漏えい対策の手順として2つのステップを紹介した。1つは現状を把握しながら次にセキュリティポリシーを徹底すること、そして最後に運用を通じてポリシーに微調整を加えながら、PDCAサイクルを回すことだ。
「情報セキュリティの最大の目的は、安全と安心を提供すること」と、セキュリティ対策への意識向上を訴える日立ソフトの松江芳夫氏これまでの情報漏えい事件や事故報道を検証すると、いかに現場の実情を把握しておらず、情報をコントロールできていないかが見えてくるという。例えば、PCの操作記録などのログを月に一度しか検査していなかったり、同様の流出事故が数年前からあっても放置していた事例などは意外に多い。
このように現実を直視できていない企業は、内部や業務委託先の社員に情報を盗まれ、事件が明るみに出て企業の信頼性を失う結果となっている。「事件や事故は現場で起きている。現場で何が起きているのか、情報はどのように守られているのかが分からないのにセキュリティ対策をとれるはずがない」と松江氏。
持ち出しPCの盗難やWinny経由での情報流出事故も、現状を把握していなかったことによる被害と言える。例えば、仕事の続きをしようと資料データを持ち帰った社員が、帰宅途中でデータの入ったPCやUSBメモリを紛失する可能性はないだろうか。さらに、自宅PCにウイルス対策が施されていなかったり、家族共有のパソコンに子供がWinnyをインストールしていたら、など企業にとって流出の不安はたえないはずだ。
「このような現状を把握できれば、どのような対策を施すべきか見えてくるだろう。データをPCで持ち出すのであれば、ディスクごと暗号化する手段がとれる。また、USBメモリも暗号化できる製品が出ている」
また、情報をコントロールする場合も同社が提供している「秘文」のようなツールを活用できるだろう。例えば、情報を外部メディアへのコピーを制御する「秘文AE Information Fortress」や、印刷自体を制御する「秘文AE Watermark Print」。さらに、自宅PCのような社外のPCへのコピーを制御できる「秘文AE CopyGuard」といった製品もある。
セキュリティポリシーを形骸化させない運用を
現状を把握できたら、次にセキュリティポリシーを策定するべきだ。セキュリティポリシーの策定がなぜ重要になるかは、情報セキュリティに関する法令の個人情報保護法の目的を考えてみるとよいと松江氏は言う。
同法では、個人情報は消費者などから預かった資産であるとしており、それを適正に利用して管理することが求められている。つまり、個人情報を安全に保護することは企業としての社会的責務であると明文化されているのだ。対策を実効性のあるものにするには、「情報は単なるデータではないことを社員に理解させる必要がある」と松江氏は指摘する。
例えば、自宅に持ち帰った情報が情報資産であるという意識を持たせるには、セキュリティポリシーで明確に定義することが有効となるという。
また、不正競争防止法の目的からもポリシー策定する重要性が見えてくる。同法は、営業秘密を保護するためにアクセス制御といった秘密管理を求めるものだ。企業に流出防止のための自衛策を講じることが要求されており、実践的な管理をうながしている。しかし、ITインフラの整った企業ネットワークで、データ化された営業秘密が流出するのを確実に止めることは難しいが、止めるための仕組みやルールを構築して、最小限に抑えることはできる。そのためにも、情報を守る方針を策定することは必須なのである。
なお、セキュリティポリシーは策定後も現状に則して見直す必要がある。ハッカーなどによる攻撃は常に進化しており、新しい法令も次々に整備されている。また、運用を進めていくことで、当初は見えていなかったリスクが表面化することもあるだろう。「セキュリティポリシーを形骸化させては意味がない。運用状況を監視しながら見直すという、PDCAサイクルを実施する姿勢が重要だ」(松江氏)。
これを実現するには、セキュリティ対策の運用状況が可視化できるとよい。「車のイグニションを回すと自動的にオイルやバッテリーなどを点検できるように、セキュリティも管理者に負荷をかけない方法で簡単に点検できることが望ましいはずだ」(松江氏)。
リスクを完全にゼロにすることはできない。ただし、現状を見つめてポリシーを定め、適切な対策を施しながらPDCAサイクルで見直しを図ることができれば、限りなくゼロに近付けることはできるという。
関連記事
「IT全般統制の中核はセキュリティ統制」――あるソフトウェア企業の取り組み
ソフトウェア企業のクオリティは、2003年から全社的にセキュリティ対策に取り組み始め、運用・見直しを図ってきた。内部統制で求められるIT統制の対応のポイントもセキュリティ対策と変わりはない、という。
内部統制で競争力は向上するのか?
内部統制は、法律に従って実施するだけのものではない。企業戦略の土台としてルールを整備し、さらなる市場展開を目指すための戦略的な基盤と考えるべきだ。牧野二郎弁護士はこう主張する。
社内の混乱を最低限に抑えて切り抜けろ
日本版SOX法を目前に控えた今、内部統制の整備・評価で大変なフェーズにさしかかっている企業は少なくないはずだ。そのフェーズを上手に切り抜ける方法として、東芝ソリューションでは整備(文書化)・評価支援機能を持った内部統制推進ソリューションの活用を提案している。- 情報資産の保全はできているか?
情報セキュリティは企業にとって大きな経営課題の1つだ。フォーバル クリエーティブでは、「Check Point UTM-1」シリーズをはじめ総合的なセキュリティソリューションを提供し、その課題解決しようとしている。 - 最終チェック 現実を見た日本版SOX法対応
- 法務とITに存在する「深すぎる溝」
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 管理職としてZ世代を率いるリーダーが、チームビルディングのために意識すべき「3つのこと」とは?
- なぜあの人は、いつも成果を出せるのか?── 「ほんとうに」仕事ができる人が持つ2つの資質
- 「志村の笑いは本物」……俳優・寺田農さんが産経新聞読書面に残した28本のコラムを読む
- 日産、高性能EVへ「リチウム金属負極」 採用の全固体電池 エネルギー密度、従来の2倍
- パナソニック、高級家電の再生品 公式通販を開始 初期不良など修理・清掃
- 事業規模2倍に「社員はイエスマンにならないで」シャトレーゼ社長、斉藤貴子さん
- 「ITmedia エグゼクティブ DX eマガジン 2024春」(PDF)の提供開始
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- ヤマト運輸と佐川急便、1日から値上げ 「2024年問題」でドライバー不足など顕在化
- 富士フイルム、ヘルスケアや半導体を中心に1.9兆円投資 今後3年間で
事務局からのお知らせ
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。