ニュース
» 2007年10月25日 11時00分 公開

ITmedia エグゼクティブセミナーリポート:限りなくゼロに近いリスクを追い求める

現場のITリスクを把握してルールを可視化し、運用および管理しながらリスクをゼロに近付ける努力をする。「ITmediaエグゼクティブセミナー」で日立ソフトの松江芳夫氏が情報漏えい対策のポイントを解説した。

[谷崎朋子,ITmedia]

 情報漏えいとは、情報のコントロールを失うことと言える。いかに情報を保護し、コントロール下に置きながらチェックをするかが肝心だ。「第2回ITmediaエグゼクティブセミナー」で日立ソフトウェアエンジニアリングソリューション営業本部プロダクト営業部部長松江芳夫氏が情報漏えい対策のポイントについて講演した。

 松江氏は、情報漏えい対策の手順として2つのステップを紹介した。1つは現状を把握しながら次にセキュリティポリシーを徹底すること、そして最後に運用を通じてポリシーに微調整を加えながら、PDCAサイクルを回すことだ。

松江芳夫氏 「情報セキュリティの最大の目的は、安全と安心を提供すること」と、セキュリティ対策への意識向上を訴える日立ソフトの松江芳夫氏

 これまでの情報漏えい事件や事故報道を検証すると、いかに現場の実情を把握しておらず、情報をコントロールできていないかが見えてくるという。例えば、PCの操作記録などのログを月に一度しか検査していなかったり、同様の流出事故が数年前からあっても放置していた事例などは意外に多い。

 このように現実を直視できていない企業は、内部や業務委託先の社員に情報を盗まれ、事件が明るみに出て企業の信頼性を失う結果となっている。「事件や事故は現場で起きている。現場で何が起きているのか、情報はどのように守られているのかが分からないのにセキュリティ対策をとれるはずがない」と松江氏。

 持ち出しPCの盗難やWinny経由での情報流出事故も、現状を把握していなかったことによる被害と言える。例えば、仕事の続きをしようと資料データを持ち帰った社員が、帰宅途中でデータの入ったPCやUSBメモリを紛失する可能性はないだろうか。さらに、自宅PCにウイルス対策が施されていなかったり、家族共有のパソコンに子供がWinnyをインストールしていたら、など企業にとって流出の不安はたえないはずだ。

 「このような現状を把握できれば、どのような対策を施すべきか見えてくるだろう。データをPCで持ち出すのであれば、ディスクごと暗号化する手段がとれる。また、USBメモリも暗号化できる製品が出ている」

 また、情報をコントロールする場合も同社が提供している「秘文」のようなツールを活用できるだろう。例えば、情報を外部メディアへのコピーを制御する「秘文AE Information Fortress」や、印刷自体を制御する「秘文AE Watermark Print」。さらに、自宅PCのような社外のPCへのコピーを制御できる「秘文AE CopyGuard」といった製品もある。

セキュリティポリシーを形骸化させない運用を

 現状を把握できたら、次にセキュリティポリシーを策定するべきだ。セキュリティポリシーの策定がなぜ重要になるかは、情報セキュリティに関する法令の個人情報保護法の目的を考えてみるとよいと松江氏は言う。

 同法では、個人情報は消費者などから預かった資産であるとしており、それを適正に利用して管理することが求められている。つまり、個人情報を安全に保護することは企業としての社会的責務であると明文化されているのだ。対策を実効性のあるものにするには、「情報は単なるデータではないことを社員に理解させる必要がある」と松江氏は指摘する。

 例えば、自宅に持ち帰った情報が情報資産であるという意識を持たせるには、セキュリティポリシーで明確に定義することが有効となるという。

 また、不正競争防止法の目的からもポリシー策定する重要性が見えてくる。同法は、営業秘密を保護するためにアクセス制御といった秘密管理を求めるものだ。企業に流出防止のための自衛策を講じることが要求されており、実践的な管理をうながしている。しかし、ITインフラの整った企業ネットワークで、データ化された営業秘密が流出するのを確実に止めることは難しいが、止めるための仕組みやルールを構築して、最小限に抑えることはできる。そのためにも、情報を守る方針を策定することは必須なのである。

 なお、セキュリティポリシーは策定後も現状に則して見直す必要がある。ハッカーなどによる攻撃は常に進化しており、新しい法令も次々に整備されている。また、運用を進めていくことで、当初は見えていなかったリスクが表面化することもあるだろう。「セキュリティポリシーを形骸化させては意味がない。運用状況を監視しながら見直すという、PDCAサイクルを実施する姿勢が重要だ」(松江氏)。

 これを実現するには、セキュリティ対策の運用状況が可視化できるとよい。「車のイグニションを回すと自動的にオイルやバッテリーなどを点検できるように、セキュリティも管理者に負荷をかけない方法で簡単に点検できることが望ましいはずだ」(松江氏)。

 リスクを完全にゼロにすることはできない。ただし、現状を見つめてポリシーを定め、適切な対策を施しながらPDCAサイクルで見直しを図ることができれば、限りなくゼロに近付けることはできるという。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆