法人が管理すべき情報セキュリティリスクと対策について

法人が管理すべき情報セキュリティリスクと対策について
対象とする読者
・「情報セキュリティは重要」と会社から常々言われるけど、いまいちわからないサラリーマン
・情報セキュリティ対策について何から手を付ければいいのか今更人に聞けない経営層
・上記の人たちにセキュリティの重要さを説明するけど、なかなか響かなくて困っている情シス
・通りすがりのセキュリティに興味のある人

 

話の要点
法人の情報セキュリティ対策が必要な理由は事業を継続するためである。

・ウイルスやマルウェア・ランサムウェアによりパソコンが使えなくなる
・不正侵入やDDoS攻撃などでシステムに接続できなくなる・停止する・破壊される
・業務上の機密情報や顧客・従業員の個人情報が流出する

いずれが起きても大なり小なり事業は止まる。
データやシステムの復旧には時間がかかるし、情報漏えい等で失われた顧客・取引先・社会からの信頼の回復にはもっと時間がかかる。セキュリティに起因する問題による事業活動の停止リスクを低減させるために、情報セキュリティ対策は必要不可欠なものである。

法人が情報セキュリティのために行うべきことは、リスクがあるものを全て禁止するのではなく、必要な権限と利用範囲を定義して、ルールを守った運用をすること。その際に考慮すべき代表的なセキュリティリスクは以下5点。

1.盗難・紛失
2.不正アクセス
3.ウイルス・マルウェア・ランサムウェア感染
4.情報漏えい
5.アタック・クラッキング

どこまでのリスクに手を打ち、どこからを許容するのか、事業活動へのインパクトを考慮したルール作りが必要。
またシステムでの設定やセキュリティソフトで防げるリスクはあくまで一部。「人」の教育・啓蒙によるセキュリティ・リテラシーの向上とルール遵守の風土の醸成が、最大の防御壁になる。

スポンサーリンク

情報セキュリティ対策は何故必要か

結論:事業継続のため

要点をまとめた結果、これ以上何か説明すべきことがあるかという状態なのですが、今回は法人の情報セキュリティ対策についてお話していきたいと思います。
きっかけは自身が社内のセキュリティ対策の計画を整理していった結果、「これ結構わかりやすいんじゃない?」と自画自賛してしまったことです。

前振りはともかく、企業をはじめとする法人の情報セキュリティ対策が何故必要かというと、一言でいえば「事業継続のため」です。情報セキュリティ対策を行っていないと、以下のような事業継続上の問題が発生します。

・パソコンがウイルスに感染して正常な動作をしなくなる。感染が社内全体に広がり、パソコンを使う全てのOA作業が停滞してしまう。
・全社で利用しているシステムが海外からのアタックにより停止、もしくはアクセス不能状態になり、システムを利用する全業務が停滞してしまう。
・社内の機密文書や社内システムのデータが持ち出され、同業他社に提供されたり、悪意のある業者に悪用されてしまい、事業活動に大きな影響が出る。
・お客様からお預かりしている個人情報の漏えいが発覚。個人情報保護委員会の監査顧客への謝罪・保証、場合によっては報道等への対応が必要となり、通常業務の停滞・信用低下による事業活動への影響が発生する。

大きなものから小さなものまで影響は様々ですが、要は通常通りの業務遂行に支障が出るだけではなく、発生した問題の解決や事態の収拾に多くの時間を費やさなくてはならなくなり、信頼低下・イメージダウンにより最悪の場合事業継続の危機に陥るリスクもある、ということです。

情報セキュリティリスクは常に発生する

ただこうしたリスクは情報セキュリティに関することだけではありません。
自然災害等のリスクに対してBCP(事業継続計画)を策定するのも理由は同じです。

ただし情報セキュリティリスクは自然災害リスクのようにいつどこで発生するかわからないものでなく、業務活動において常に発生しうるものです。

例えばインターネットにおいては1つのIPアドレスに対するアクセス件数は1日2,223.6件(警察庁「平成30年上半期におけるサイバー空間をめぐる脅威の情勢等について」)で、その多くは探索・攻撃・侵入を試みているものです。ネットワークを介した攻撃は24時間365日絶え間なく行われており、対策を怠っている箇所があれば一瞬で餌食になります。

ウイルス対策だけがセキュリティではない

セキュリティ対策と聞くと、一般的にイメージされるのはウイルス対策ソフトではないかと思います。しかし企業活動においてはウイルス感染はいくつもあるリスクのうちの一つにすぎません。

古典的と見られがちですが、紙媒体も盗難・紛失が発生すればそこから情報が漏えいする危険性はあります。またウイルスのような電子的な方法ではなく、人間が直接情報を詐取する場合も決して稀ではありません。

情報セキュリティ対策を行うために必要な最初の一歩は、「どのようなリスクがあるのか」「それに対してどのような対策があるのか」を正しく知ることです。「うちは個人情報なんて保持していないから」「インターネットにつながらないようにしているから」と安易に考えてしまわず、正しい知識を持って判断できるようになりましょう。

情報セキュリティ対策の基礎

最初の一歩の内、まず「どのような対策があるのか」の話からはじめます。
これを踏まえたうえで、どのようなリスクがあるのか⇒対策とつなげていきたいと思います。

情報セキュリティの3要素

最近は以下の3つに加えて「真正性」、「責任追跡性」、「信頼性」、「否認防止」を加えた7要素という場合もありますが、まずは基本の3つの要素を押さえておきましょう。

機密性

単純に言えば、「許可された人しか情報にアクセスできないようにする」ことです。
例えば、同じシステムにログインできるとしても、一般社員はデータの登録・閲覧しかできず、管理職は承認・削除まで可能、システム管理者はさらにマスタデータの登録・変更・削除が行える等、しかるべき人しか情報に到達できないようにしておくことでセキュリティを確保します。

逆に機密性が保たれていない状態というのは、関係者外秘の資料が誰でも取り出せるキャビネットに保管されていたり、ファイルサーバの全社員が閲覧可能なフォルダに人事考課のデータが格納されていたり、社外秘のデータを取り扱うシステムに社外からアクセスできたりする状態です。

こんな状態で「セキュリティを確保しろ」と言われても無理があります。

もちろん全ての情報へのアクセスを厳重に管理するという意味ではありません。
「全員が見てもいい情報」「特定の所属・役職者しか見てはいけない情報」「経営層のみで共有すべき情報」など、ランクを分けて、そのランクに必要なアクセス管理を行うことが必要です。

可用性

可用性は機密性の逆のイメージで、「許可された人が情報に確実にアクセスできるようにする」ことです。

例えばハードウェア障害やシステム障害によりデータが棄損した場合にバックアップから速やかに復旧できることや、クラスタリング等により継続運用ができるような構成を組むことなどが挙げられます。
テレワークなど外部からのアクセスを部分的に許可する場合なども可用性にあたります。

何でもかんでも機密にして業務に必要な操作まで妨げないようにすることが必要です。

完全性

情報の内容が正しく不足していない状態にあることが求められます。

システムの機能不備により登録データが正しく保存されないことで不正確な情報になってしまうことは完全性を欠いた状態と言えます。車の自動運転のためのデータが不正確だったため事故を起こす、医療機器に入力されたデータに誤りがあり不適切な治療を行うなども同様の事象です。
誤入力ではなくデータ改ざんによってこれらが引き起こされる可能性もあり、情報が正しい状態にあるかどうかチェックしておかなくてはいけません。
完全性を確保するためには、システムの品質確保や安定的な稼働、入力制御やチェック機能による誤入力の抑制、データ改ざんの検知等のシステム側での対策の他にも、マニュアルや操作研修、運用ルールの策定など運用する人の側の対策も必要です。

権限と利用範囲の明確化が必要

上記3要素がそれぞれ対策として機能するためには、誰はどの情報にはアクセスできなくてはならず、どの情報にはアクセスできてはいけないのかという利用範囲の整備が必要になります。

社員数の多い企業の場合、社員1人1人に対してこれらを検討することは困難な場合もあります。その場合には、同様の利用範囲を認められるべきグループ=権限を作成して、それを割り振っていくのが良いでしょう。

これらを踏まえて実際に起こりうるリスクを紹介しながら、想定される対策を考えていきます。

情報セキュリティリスクと対策

情報セキュリティリスクの内、代表的な5つの要素とリスク区分を一覧にしました。
リスク区分毎に具体的な例と対策を紹介していきます。

盗難・紛失

日本ネットワークセキュリティ協会「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)」によると、情報漏えいの原因の1位は「紛失・置き忘れ」、媒体・経路の1位は「紙媒体」でした。
情報漏えいだけがセキュリティリスクではありませんが、「紙媒体の紛失」がセキュリティ上の懸念事項の上位になることは間違いありません。

「盗られない・無くさない」の基本的な対策は、とにかく不要なものを持ち出さないことです。
「とりあえず」持ち出すパソコン、「念のため」持ち歩く書類を無くすことでリスクは低減します。
次に必要なことは資産管理、棚卸しです。あるのかないのかわからないものは無くなっても気付きません。
情報機器はシリアル番号の照合、紙媒体は保管状態の確認、そして照合する台帳の整備を行いましょう。

その上で無くした時の対策となります。
可搬媒体やデジタルデバイスはパスワード付与やデータの暗号化により情報の抜き取りを防ぎます。
またどのようなものが無くなったかわかるように、機密レベルの管理や持出情報の管理、資産管理ソフトによる保管データの確認などを行うことも必要です。
MDM等の管理ツールによる遠隔初期化を行うことも考えなければいけません。

全ての対策が必須とまでは言いませんが、持出管理、棚卸し、パスワード付与は最低限必要でしょう。
技術の進歩によりパスワードの突破は容易になってきているとはいえ、パスワードなしの端末とありの端末ではログインされてしまう可能性が違います。生体認証のような高度なセキュリティでなくても、南京錠でも無施錠よりは効果があります。

対象となる要素

紙媒体、可搬媒体、デジタルデバイス

考えられる危険
・契約情報等が印刷された紙資料を落としてしまい、機密情報・個人情報が漏えいする。
・USBメモリやCDにデータを保管していたが、媒体の数量や保管場所等が定められておらず、そもそも紛失していることに気付かず情報が漏えいする。
・パソコンやスマートフォンの使用ルール、持出ルールを守らず運用しており、盗難・紛失時に何のデータが保存されているかも把握できない。またブラウザが各種システムのログイン情報を記憶しており、システムにログインされてしまう(後述の「不正アクセス」につながる)。
取りうる対策
【機密性】不要な紙資料やデバイスは持ち歩かない。
【可用性】資産管理ソフト等により保管されているデータの確認や遠隔初期化ができるようにする。
【完全性】定められた使用ルール、持出ルールが遵守されていることを定期的に監査する。資産管理を行い、棚卸しを定期的に実施する。

不正アクセス


パソコンのログイン、ソフトやシステム・Webサービスのログイン等、ログイン情報は業務だけではなく日常の至る所に浸透してきています。ただ浸透しすぎたせいで、「何種類も覚えられないので全部同じにしている」「長いと覚えられないから簡単なものにしている」という話もよく聞きます。

つい一つ前の項目(盗難・紛失)で「南京錠でも無施錠よりはまし」と言った端からではありますが、家の鍵が南京錠のみという方は現代日本において非常に稀ではないかと思います。それは「それだけでは不安=安全が守られないから」でしょう。

パソコンにしてもWebサービスにしても、その中で管理している情報は企業にとって経営の源となる重要な情報が含まれています。簡単に突破されてしまうようなセキュリティではやはり不安があります。

多要素認証や生体認証等の高度なログインセキュリティもありますが、まずは以下に記載しているような基本的な対策を徹底することが必要です。付箋に書いて貼ってるのに関しては、鍵をかけていないのと同じです。

管理者で気をつけておかないといけない箇所にはなりますが、ネットワーク機器やIoT機器のパスワードを初期状態のまま運用していると、簡単に乗っ取られてしまいます。某社のWi-fiルーター管理画面の初期パスワードなんて、メーカーのホームページで晒されていますから付箋以上に危険と言えます。

対象となる要素

デジタルデバイス、社内共有デバイス、インターネット

考えられる危険
・PCのモニタに付箋でログインユーザー/パスワードが貼ってあり、他者のログインを許してしまい、情報流出・改ざん・破壊が行われる。
・「1234」「password」等類推されやすいパスワードで他者のログインを許してしまう。
複数のシステムで同じのパスワードを使用しており、別サービスから漏えいしたパスワードによりログインを許してしまう。
会社に許可されていないUSBメモリをPCに接続したところ、キーロガーが仕込まれており、キーボード入力の内容からユーザー/パスワードを詐取される。
ネットワーク(無線LAN、イントラ内のネットワーク機器、インターネット)を盗聴されてユーザー/パスワードを詐取される。
取りうる対策
【機密性】パソコンやシステムのログインユーザー/パスワードは人目に触れる場所に置かない。パスワードの複雑性を考慮する。パスワードは使いまわさない。ネットワーク機器・IoT機器等は初期パスワードで運用しない。会社で承認されていない機器やネットワークに接続しない。
【可用性】システムログインにおいて二段階認証の導入や端末制限やIPアドレス制限等を設ける。
【完全性】SSL/TSLにて通信が暗号化されているサービスを選択する。

ウイルス・マルウェア・ランサムウェア感染


「セキュリティ」と言われて一般的にイメージされやすいのがウイルス感染です。
コンピューターウイルスは日々増殖しています。最近ではパソコンやシステムに侵入してデータを暗号化し、複合化の条件として金銭(主に仮想通貨)を要求するランサムウェアによる被害が注目されています。
また仮想通貨のマイニングプログラムに感染させてPCリソースを使われるというパターンも最近の傾向の一つです。

イメージが一般化してきたため、ウイルス対策全く無しでデバイスを使用するということはさすがに減ってきていますし、法人であればなおさらです。その一方で侵入方法の多様化・高度化も進んできており、ウイルス対策ソフトを導入しているからといって万全であるとは言い切れません。

以前から知られている多くのウイルス対策ソフトは、既知のウイルスのパターンファイルと照合してウイルスを検知する方式を採用しています。しかしこの方式は「既知の」ウイルスには有効ですが、「新種の」ウイルスが発生した時パターンファイルに登録されるまでの期間はウイルスを検出してくれません。その合間を縫うように新種のウイルスは次々に世に送り出されます。

そのため最近ではパターンファイルではなく、プログラムの動作から危険性を判断する「ふるまい検知」や、仮想空間で実際にプログラムを実行させて危険性を検証する「サンドボックス」のような新たなセキュリティ対策が提供されはじめています。

そうした技術的なアプローチも必要ですが、基本は凡事徹底。以下に記載したような既に一般的に知られているウイルス侵入経路からの感染は、使用者が注意したりルールを守ることで回避することができます。その上でより高度な脅威に対してどのように対処していくのかということを検討していきましょう。

対象となる要素

可搬媒体、デジタルデバイス、社内共有デバイス、インターネット

考えられる危険
ウイルスやマルウェアに感染すると、パソコンやスマホ内部のデータや社内ネットワーク上の機器のデータの改ざん/破壊/漏洩が発生する。またランサムウェアに感染するとデバイスを暗号化されて身代金を要求される(払っても復号化できるとは限らない)。感染拡大によりPCやシステムを利用する業務が滞ったり、メール等を通じて社外にも被害が拡大する。以下の事象が発生源になりうる。
会社で管理されていないUSBメモリやHDDドライブをPCに接続する。
不信なメールの添付ファイルを開いたり、記載されているURLに遷移する。
・発行元不明なフリーソフトをインストールする。
怪しいWebページのURLをクリックする。
取りうる対策
【機密性】怪しいメールが来たら添付ファイルやURLに触らず破棄する。業務と関係の無いWebサイトを見ない。会社で承認されていない機器やネットワークとPCを接続しない。
【可用性】ソフトのインストールは情報システム部門の許可を得る。ウイルス対策ソフトやIDS/IPSのような侵入検知システムを導入する。資産管理システムで許可された機器以外の接続を制限する。
【完全性】ウイルス感染を認識した時点で対象機器をネットワークから切断し、システム管理者へ報告する。




情報漏えい


ここまで説明してきた「盗難・紛失」「不正アクセス」「ウイルス・マルウェア・ランサムウェア感染」の結果として情報漏えいが発生する、というパターンがあります。それに対する対策はそれぞれの項目に記載していますが、対策が施されていない箇所からの漏えいを防ぐのは困難です。

「シャドーIT」という言葉があります。会社の管理下にない私有デバイスや個人で利用しているサービス等を、会社に無許可で業務利用するという意味の言葉です。
クラウドサービスの普及により、「いつでもどこでも」が当たり前になってきていますが、法人のセキュリティとしては管理下に無い状態で「いつでもどこでも」業務情報にアクセスされてしまうことは大きなリスクになります。

シャドーIT環境は、ここまでお話してきた対策が行われている保証がなく、また対策されていることを法人として確認することができません。また、いくら対策項目の全てを網羅している状態であったとしても、問題発生時にサービス停止やログ調査等のコントロールを行う権限を法人側が有していないため、初期対応における問題拡大の予防や原因調査、影響範囲の特定が困難になります。

しかし逆に考えると、シャドーITを利用したくなる、利用したほうが業務効率が上がるという状況になっていること自体も問題と言えます。何でもかんでも使えるようにするわけにはいきませんが、「こういうものがあればより便利になる」というニーズに応えた代替措置を準備した上での禁止であれば、わざわざ無許可のものを使って会社に怒られるよりも会社が準備したものを使うという方向に向かわせることもできます。

またデバイスの貸与が難しい場合、BYOD(Bring your own device)という考え方もあります。私有デバイスの業務利用を許可することで、利用者は慣れたの操作性で業務を行うことができ、法人側も新たなデバイスの調達・管理を行わずに済みます。
ただしBYODを許可するには、先ほどのシャドーITで挙げた問題をクリアする必要があります。BYOD向けのセキュリティサービスも存在しますが、サービスコストとデバイスの調達・管理コストを比較の上で検討することが必要です。

情報漏えいで大きな問題になりうるのが個人情報です。個人情報保護法で情報の入手・保管・譲渡等細かく規定されています。漏えいした場合の法的責任だけではなく、社会的・道義的責任を問われ、イメージダウンや顧客離れを引き起こし、経営として大きな打撃を受ける場合もあります。個人情報保護法については別の記事で詳しく解説しているので、そちらを参考にしてください。

対象となる要素

紙媒体、可搬媒体、デジタルデバイス、社内共有デバイス、インターネット

考えられる危険
・前出の「盗難・紛失」「不正アクセス」「ウイルス・マルウェア・ランサムウェア感染」により情報を詐取される。
自宅のパソコンに業務資料を保管しており、そのパソコンが前出の「盗難・紛失」「不正アクセス」「ウイルス・マルウェア・ランサムウェア感染」により情報が流出する。
会社で承認されていないWebサービスに業務資料をアップロードして、対象のサービスで情報漏えいが発生して社内の情報が漏えいする。
私有携帯のメッセンジャーツールにお客様連絡先を登録し、アカウントが乗っ取られて連絡先情報が流出する。
取りうる対策
【機密性】情報管理レベルを設定し、管理レベルに沿った運用が行われていることを定期監査等で確認する。
【可用性】社有デバイス以外の利用(BYOD)に必要なセキュリティを整備し、許可制度を設ける。代替手段を準備した上でシャドーITを禁止する。
【完全性】問題発生時に、漏えいした情報の内容・件数等を正確に把握できるよう、資産管理ソフトの導入や正確な文書管理を行う。

アタック・クラッキング


ここまではどちらかというと自社による過失や不特定多数への迷惑行為のような原因が多かったのですが、ここからは自社を明確なターゲットとした攻撃が含まれる領域になります。裏を返せば「セキュリティリスクの大部分は外部要因ではなく内部要因」と取ることもできます。

とはいえ外部要因によるアタック・クラッキング(一般的には「ハッキング」と言うほうが馴染みがあるかもしれませんが)は、制度やルールでは防げません。物理的・技術的対策が必要ですが、日々進化する攻撃手段に対して「この辺りまでやっておけば十分」というラインもありません。

そのため「発生させないための対策」と同時に「発生した場合のリカバリ」が重要になります。データバックアップ・イメージバックアップ等はどのタイミングまでの状態で復旧がかけられるのか、復旧にかかる手順は明確か、復旧作業にかかる時間はどの程度かなど把握しておきましょう。また環境の多重化・バックアップサイト等により復旧時間の短縮や無停止での復旧を行うこともできます。

「ビジネスメール詐欺」という攻撃も注目されています。不特定多数に向けた迷惑メールやワンクリック詐欺とは異なり、対象者の役職・権限や日々のメールの内容などを通信内容等から盗聴し、本物と見間違うような請求書等を勘違いしそうなタイミングを見計らってメール送付して巨額の金を騙し取るという企業をターゲットにした詐欺の手口です。
有名な事例として2017年に日本航空が航空機のリース代として約3億6000万円を詐取された事件があります。日本航空ほどの大企業ですら見破れずに被害を被ってしまうほど、メールの内容やタイミングなどが巧妙化しています。

100%防ぐことは難しいかもしれませんが、「こういう事例もあるんだ」と知った上で、承認・決裁・契約・振込など重要な行為に関するメールに注意深くなることが、現状取りうる対策になります。新たな手口の攻撃が発生した際に、情報を広く展開し注意を促すこともセキュリティ対策としては有効なのです。

対象となる要素

デジタルデバイス、社内共有デバイス、 インターネット

考えられる危険
イントラネットへの侵入による内部システムのデータ漏えい、破壊、改ざん
SQLインジェクション攻撃等によるデータ破壊、改ざん、サービスの異常停止
・Webサービス、オウンドメディアに対するDDoS攻撃(過負荷によるサービス妨害)
DNSスプーフィング等による偽サイト誘導での機会喪失、訪問者への不利益
ビジネスメール詐欺
取りうる対策
【機密性】アクセスログ取得・解析、アラート通知の仕組み、ビジネスメール詐欺等最新のセキュリティリスクの理解
【可用性】ログイン失敗回数によるアカウントロック、不正アドレスからの通信遮断、CAPTCHA等によるbotログインの抑止
【完全性】脆弱性診断等の十分なシステム検証、多重化・バックアップサイト等による運用継続対策、自社Webメディア等の運用監視(自前・外注)
スポンサーリンク

実運用への落とし込み

「業務が優先」「安全性優先」と頭から決めつけない


では実際の運用にはどのように落とし込んでいきましょうか。

行っている業務、扱っている情報が違うのですから、全ての法人で一律の対策を論じることは難しいですが、どんな業種業態であれメールや携帯電話のアドレス帳、紙の契約書・注文書・請求書など全く無い情報セキュリティ対策と無縁な法人はほぼ無いでしょう。

自分の業務、部門、会社と照らし合せ考えなくてはいけません。はじめから「業務が優先」「安全性が優先」という議論ではなく、前述のように区分やリスクを整理し、項目毎にどのような対策が必要か検討しましょう。

攻撃側も日々進化していますが、セキュリティ対策もそれに伴い進化しています。闇雲に規制するだけではなく、技術やサービスで対応できるかどうか検討し、費用対効果を見極めた投資を計画していきましょう。前述のシャドーITのところでも述べたように、必要なサービスに投資することでセキュリティと業務効率を両立することも可能なのです。

必要なのは人の教育・啓蒙

情報セキュリティについて、現場では「業務継続が最優先、今できていることができなくなることはNG」から「安全確保が最優先、業務が多少やりずらくなっても事故を起こしてからでは遅い」までリテラシーレベルはまちまちです(現場から後者の意見を聞いたことはありませんが…)。

ビジネスメール詐欺の対策の箇所でも述べましたが、情報を広く共有することはセキュリティにおいても重要です。できるだけ同質なセキュリティ知識を全員が持っておくことで「人」によるセキュリティホールを狭めていくことになります。

途中にも書いたのですが、セキュリティリスクの大部分は外部要因ではなく内部要因であり、最も重要な要素は「人」です。資料やパソコンを紛失しないように取り扱う、ログイン情報を付箋でディスプレイに貼らない、怪しいメールのURLをクリックしない。どれだけシステム対策を行っても、人がこれらを守らなければ元も子もありません。
人の、組織の、会社のセキュリティリテラシーを向上させるためには、教育・啓蒙を継続することが欠かせません。武田信玄の言葉にあるように、「人は城、人は石垣、人は堀」、防御の要は人です。

あるのは権限と利用範囲のみ、例外や忖度は不要


ただしこれに続く言葉「情けは味方、仇は敵なり」は情報セキュリティ対策上はご法度なので注意してください。セキュリティ対策に温情や憎悪はなく、決められたルールは社長から一担当迄きちんと守るのみです。

権限や役割による利用範囲の取り決めはあっても、安易な例外や役職者への忖度はセキュリティ対策を貶めることになります。社長だからウイルスに感染しないとか、部長だから私物を業務で使っても安全なんてことはあり得ません。率先垂範のためにも上位者ほどセキュリティ対策に率先して取り組んでいただく必要があります。

真の結論:情シスだけで情報セキュリティは守れない

非常に長くなってしまいましたが、この長さからもわかるように情報セキュリティ対策の対象になる範囲は非常に広いです。国家資格である情報処理技術者試験では情報セキュリティスペシャリストは高度資格として位置づけられ、専門性の高い分野でもあります。

紙資料の文書管理、システムのログ管理、PCやスマホの資産管理、セキュリティアラートの対応、さらには社内向けセキュリティ教育…。情シスの仕事はセキュリティ対策だけではありません。というか時間配分で言えば割ける時間はかなり限られた領域です。
それに自社のセキュリティ対策の妥当性を有識者に相談しようにも社内にそんな人はいません。

紙の管理は総務部門に任せたり、教育をアウトソースしたり、外部のセキュリティ監査を受けたり等考えていかないと、「情シスの手が回っていない」が一番のセキュリティホールになりかねない、というのがこの長文の真意でした。長時間お付き合いいただきありがとうございました。

この記事をシェアする

この記事が気に入ったら
いいね!をお願いします

セキュリティカテゴリの最新記事