情報セキュリティ対策
当社は、ベルズシステム株式会社との協力により、情報セキュリティ確立のための支援を行っております。
1.情報ネットワークが社会の基盤
1.1 社会環境の変化
1) インターネット、高速通信サービス
2) LAN、一人一台のパソコン環境
3) モバイル・コンピューティング
1.2 ビジネス形態の変化
1) e-Business
2) グローバル化
3) 24時間営業化
2.企業の情報システムを取り巻く脅威
情報資産(サーバ内にある取情報、財務情報など)に対する外部からの攻撃
- ウィルス、破壊、侵入、漏洩、改ざんなど
3.企業に潜む脅威
3.1 外部からの被害
ホームページの改ざんや情報漏洩等による、経営へのダメージ。
・対顧客、対取引先信用の喪失
・取引機会の逸失
・損害賠償責任
・取締役の対株主責任
3.2 内部からの被害
1) 顧客の個人情報をメールで誤配信
2) ウィルスメールを取引先へ転送
3) 従業員によるソフトウェアの無断コピー
4) 私用インターネットやメールによる業務効率の低下
5) 退職者員がロジック爆弾を仕掛けて退職
4.日本企業における問題の背景
1) 経営者や管理者の認識不足
- 実害発生まで腰を上げない
- 売上げに直結しない情報や教育には消極的
- ハッカーやウィルスだけが脅威という誤解
2) 責任担当者不在
- 機密文書(法務部)とIT資産(情報システム部)の分断
- 内向きの仕事は努力しても評価されない
3) 社員のモラルに依存している
- 明文化ルールや処罰根拠が存在しない
- システムを攻撃できる環境は、社員に出来心を与えてしまう。
5.経営視点から見る情報セキュリティ
情報セキュリティは経営の免疫力であり、リスク・マネジメントそのものである。
従って、企業の体力が落ちている時※1)ほど発病に注意が必要です。
情報のセキュリティ対策は、トップダウンで計画的、総合的に実施していくことが重要です。
※1) 競争相手が手段を選ばなくなる市場環境、従業員の流動に伴うモラル低下、責任リスクに対する余裕利益の減少
6.セキュリティ・ポリシーとは
セキュリティ・ポリシーとは、「組織の持つ情報資産を守るための方針や、具体的な対策を明文化したもの」である。
セキュリティー・ポリシーがないと、以下のような不具合が生じる。
1) 情報がどれだけ重要なものなのかわからない。
2) 情報をどう取り扱うのか、誰に見せてよいのかわからない。
3) 非常事態や、(インターネット、ネットワーク上での)新しく遭遇した出来事に対し、どう振舞えばよいのかわからない。
4) 不正に情報を扱った人を罰することができない。
保護すべきセキュリティは、ISO/IEC 17799の定義では、以下のようなものである。
・ Confidentiality (秘匿性)
・ Integrity (完全性)
・ Availability (可用性)
7.最初の一歩
3.1 短期的処置
1) 情報資産の管理意識を、従業員に教育する。
2) Webサーバ等の外部に公開している資源の安全を確認する。
3) 情報資産の管理責任者の任命
3.2 中長期的処置
1) セキュリティ・ポリシーを策定し、運用体制を構築する。
2) その際に、個人情報の保護に関する対応処置をとる。
