セキュリティを含めた包括的な情報発信を行っている「IPA(情報処理推進機構)」によると、企業が講じるべきセキュリティ対策は「共通して対策すべき項目」と「企業ごとに検討すべき対策」のどちらかに分類されます。
今回は、これら企業が行うべきセキュリティ対策のうち、全ての企業において共通となる「4つのポイント」についてその概要をご紹介しようと思います。
情報セキュリティ対策4つのポイント
情報セキュリティの管理運用は様々な施策が求められますが、大きく分けて以下の4つに集約されると言われています。個別にその概要を確認してみましょう。
☆企業が実施すべき4つのセキュリティ対策
〇 組織的対策
〇 技術的対策
〇 物理的対策
〇 人的対策
組織的対策
企業や組織全体が適切な情報セキュリティを保つことができるように、経営層が行うべき対策部分です。
〇 組織全体での情報セキュリティー運用指針の策定
〇 情報管理の適切な運用のために必要な計画立案の指示
〇 セキュリティ管理体制の構築(情報管理対策部門の設置など)
現代社会において個人情報や顧客情報の漏洩は、業種の如何を問わずに深刻な被害を及ぼすため、こうした組織的対策はより一層、強く求められています。
技術的対策
ネットワークサービスに対するセキュリティシステムの構築など、組織が展開している事業に対応した技術的対策部分です。
組織的対策により示された指針に従い、セキュリティ担当者が必要な体制を構築します。
☆技術的対策の一例
〇 不正アクセスから自社ECサイトを守るためのセキュリティ体制の構築
〇 新たに発見された脆弱性に対応した自社システムのアップデート
〇 不審なアクセスログやリスト型攻撃に対する検知システムの導入
物理的対策
情報漏洩インシデントは、外部からのネットワークアクセスを通じて起きるとは限りません。自社従業員や委託先従業員がUSB端末などを用いて外部流出を行った事例も多く、企業としては注意すべき部分です。
〇 USBやSDカードによる情報持ち出しの禁止通達
〇 情報管理ログなど、個人情報の持ち出しに対する適切な記録の取得
〇 電算室内の不正なデータ運用防止のために監視カメラを設置
上記のような情報漏洩に対する物理的な対策も、企業に求められている情報セキュリティの1つです。
□紙媒体を使った漏洩事件も
日本国内は欧州などの先進諸国と比べて、紙媒体による情報漏洩事件もかなりの件数が確認されています。
電磁的記録媒体に対する警戒だけでなく、情報資料室への入室管理や餅立ち記録など、紙媒体の情報管理も疎かにしてはいけません。
人的対策
文字通り、構築した情報セキュリティ体制を組織に浸透させるための対策です。組織内教育として「PDCA」に基づいて実施することが望ましく、情報漏洩に対するリスクと必要な情報管理意識を落とし込みます。
☆企業が実施すべきセキュリティに対する「PDCA」
・Plan(計画) → 組織的セキュリティ水準の確認・実施計画
・Do(行動) → 必要な教育研修やカリキュラムを導入
・Check(確認・評価) → 「Do」で実施した対策の評価・確認テストの実施
・Act(改善) → 会議を通じて問題点をフィードバック
4つの情報管理体制の中でも最も大切な部分であり、従業員1人ひとりがその情報漏洩のリスクやセキュリティ管理の重要性を認識する必要が求められています。
