情報セキュリティ対策を行うには、まず組織運営上どのような危険があるのかを知る必要があります。そして具体的な危害や生じる変化など、その可能性を知る必要があります。
危害を想定した分析を行い、その結論から情報セキュリティ対策を決めることが望ましいとされています。ここでは、その情報セキュリティ対策の分類や機能、選ぶ際の考え方について説明します。
情報セキュリティ対策の分類と機能
分類
情報セキュリティ対策には、「人的」「物理的」「技術的」と通常3つに分類するのが一般的です。どの部分での対策を練るのかをこの3つの分類により明確化するのとから始めていきます。
機能
そしてその分類をさらに細かく3つの機能に分けていきます。それが「防止」「検出」「対応」といったものになります。
情報セキュリティのトラブルが無くなることは、無いに等しいと考えられます。ですので、情報セキュリティにトラブルが生じたことをいかに早く発見するか、その検出機能も大事になります。
情報セキュリティ対策をお考えの場合には、人的・技術的・物理的対策の3つと、防止・検出・対応の3つを結合させ、効果的に行うことが必要になります。
危険と向き合う策
ではリスク対応について具体的な例を挙げてご説明していきます。 ここでは「PCの持ち出しによって情報が漏れる」という危険と向き合う策として3つの分類を当ててみます。
「リスクの回避」
「PCの持ち出しをしない」といった処置の考え方です。根本的な原因を除去するのでリスクは確かに軽減します。しかし、「リスクの回避」は仕事上機会損失を生むこともあり、欠点が大きいことに留意する必要があります。現実的に不可能な方法をお題目に上げるのではなく、実際に運用できる方法で危険を低減するよう対策を行う事が必要とされます。
「リスクの移転」
「PCの持ち出しによって情報が漏れる被害を考え、損害保険に入っておく」というような処置を施す考え方になります。「リスクの移転」は保険をかけたり、情報セキュリティ対策を外部委託したりするということです。
「リスクの保有」
「PCを持ち出しによって情報が漏れる損害を許容できるリスクとして何もしない」というような処置の考え方になります。リスクを認めた上で手段を講じないというやり方を指しています。
情報セキュリティ対策には情報セキュリティーポリシーが欠かせない
情報セキュリティーポリシーとは、社内における情報資産を会社組織全体でどのように守っていくのかが示された、明文化された社内ルールの事を言います。
この情報セキュリティーポリシーが具体的に決まっていないにも関わらず、社員に“情報セキュリティ対策を徹底しましょう”と注意を促しても、浸透していく訳がありません。
情報セキュリティ対策に関する会社としての基本方針・対策基準・実施手順を明確にし、それを会社全体で共有して初めて徹底されるのです。
そうすれば自ずと、社員一人一人に情報セキュリティ対策の重要性が浸透していきます。
一度でも会社で情報漏洩問題が起これば、その信用回復に膨大な時間と費用が費やされる事は言うまでもありません。
その為には、徹底した情報セキュリティ対策が必要不可欠となってきます。
しかし、現在の超情報化社会の於いて、この膨大な情報量を個人で管理する事は到底出来ません。
組織全体が情報管理に対する共通の認識を持ち、日々対策に取り組むことが重要となってきます。
