スタートページ>
主張・講演>
経営者・利用部門のためのIT入門>
第5章 情報セキュリティ対策
第5章 情報セキュリティ対策
表示が不十分なときは、□をクリックすると、その部分が別ウインドウに表示されます。
ウイルスや不正アクセスなど情報セキュリティ対策が重要なことは広く認識されています。また、個人情報保護法や財務報告の内部統制など、情報セキュリティ対策が経営者に直接に関係することだということも認識されています。反面、「情報」セキュリティ対策であることから、IT部門の仕事だとして、IT部門に押し付けている風潮もあります。ここでは、情報セキュリティ対策の技術面、法規・基準の詳細、第三者認定取得などに関する事項は割愛し(参照:「情報倫理・情報セキュリティ」、
「法規・基準」)、情報セキュリティ対策担当者から、経営者に留意してほしい事項を掲げます。
5.1 情報セキュリティの概念
5.2 情報セキュリティ対策は社会的義務
5.3 内部対策と性弱説
5.4 情報セキュリティ対策費用の考え方
5.5 情報セキュリティ対策の推進方法
5.6 情報システムの構築・運用と情報セキュリティ対策
5.1 情報セキュリティの概念
□
- 情報セキュリティ対策と個人情報保護とは、同じ考え方でアプローチできる。
- 情報セキュリティ対策では、何を、何から、どのようにして守るのかを、総合的に把握することが必要である。
- 情報セキュリティ対策とは、機密性、保全性、可用性を高めること、脆弱性を減らすことである。
5.2 情報セキュリティ対策は社会的義務
□
- 情報セキュリティ対策を講じるのは社会的責任である。
- 他人・他社の情報は預かりものだと考えよ。
- 情報セキュリティ対策を怠ると、気付かないうちに加害者にされる危険がある。
5.3 内部対策と性弱説
情報セキュリティの脅威には、社内からの脅威もあります。そのため、社員を対象とする情報セキュリティ対策が必要になりますが、それには、外部からの脅威への対策とは異なる状況があります。また、内部対策では性弱説の考え方が適切です。
(1)内部対策の必要性
□
(2)性弱説
□
- 内部への情報セキュリティ対策では、性弱説の考え方(誘惑することなかれ)が適切である。
5.4 情報セキュリティ対策費用の考え方
□
- 「万全」な情報セキュリティ対策は存在しない。
- 情報セキュリティ対策費用の考え方
リスクの大きさ=発生確率×被害損失、その許容レベル=受容リスクの大きさ
最適対策レベル=min(対策費用+被害損失)
リスクコントロールとリスクファイナンスの関係
- この客観的数値化は困難であり、それを追求するのは不適切だ。
関係者の主観でよいが、説明責任がある。
5.5 情報セキュリティ対策の推進方法
情報セキュリティ対策の推進手順では、セキュリティポリシーの策定、推進組織の編成、リスクの分析など、ほぼ確立した標準があります(「ISMS」)が、ここでは、全社的・継続的な改善運動とすべき理由や、経営者が留意すべき事項について、トピックス的に示します。
(1)全社的・総合的な活動
□
(2)推進での経営者の留意事項
□
- 情報セキュリティ対策では、桶の理論が重要である。最も脆弱なセキュリティホールをつぶすことが必要だ。
- セキュリティホールは多様である。情報システムやIT部門とは直接に関係したいことも多い。そのため、全社員が、情報セキュリティ対策の当事者であると認識することが重要である。
- 情報セキュリティ対策は、全社的・継続的な改善活動である。
全社員が、自分の業務だと認識して、自律的に行動する必要がある。
一時的なキャンペーンにしてはならない。
- 情報セキュリティ対策の推進は、これを通して業務の「見える化」を行うことにつながる。
- それには、経営者のリーダーシップが不可欠である。しかし、経営者がこれに専心することができないならば、適切なプロモータを起用する必要がある。
5.6 情報システムの構築・運用と情報セキュリティ対策
□
- 情報セキュリティ対策は、情報システムの設計段階から検討しなければならない。
- 開発費用や納期など、セキュリティとは無関係にみえることが、大きな影響を与える場合がある。
- 情報システムの開発や運営においても、経営者が決断しなければならない事項は多い。
- 特に、情報システムの外部委託に際しては、経営者の決断が重要である。