組織幹部のための情報セキュリティ対策


誤送信も盗み見もシャットアウト！セキュリティ万全の「親展eメールソフト」　ファイルガード・メール

【インターネットを安全に使うために】

4.3.3. 組織幹部のための情報セキュリティ対策

インターネットの普及に伴いより高密度な情報がより高速にやり取りされるようになりました。一方でITへの依存による利便性の向上と引き換えに、企業や組織等は、大きな危険性を抱え持つことになり情報セキュリティに対するリスクマネジメントは重要な経営課題となりました｡

２００５年４月に全面施行された個人情報保護法により顧客情報等の個人情報を取り扱う企業や組織は社会的責務を負うことになりました。

■　情報セキュリティ対策の必要性

企業における情報セキュリティに係る主なトラブルには機密情報の漏洩、個人情報の流出、ホームページ（データ）の改ざん、システムの停止、ウイルスへの感染等があります。

企業や組織等の幹部は、このようなリスクを軽減するために、強固な情報セキュリティ対策が要求されることを認識すべきです。

トラブルによって以下のような影響が考えられます。

・機密情報の漏洩

　悪意のある者に情報が渡ると、インターネットで公開される危険性があります。

・個人情報の流出

　企業イメージや信頼性を大きく損ない、顧客が離れてしまう恐れがあります。個人情報の流出は、賠償問題、訴訟問題にまで発展することがあります。

・ウェブページ（データ）の改ざん

　ウェブページ等が改ざんされると、企業イメージが大きく損なわれます。企業としての情報セキュリティ対策が不足しているということを露呈することになり、取引会社からの信頼を失い、取引停止に至る恐れがあります。

・システムの停止

　基幹システムが停止すると、最悪の場合、業務が完全にマヒしてしまうことも考えられます。

・ウイルスへの感染

　最近のウイルスの中には、そのコンピュータに登録されているメールアドレスを使って一斉にウイルス自身を複製してネットワーク上の他のコンピュータにウイルスを感染させたりコンピュータに保存されているデータを勝手に電子メールで送信したり、パスワードを自動的に発信したり、外部からの不正侵入を手助けする等、情報セキュリティを危険にさらすウイルスが登場してきています。

■　情報資産を維持管理

情報資産を維持管理するには、「機密性」、「完全性」、「可用性」が必要です。

・機密性（Confidentiality）とは許可された者だけが情報にアクセス可能とすることで機密性が維持できていないと、不正アクセス、機密漏洩を引き起こすことになります。

・完全性（Integrity）とは情報が正確で完全なことで改ざんや破壊されていないことを指します。

・可用性（Availability）とは許可された者が必要なときにいつでも情報にアクセスできるようにすることで提供するサービスが常に動作するということを表します。

企業や組織等の保有する情報資産の特質をよく検討して、機密性、完全性、可用性のバランスを考慮することが大切で情報セキュリティ対策に要求される行為です。

■　必要な情報セキュリティ対策

組織や企業を脅かす情報セキュリティの危険性にはさまざまなものがあります。それぞれの情報セキュリティに対する多様なリスクから情報資産を守るためには、組織としての情報セキュリティ対策の方針と規則を整理し、すべての社員、職員に対するセキュリティ意識の統一、向上が要求されます。このような情報セキュリティ対策の方針や行動指針を情報セキュリティポリシーと言います。

情報セキュリティポリシーを導入することで、組織内の情報資産が明らかになり、効果的なセキュリティ対策が可能になり社員や職員の情報セキュリティに対する意識が向上します。また取引先や顧客、株主などに対する企業や組織としての信頼性も向上します。

情報セキュリティに対する防御は、情報資産を守るために重要なことですが、行為自体が利益を生み出すものではありません。策定した情報セキュリティポリシーが形骸化しないためには企業や組織等の幹部が、トップダウンで周知徹底する姿勢が大切です。

情報セキュリティポリシーを策定する場合に組織の幹部は、「情報セキュリティは会社の経営課題の重要な一要素」という認識を持つこと、情報セキュリティポリシーの策定、運用には、多大な時間とコストが掛かること、規定を徹底させるためには社員に対し罰則規定も必要となる事等を考慮してください。

■　情報セキュリティポリシーの内容

情報セキュリティポリシーの内容は一般的に、「基本方針」、「対策基準」、「実施内容」の3段階で構成さます。

基本方針には「情報セキュリティの必要性」、「情報セキュリティの方針」、「顧客情報の取り扱い」といったことを決めます。

対策基準には、実際に情報セキュリティ対策にはどのような対策を行うのかという一般的な規定のみを記述します。

実施内容には、対策基準ごとの実施すべき情報セキュリティ対策を具体的に作成します。

■　情報セキュリティポリシーを作成

効果的な情報セキュリティポリシーとするためには、以下の項に留意して作成する必要があります。

・　情報資産を明確に把握する。

・　対象者の範囲を明確にする。

・　可能な限り具体的に洗い出す。

・　会社や組織の実態を踏まえた、実行可能なものにする。

・　予算、時間を含む運用や維持体制を考えて作成する。

・　形骸化防止のために、違反時の罰則等を決める。

・作成スタッフ

　会社の実態にそくした効果的な情報セキュリティポリシーを作成するためには、担当者、体制、手順をあらかじめ検討し代表者や幹部を含めて作成作業に関わるような体制を作る必要があります。

　外部のコンサルタントに依頼する場合には、アドバイザー的に参加してもらい社内の人材による作成を原則としてください。その企業や組織に適した内容にすることや自ら作成するという行為そのものが、情報資産に対する意識向上に役立ちます。

・作成手順

　業種、実態、規模、目的、予算、期間等で大きく異なりますが一般的には以下のような手順です。

　　1　作成スタッフ選任（責任者、担当者の選出）

　　2　目的、情報資産の対象範囲、期間、役割分担等の決定

　　3　スケジュールの作成

　　4　基本方針の作成

　　5　リスク分析と対策

　　6　対策基準と実施内容の作成

■　情報セキュリティポリシー運用サイクル

情報セキュリティポリシーは、文書化して策定するだけではなく以下のような実施サイクルによって、発展させていくことでより完全なものになります｡運用後の状況の変化に対し、定期的に再検討し、必要に応じて改定作業を繰り返すことが、向上に役立ちます。

　運用サイクル：　制作　--＞　導入　--＞　運用　--＞　評価　--＞　検討

制作：情報資産の整理と、組織や企業等の状況に即した情報セキュリティポリシーを制作します。

導入：情報セキュリティポリシーを組織全員に配布し研修などのによる教育を徹底します。

運用：情報セキュリティポリシーに基づいて、目的とするレベルを維持します。

評価：導入後の現場の実態、状況や運用上での問題点把握等を踏まえて現在の情報セキュリティポリシーの内容に不足項目がないか、また社員、職員へのヒアリングから、情報セキュリティポリシーが適切に守られているか、有効に機能しているか等の調査を定期的に行い評価します。

検討：評価の結果、社員や職員からの意見に基づいて、情報セキュリティポリシーの見直しや改訂を行います。改定した情報セキュリティポリシーは、再び導入のプロセスを経て運用サイクルに乗せます。

以上のようなサイクルに基づき、情報セキュリティポリシーを常に適切なものにしておくことが重要です。この実施サイクルによって、実情に合った情報セキュリティポリシーを導入することが、形骸化を防ぎ。組織全員の意識を高めることにつながります。

■　情報セキュリティポリシー担当の組織化

情報セキュリティポリシーを導入するには、情報セキュリティポリシーに携わる人材の組織化が大きく影響します。基本を以下に示しますがどの場合でも、組織幹部が主要メンバーとして参加することが大切です。

・　選任委員会を組織する

　各セクションから人選し委員会を組織する方法です。各セクションの意見を反映しやすく、導入時にもすべてのセクションに伝達しやすくなります。情報セキュリティポリシーの制作が完了するまで、一定期間専任させる事が理想です。

・　既存部門が担当する

　既存部門の一部のスタッフ（一般には情報システム部などの担当）がする方法です。組織内におけるITの専門家というメリットはありますが、本来のシステムやネットワークの管理業務が手薄になるなど通常業務への支障が無いようにしなければいけません。

・　新規部門を設立する

　理想的な組織ですが、情報セキュリティ対策に多くのリソースを割り当てることができる大企業等一部の組織に限られるでしょう。

■　情報セキュリティポリシーの監査

情報セキュリティポリシーに則して、定期的に監査を行うことで、情報セキュリティが適切に守られていることを確認しなければなりません。個人情報に関する顧客情報等を取り扱っている場合には、できる限り、社外のコンサルタントに監査を依頼するようにすべきです。監査では、主に以下の内容をチェックします。

・情報セキュリティポリシーが社員、職員に正しく遵守されているか？

・情報セキュリティポリシーが現場の状況から乖離していないか？

・最新の法律や情報セキュリティの状況や、対応方法の考察を行い現状に不備、不足はないか？

ここで注意しなければならないことは、外部に委託することが困難な場合には、チェック項目の内容をコンサルタントに依頼したり、チェックに限り別の人間が担当するなど、厳格な監査手法を採用することが大切です。

■　情報セキュリティーポリシーと事故

情報セキュリティに関わる事故やトラブルが発生した場合には、情報セキュリティポリシーに記載されている対応方法に従い、適切かつ迅速な処理を行うことが、損失を最小限に抑える最大の対策です。このためにこそ情報セキュリティポリシーは存在するのです｡

組織幹部として重要なことは、常に状況を判断できるような情報伝達ルールを確立しておくことです。正確な情報が伝わらなかったために、初動処理にミスが発生して、その結果、事故の被害をさらに拡大させてしまっているケースが数多く見受けられます。

事故による被害が生じ、関係者間で紛争が発生した場合、責任の争点は、必要とされるセキュリティー対策を実施していたかが議論の分岐点になることが考えられます。

また稼動していたセキュリティ対策が世間一般の水準に達していたものなのかということも判断の基準となります。このような場合においても、「情報セキュリティポリシー」は評価されると考えられます。


【インターネットを安全に使うために】
	4.3.3. 組織幹部のための情報セキュリティ対策インターネットの普及に伴いより高密度な情報がより高速にやり取りされるようになりました。一方でITへの依存による利便性の向上と引き換えに、企業や組織等は、大きな危険性を抱え持つことになり情報セキュリティに対するリスクマネジメントは重要な経営課題となりました｡２００５年４月に全面施行された個人情報保護法により顧客情報等の個人情報を取り扱う企業や組織は社会的責務を負うことになりました。 ■　情報セキュリティ対策の必要性企業における情報セキュリティに係る主なトラブルには機密情報の漏洩、個人情報の流出、ホームページ（データ）の改ざん、システムの停止、ウイルスへの感染等があります。企業や組織等の幹部は、このようなリスクを軽減するために、強固な情報セキュリティ対策が要求されることを認識すべきです。トラブルによって以下のような影響が考えられます。・機密情報の漏洩　悪意のある者に情報が渡ると、インターネットで公開される危険性があります。・個人情報の流出　企業イメージや信頼性を大きく損ない、顧客が離れてしまう恐れがあります。個人情報の流出は、賠償問題、訴訟問題にまで発展することがあります。・ウェブページ（データ）の改ざん　ウェブページ等が改ざんされると、企業イメージが大きく損なわれます。企業としての情報セキュリティ対策が不足しているということを露呈することになり、取引会社からの信頼を失い、取引停止に至る恐れがあります。・システムの停止　基幹システムが停止すると、最悪の場合、業務が完全にマヒしてしまうことも考えられます。・ウイルスへの感染　最近のウイルスの中には、そのコンピュータに登録されているメールアドレスを使って一斉にウイルス自身を複製してネットワーク上の他のコンピュータにウイルスを感染させたりコンピュータに保存されているデータを勝手に電子メールで送信したり、パスワードを自動的に発信したり、外部からの不正侵入を手助けする等、情報セキュリティを危険にさらすウイルスが登場してきています。 ■　情報資産を維持管理情報資産を維持管理するには、「機密性」、「完全性」、「可用性」が必要です。・機密性（Confidentiality）とは許可された者だけが情報にアクセス可能とすることで機密性が維持できていないと、不正アクセス、機密漏洩を引き起こすことになります。・完全性（Integrity）とは情報が正確で完全なことで改ざんや破壊されていないことを指します。・可用性（Availability）とは許可された者が必要なときにいつでも情報にアクセスできるようにすることで提供するサービスが常に動作するということを表します。企業や組織等の保有する情報資産の特質をよく検討して、機密性、完全性、可用性のバランスを考慮することが大切で情報セキュリティ対策に要求される行為です。 ■　必要な情報セキュリティ対策組織や企業を脅かす情報セキュリティの危険性にはさまざまなものがあります。それぞれの情報セキュリティに対する多様なリスクから情報資産を守るためには、組織としての情報セキュリティ対策の方針と規則を整理し、すべての社員、職員に対するセキュリティ意識の統一、向上が要求されます。このような情報セキュリティ対策の方針や行動指針を情報セキュリティポリシーと言います。情報セキュリティポリシーを導入することで、組織内の情報資産が明らかになり、効果的なセキュリティ対策が可能になり社員や職員の情報セキュリティに対する意識が向上します。また取引先や顧客、株主などに対する企業や組織としての信頼性も向上します。情報セキュリティに対する防御は、情報資産を守るために重要なことですが、行為自体が利益を生み出すものではありません。策定した情報セキュリティポリシーが形骸化しないためには企業や組織等の幹部が、トップダウンで周知徹底する姿勢が大切です。情報セキュリティポリシーを策定する場合に組織の幹部は、「情報セキュリティは会社の経営課題の重要な一要素」という認識を持つこと、情報セキュリティポリシーの策定、運用には、多大な時間とコストが掛かること、規定を徹底させるためには社員に対し罰則規定も必要となる事等を考慮してください。 ■　情報セキュリティポリシーの内容情報セキュリティポリシーの内容は一般的に、「基本方針」、「対策基準」、「実施内容」の3段階で構成さます。基本方針には「情報セキュリティの必要性」、「情報セキュリティの方針」、「顧客情報の取り扱い」といったことを決めます。対策基準には、実際に情報セキュリティ対策にはどのような対策を行うのかという一般的な規定のみを記述します。実施内容には、対策基準ごとの実施すべき情報セキュリティ対策を具体的に作成します。 ■　情報セキュリティポリシーを作成効果的な情報セキュリティポリシーとするためには、以下の項に留意して作成する必要があります。・　情報資産を明確に把握する。・　対象者の範囲を明確にする。・　可能な限り具体的に洗い出す。・　会社や組織の実態を踏まえた、実行可能なものにする。・　予算、時間を含む運用や維持体制を考えて作成する。・　形骸化防止のために、違反時の罰則等を決める。・作成スタッフ　会社の実態にそくした効果的な情報セキュリティポリシーを作成するためには、担当者、体制、手順をあらかじめ検討し代表者や幹部を含めて作成作業に関わるような体制を作る必要があります。　外部のコンサルタントに依頼する場合には、アドバイザー的に参加してもらい社内の人材による作成を原則としてください。その企業や組織に適した内容にすることや自ら作成するという行為そのものが、情報資産に対する意識向上に役立ちます。・作成手順　業種、実態、規模、目的、予算、期間等で大きく異なりますが一般的には以下のような手順です。　　1　作成スタッフ選任（責任者、担当者の選出）　　2　目的、情報資産の対象範囲、期間、役割分担等の決定　　3　スケジュールの作成　　4　基本方針の作成　　5　リスク分析と対策　　6　対策基準と実施内容の作成 ■　情報セキュリティポリシー運用サイクル情報セキュリティポリシーは、文書化して策定するだけではなく以下のような実施サイクルによって、発展させていくことでより完全なものになります｡運用後の状況の変化に対し、定期的に再検討し、必要に応じて改定作業を繰り返すことが、向上に役立ちます。　運用サイクル：　制作　--＞　導入　--＞　運用　--＞　評価　--＞　検討制作：情報資産の整理と、組織や企業等の状況に即した情報セキュリティポリシーを制作します。導入：情報セキュリティポリシーを組織全員に配布し研修などのによる教育を徹底します。運用：情報セキュリティポリシーに基づいて、目的とするレベルを維持します。評価：導入後の現場の実態、状況や運用上での問題点把握等を踏まえて現在の情報セキュリティポリシーの内容に不足項目がないか、また社員、職員へのヒアリングから、情報セキュリティポリシーが適切に守られているか、有効に機能しているか等の調査を定期的に行い評価します。検討：評価の結果、社員や職員からの意見に基づいて、情報セキュリティポリシーの見直しや改訂を行います。改定した情報セキュリティポリシーは、再び導入のプロセスを経て運用サイクルに乗せます。以上のようなサイクルに基づき、情報セキュリティポリシーを常に適切なものにしておくことが重要です。この実施サイクルによって、実情に合った情報セキュリティポリシーを導入することが、形骸化を防ぎ。組織全員の意識を高めることにつながります。 ■　情報セキュリティポリシー担当の組織化情報セキュリティポリシーを導入するには、情報セキュリティポリシーに携わる人材の組織化が大きく影響します。基本を以下に示しますがどの場合でも、組織幹部が主要メンバーとして参加することが大切です。・　選任委員会を組織する　各セクションから人選し委員会を組織する方法です。各セクションの意見を反映しやすく、導入時にもすべてのセクションに伝達しやすくなります。情報セキュリティポリシーの制作が完了するまで、一定期間専任させる事が理想です。・　既存部門が担当する　既存部門の一部のスタッフ（一般には情報システム部などの担当）がする方法です。組織内におけるITの専門家というメリットはありますが、本来のシステムやネットワークの管理業務が手薄になるなど通常業務への支障が無いようにしなければいけません。・　新規部門を設立する　理想的な組織ですが、情報セキュリティ対策に多くのリソースを割り当てることができる大企業等一部の組織に限られるでしょう。 ■　情報セキュリティポリシーの監査情報セキュリティポリシーに則して、定期的に監査を行うことで、情報セキュリティが適切に守られていることを確認しなければなりません。個人情報に関する顧客情報等を取り扱っている場合には、できる限り、社外のコンサルタントに監査を依頼するようにすべきです。監査では、主に以下の内容をチェックします。・情報セキュリティポリシーが社員、職員に正しく遵守されているか？・情報セキュリティポリシーが現場の状況から乖離していないか？・最新の法律や情報セキュリティの状況や、対応方法の考察を行い現状に不備、不足はないか？ここで注意しなければならないことは、外部に委託することが困難な場合には、チェック項目の内容をコンサルタントに依頼したり、チェックに限り別の人間が担当するなど、厳格な監査手法を採用することが大切です。 ■　情報セキュリティーポリシーと事故情報セキュリティに関わる事故やトラブルが発生した場合には、情報セキュリティポリシーに記載されている対応方法に従い、適切かつ迅速な処理を行うことが、損失を最小限に抑える最大の対策です。このためにこそ情報セキュリティポリシーは存在するのです｡組織幹部として重要なことは、常に状況を判断できるような情報伝達ルールを確立しておくことです。正確な情報が伝わらなかったために、初動処理にミスが発生して、その結果、事故の被害をさらに拡大させてしまっているケースが数多く見受けられます。事故による被害が生じ、関係者間で紛争が発生した場合、責任の争点は、必要とされるセキュリティー対策を実施していたかが議論の分岐点になることが考えられます。また稼動していたセキュリティ対策が世間一般の水準に達していたものなのかということも判断の基準となります。このような場合においても、「情報セキュリティポリシー」は評価されると考えられます。

【インターネットを安全に使うために】