前回は、企業が情報セキュリティ対策を行うにあたり「守るべきもの」を決めること、情報セキュリティの要が「人」であることなどをご説明しました。そして情報セキュリティ対策には組織的対策、技術的対策、物理的対策、人的対策の4つのポイントがあります。それを踏まえた上で今回からはいよいよ対策をご説明していくことになりますが、その前にやるべきことがあります。それは現状の確認です。

　すでに情報セキュリティ方針が制定され、規程やルールなどを整備し、システム的な対策も実施して情報セキュリティ対策を運用している方もいらっしゃると思いますが、それが経営層や従業員に本当に理解され、適切な運用をされているのかどうか、確認をされていますでしょうか？
 情報セキュリティ対策を実施する前に現状を把握することはとても重要です。現状を把握しないと本当に必要な対策が施せず、情報セキュリティリスクを下げることはできません。

　それでは4つの対策について説明します。「組織的」という言葉でもおわかりかと思いますが、企業が情報セキュリティを推進していくために経営層が中心に行う対策です。 組織的対策の主な項目は以下になります。

1.情報セキュリティポリシー（情報セキュリティ方針）の策定
2.情報セキュリティ推進体制の構築
3.規程、マニュアル、ルールの策定
4.情報セキュリティに関する教育の実施
 
　上記対策を実施していく上でのポイントは、「情報セキュリティを推進していく」という企業トップの強い意志を明確にすることです。 この企業トップの強い意志を明確に表すことで、全社で積極的に情報セキュリティの活動を推進することができます。
そしてこの強い意志を反映する形で情報セキュリティポリシーを策定します。更にその意志を軸として規程、ルールを整備し、全社活動として推進するための推進体制を構築します。

　続いて技術的対策のポイントについて説明します。
　技術的対策とはネットワークや操作ログ収集・監視やファイアウォール、IDS/IPSなどの入口対策、プロキシ、Webフィルタなどの出口対策、エンドポイント対策としてウイルスソフト導入などがあります。 上記のように技術的対策は多岐にわたりますが、優先すべき対策のポイントは「守るべきもの」に関わる範囲について対策をすることになります。

　続いては物理的対策のポイントについて説明します。
　物理的対策とは、入退室管理やパソコン、USBなどの記憶媒体の管理、情報の取扱い管理などがあります。

　守るべきものを取り扱ったり、保管したりする際、まずその情報を取り扱うべき人を限定しその場所へのアクセス、つまり入退室ログを残すようにしましょう。万が一漏洩した場合も、その原因特定と是正対策が容易にできるようになります。
パソコンやUSBなどの記憶媒体は盗難や紛失時の対策として、パソコンはセキュリティワイヤーの活用やハードディスクの暗号化、USBなどは暗号化可能なものを使用しましょう。
 
　情報の取り扱いについては特に保管と廃棄がポイントとなります。 保管についてはロッカー等に保管する場合は施錠管理を行い、更に施錠を行う鍵の使用記録も管理しましょう。電子データであった場合は、サーバーにアクセス制限し、保管もラックに入れるなどの対策をしておきましょう。