企業が取り組むべき“情報セキュリティ対策”のポイント

IT・IT製品TOP > Key Conductors > 天野 哲也(パナソニック ソリューションテクノロジー株式会社) > 企業が取り組むべき“情報セキュリティ対策”のポイント
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

企業が取り組むべき“情報セキュリティ対策”のポイント

ネットワークセキュリティ 2015/10/23

まず最初にやるべきことは?

  前回は、企業が情報セキュリティ対策を行うにあたり「守るべきもの」を決めること、情報セキュリティの要が「人」であることなどをご説明しました。そして情報セキュリティ対策には組織的対策、技術的対策、物理的対策、人的対策の4つのポイントがあります。それを踏まえた上で今回からはいよいよ対策をご説明していくことになりますが、その前にやるべきことがあります。それは現状の確認です。

 すでに情報セキュリティ方針が制定され、規程やルールなどを整備し、システム的な対策も実施して情報セキュリティ対策を運用している方もいらっしゃると思いますが、それが経営層や従業員に本当に理解され、適切な運用をされているのかどうか、確認をされていますでしょうか?
 情報セキュリティ対策を実施する前に現状を把握することはとても重要です。現状を把握しないと本当に必要な対策が施せず、情報セキュリティリスクを下げることはできません。

  右図をご覧下さい。 これはIPA(独立行政法人 情報処理推進機構)がまとめたガイドラインに記載されているものです。共通して実施すべき対策もありますが、企業ごとに実施すべき対策もあります。

 その企業ごとに実施すべき対策を把握するために、全社の情報セキュリティの現状をアンケートなどで確認する必要があります。これにより今、実施すべき本当に必要な対策が見えてくるのです。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

IPA:中小企業における組織的な情報セキュリティ
対策ガイドライン

  まずは対策を施す前に現状をしっかり把握し、その上で組織的対策、技術的対策、物理的対策、人的対策の4つのポイントを踏まえて対策を実施することが肝心です。

組織的対策のポイント

 それでは4つの対策について説明します。「組織的」という言葉でもおわかりかと思いますが、企業が情報セキュリティを推進していくために経営層が中心に行う対策です。 組織的対策の主な項目は以下になります。

1.情報セキュリティポリシー(情報セキュリティ方針)の策定
2.情報セキュリティ推進体制の構築
3.規程、マニュアル、ルールの策定
4.情報セキュリティに関する教育の実施
 
 上記対策を実施していく上でのポイントは、「情報セキュリティを推進していく」という企業トップの強い意志を明確にすることです。 この企業トップの強い意志を明確に表すことで、全社で積極的に情報セキュリティの活動を推進することができます。
そしてこの強い意志を反映する形で情報セキュリティポリシーを策定します。更にその意志を軸として規程、ルールを整備し、全社活動として推進するための推進体制を構築します。

情報セキュリティの風土作り

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

情報セキュリティの風土作り

 パナソニックでは、2004年に“全社で情報セキュリティを推進する”という意志を表明し、それと同時に「情報セキュリティ本部」という情報セキュリティ専門に活動する部門を立ち上げ、情報セキュリティ基本方針の策定や規程などの整備、そして従業員教育を行いました。
 それ以来10年、その意志は現在も引き継がれ、全社で情報セキュリティの活動を継続しており、情報セキュリティ活動が当たり前という「情報セキュリティの風土」を作り上げました。 

 組織的対策のポイントは、“情報セキュリティの風土作り”の推進であり、それには企業トップの強い意志と、それを反映した方針、体制構築、そして継続的な教育を実施することになります。

技術的対策のポイント

 続いて技術的対策のポイントについて説明します。
 技術的対策とはネットワークや操作ログ収集・監視やファイアウォール、IDS/IPSなどの入口対策、プロキシ、Webフィルタなどの出口対策、エンドポイント対策としてウイルスソフト導入などがあります。 上記のように技術的対策は多岐にわたりますが、優先すべき対策のポイントは「守るべきもの」に関わる範囲について対策をすることになります。

  右図をご覧下さい。IPAの「組織内部者の不正行為によるインシデント調査」では、従業員の内部不正の気持ちが低下する対策として「社内システムの操作のログが残る」が1位となっています。つまり、守るべきものへのアクセスのログ監視を実施し、現状把握した際に発見された脆弱性も合わせて対策を行うとより効果的な技術対策を行なうことができると言えます。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

IPA:組織内部者の不正行為によるインシデント調査

  また今年大きな話題となった標的型メール攻撃による個人情報漏洩事件がありました。これは技術的対策だけでは防ぐことは難しいですが、入口対策とマルウェアなどの侵入を阻止するファイアウォールやIDS/IPSを、内部対策としてウイルス対策ソフトなどを、更に出口対策としてプロキシ、Webフィルタなど、そして正しい理解のための教育を実施する多層防御をすることが重要です。

多層防御とは

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

多層防御とは

物理的対策のポイント

 続いては物理的対策のポイントについて説明します。
 物理的対策とは、入退室管理やパソコン、USBなどの記憶媒体の管理、情報の取扱い管理などがあります。

 守るべきものを取り扱ったり、保管したりする際、まずその情報を取り扱うべき人を限定しその場所へのアクセス、つまり入退室ログを残すようにしましょう。万が一漏洩した場合も、その原因特定と是正対策が容易にできるようになります。
パソコンやUSBなどの記憶媒体は盗難や紛失時の対策として、パソコンはセキュリティワイヤーの活用やハードディスクの暗号化、USBなどは暗号化可能なものを使用しましょう。
 
 情報の取り扱いについては特に保管と廃棄がポイントとなります。 保管についてはロッカー等に保管する場合は施錠管理を行い、更に施錠を行う鍵の使用記録も管理しましょう。電子データであった場合は、サーバーにアクセス制限し、保管もラックに入れるなどの対策をしておきましょう。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

JNSA:「2013年情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜」

 左図はJNSAの個人情報漏洩の件数を媒体・経路別にまとめたものですが、紙媒体が67%を占めています。紙媒体は取り扱いが簡単なだけ、その取り扱いも安易になってくる傾向があります。紙媒体の情報を廃棄する際は、情報漏洩しないように注意して廃棄しましょう。
 パソコンや記憶媒体などは情報消去専用ソフトを用いて廃棄するか、または専門のスキルを有する業者へ依頼し、確実に情報を消去するようにしましょう。
 技術的対策や物理的対策は、全社に一気に導入しようとすると膨大な費用が必要となります。しかし守るべきものを決め、事前にきちんと現状把握によって脆弱性が把握できていれば、そこにポイントを絞って対策をすることができ、コストを抑えつつも効果的な対策が行えます。

 次回からは、情報セキュリティの要となる「人的対策」についてお話しいたします。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008248


IT・IT製品TOP > Key Conductors > 天野 哲也(パナソニック ソリューションテクノロジー株式会社) > 企業が取り組むべき“情報セキュリティ対策”のポイント

このページの先頭へ

キーマンズネットとは
2008年から7年に渡り、品質管理業務と情報セキュリティを担当。CPO(個人情報保護管理者)として、プライバシーマークやISO27001の認証取得・運用・更新すべてを行ってきた経験を活かし、お客様や事業、従業員を守るための情報セキュリティ教育の重要性をセミナーや企業研修を通じ啓発している。趣味の台湾茶は師範代の腕前。

ページトップへ