検索
Japan
第4回「情報」の安心 後編| 次の情報セキュリティのヒントがここに つくろう!安心ニッポン|システム構築やトータルソリューションをお探しなら、日立ソリューションズをご利用ください。
前回渡部さんは、情報漏洩リスクは絶えず変化しているとおっしゃいましたが、こうしたリスクに対処していくために、企業が一番大切にすべきことは何ですか?
一番というのはないんですよ。
えっ・・・
というのも、どんな情報をどのように守っていくかという「ポリシー」、そのポリシーをユーザに定着させる「啓蒙」、人的ミスを減らす「ツール」、そのすべてが重要だからです。
なるほど。では、「ポリシー」づくりですが、どうやって進めていけばよいでしょう?
まずは、「自分たちが絶対に失ってはいけない情報は何か知っていますか?」ということです。
さて、ひろたさんが絶対に失いたくないものをひとつだけ選ぶとしたら?
う~ん、大好きなアナウンスの仕事も大切だけど、やっぱり私を支えてくる家族でしょうか。
大切なものは人それぞれに違うように、企業によって大切な情報もさまざまです。
研究開発の技術データが一番重要な会社もあれば、お客さまの購買データが一番重要な会社もあります。これが残っていれば、他の情報が奪われたとしても会社を存続できる――絶対に失ってはいけない情報が何かを知ることは、セキュリティ対策を考える上ですべての基本となる大事なところです。
そうなるとセキュリティ担当者で閉じた話ではなくなりますね。
当然、経営面から「情報の価値」を見定める必要があります。今の事業戦略に沿って情報の優先順位を決めるわけです。
そして、大切な情報が何か分かったら、それぞれを区分けして適切な場所に置く。例えば、最も価値のある情報はネットワークから隔離してアクセス権を設定する。
宝物は金庫に入れて鍵をかけておく、ということですね。
では「啓蒙」とは、どういったものですか?
セキュリティ対策は基本的に煩雑なものですし、人は忘れることもありますよね。
はい。私なんてパスワードを覚えられなくて、要求されるたびにイライラしちゃいます。
セキュリティ対策は面倒なものだからこそ、習慣化するまで繰り返し訓練することが大事になってきます。偉そうな言葉ですが、これが「啓蒙」です。
実は、最近の標的型攻撃による情報漏洩事件では、機密情報はネットワークにつながっていないスタンドアロンの端末に格納されていたのにも関わらず、漏れてしまったケースがありました。
え!なぜ漏れたんですか?
業務の都合で、機密情報をスタンドアロンの端末からファイルサーバや他のPCに移してしまったことが原因です。
情報の優先順位を決め、区分けをしたということは、セキュリティの「ポリシー」はできていたと思われます。しかしその後に、ポリシーをユーザに定着させる「啓蒙」を十分に行わなかったのでは、と私は推測しています。
ポリシーを決めても、それが遵守されるためには利用者の意識が変わらなければ意味がない、ということですね。
例えば弊社では、標的型攻撃メール訓練のサービスを提供しています。
どんな訓練なんですか?
いかにも仕事関連の内容を装った偽のメールを訓練対象のユーザに送ります。そして、メールを開いたか、開かなかったかをチェックするわけです。
ドキドキしますね。訓練の効果のほどは?
これを繰り返すことで開封する人が確実に減っていきます。ただ100パーセントには、なかなかならない。忙しい時など、つい開いてしまう、ということは起こり得ます。
人間だからミスすることは必ずありますものね。
そう。そのミスをカバーするために「ツール」が必要になってきます。
例えば、ウイルスが仕込まれたメールを事前にブロックする。あるいは、マルウェアへの感染を検知して自動的にPCをネットワークから遮断する。
繰り返しになりますが、情報漏洩リスクから企業を守るためには、「ポリシー」、「啓蒙」、「ツール」、この3つの組み合わせが必要なんです。
ただ、攻撃の手法はつねに進化していてリスクをなくすことはできない、というお話が前回ありました。企業としてリスクを軽減するために組織立ててできることはありますか?
CSIRT(シーサート、Computer Security Incident Response Team)と呼ばれるセキュリティ組織を構築する企業が今、増えています。
シーサート?
いわば企業の情報セキュリティの消防団です。
平常時はサイバー攻撃を受けていないか、企業内における情報漏洩の予兆をきめ細かく監視します。そして万が一、インシデントが発生したら、どこにどんな情報が流出したか、追跡調査を行うなどして、被害の拡大を防ぎます。
頼りになる存在ですね。
これからの時代、貴重な情報が企業内に増え続けるでしょう。さらにいよいよマイナンバー制度が始まります。マイナンバーは、将来的にクレジットカード情報以上に重要な個人情報となるでしょう。それが企業内に蓄積されていくわけです。
ますます情報セキュリティが大事になりますね。
安心してビジネスを行うためには、その情報の価値を知り、リスクの実体を知り、それに対応する術を整えること。それがすなわち「ポリシー」、「啓蒙」、「ツール」であり、CSIRTという組織の存在意義になります。
そして私たちの使命は、それらをトータルにサポートできる体制を整えることです。
これからもぜひ、日本のビジネスの「安心」を守り続けてください。今日はありがとうございました。
ありがとうございました。
情報の価値を知り、リスクの実体を知り、それに対応する術を整える。「情報」の安心を守るためには、正しいやり方がありました。
これまで、「食」の安心、「健康」の安心、「都市」の安心、そして「情報」の安心とインタビューを続けてきましたが、安心を守るためにどの先生も共通しておっしゃっていたポイントが3つあったと思います。
まず、リスクをゼロにはできないと認めること。リスクは必ず起こる、その心構えで対策することが結局、被害を最小化する近道のようです。
次に、リスクの実体を知ること。そのリスクは何によって起きるのか。起きれば、どこにどの程度の影響が生じるのか。これらを把握することで防止策はもちろん、起きてしまった時の対応も的確になります。
そして3つめは、仕組みの必要性。業界ルールであったり、制度であったり、ITシステムであったりしましたが、4人の方すべてが安心を守る仕組みの大切さについて語ってくださいました。リスクが大きくなるほど、異なる組織が同じ目的で連携できる仕組みの存在が重要な意味を持つのです。
「安心のつくりびと」である各界の4人の方からいただいた貴重な安心づくりのヒント。皆さまのビジネスの参考にしていただけましたら幸いです。
本記事の内容は公開当時のものです。本コラムに関するご意見等ございましたら、日立ソリューションズまでお問い合わせください。