具体的な項目まで落としたプランを作るオンラインセミナー「セキュリティ対策 5つの鉄則」

さまざまなセキュリティ対策を施しても、有効性は今ひとつあがらない――なぜ企業はこうした状況に陥ってしまうのか、その原因をインターネット セキュリティ システムズの高橋正和氏にを聞いた。さらなる詳細は6月6日開催のオンラインセミナー「セキュリティ対策 5つの鉄則」にて。

» 2006年05月30日 08時16分 公開
[ITmedia]

 セキュリティ対策を実施していくならば、まずはセキュリティポリシーが重要だ――そんな考えに立って立派なセキュリティポリシーを作成する企業は多い。しかし、その肝心のセキュリティポリシーを社員一人一人が納得し、理解しているかとなると、どうだろう。一度文書を読まされて、判子を捺して、それでおしまい――そんなケースは少なくないのではないか。

 「どうもセキュリティポリシーは、『これさえあれば大丈夫』というお守りのようなものになってしまっている」と、ISSのCTO兼エグゼクティブ・セキュリティ・アナリスト、高橋正和氏は問題点を指摘する。

 というのも、多くのセキュリティポリシーは「あるべき論」から始まっており、「具体的にどうするべきか、どう変えていくべきかというフィードバックを埋め込んでいくプロセスがない」(高橋氏)。つまり、リアリティに欠けたものになってしまっているというわけだ。

 「『今、なにをするべきなのか』という具体的な項目まで落とし込まれていなければ無意味だ」(同氏)。そのためにも、まず現状をありのままに把握し、日々の事業の目的を遂行するために必要な事項を具体的に洗い出すことが重要になる。

導入しただけで安心?

 高橋氏が見るところ、多くの企業ではセキュリティ対策が「プロジェクト型」で進められているという。たとえば「認証取得プロジェクト」だったり、「ファイアウォール導入プロジェクト」という具合だ。

 しかし「プロジェクト型の場合、導入が終わったところで興味が終わってしまう」(同氏)。肝心なのはその後であるにもかかわらず、だ。

 たとえば、最近話題の日本版SOX法などでも求められる「監査」の役割ひとつとっても、「会社に監査室が設けられているか、どのくらいの頻度で監査を行っているか」といった事柄をチェックし、リストを埋めてそれでおしまい、という状態になりがちだ。

 「しかし、本当に監査の役割の有効性を求めるのであれば、『監査室には抜き打ち検査のため、システムのroot権限が与えられているか、またその取得のための手続きは定められているか』という具合に、より具体的な項目まで落とし込んで考えるべきではないか」(高橋氏)

 セキュリティポリシーにせよチェックリストにせよ、ないよりはもちろんあるほうがいい。しかし、それをただ読み、埋めて終わるだけという形骸化した手続きで終わってしまうのではもったいない。

あなたの会社のセキュリティポリシーは「あるべき論」にとどまっていないか?
セキュリティ対策 5つの鉄則
開催日時:6/6(火)12:00〜13:00

個人情報保護法の対応により、大半の会社にセキュリティポリシーに相当するものが、導入されたはずである。しかし、個人情報漏洩をはじめとした、情報セキュリティ上の事故が後を絶たない。この原因のひとつとして、セキュリティポリシーが実際の運用レベルまで落とし込まれておらず、あるべき論にとどまっている点を挙げることができる。このセミナーでは、セキュリティ施策を機能させるための、以下のような5つのポイントを紹介する。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ