セキュリティ事故対策は「起こることを前提」に考えるセキュリティ対策は事前と事後をつなぐ時代(1/2 ページ)

セキュリティ事故は起こさないことが理想だが、100%防ぐ手段はない。社会的影響も大きい企業の情報セキュリティ対策を、現実に即した形で有効性を高めるにはどうすべきか。そのヒントを連載で探る。

» 2009年12月01日 07時05分 公開
[尾崎孝章,デンカク]

 「事故前提社会」――2009年2月に政府発表された「第2次情報セキュリティ基本計画」で打ち出されたセキュリティ管理の新たなキーワードだ。情報セキュリティは、事故が起こり得ることを前提として、事故時の対応力がより重視される時代へと移り変わろうとしている。本連載では次代の情報セキュリティを見据えて、事後対策にスポットを当てた「事故前提社会」を描いていきたい。第1回目では、事故前提社会はどういうものかを詳しく紹介しよう。

事前対策だけではもはや限界

 セキュリティ事故への対応には、事前対策と事後対策との両面がある。情報セキュリティの問題を未然に防止する事前対策(セキュリティ方針の策定や管理体制の構築、セキュリティルールの実行等)に努力を払う一方で、「事故は発生するもの」として認識し、万が一の問題発生時に速やかな対応や復旧ができるよう事後対策にも注力し、両面で管理していくことが必要となっている。実際に事故が起きた際にいかに被害を最小限に抑え、速やかに事故前の状態へ回復させていくかといった事後対策は、事業継続活動の一環として、情報セキュリティが事業活動や顧客の信頼に関わる企業において重要な活動となるであろう。

 かつてADSLが登場した2000年頃、一般家庭へのインターネットの急速な普及に比例して、eコマースなどの言葉が賑わい、中小企業においても自前の通販サイトを立ち上げる姿が多く見られた。一方で、こうしたIT化に伴う投資増もあって、コストとなる情報セキュリティ対策は後回しになり、何か問題が起きた際に対応するという事後対策の状態の事業者が多かった。結果として、ホームページ改ざんの事故や社内システムへの不正アクセスによる情報漏えいなど、情報セキュリティ事故が相次いで発生するようになり、報道ニュースによる社会的な関心が高まった。そこで、多くの事業者にセキュリティ管理の意識変化が発生し、事故ゼロを目指す事前対策中心の活動が今日まで進められてきた。そうした中での事故前提社会としての情報セキュリティの管理は、従来の事前対策一辺倒を改めるセキュリティ管理のバランスを取るための活動といえる。

 事後対策活動の必要性の背景には、多くの企業が予防管理に努めるなか、情報セキュリティ事故が少しも減少していないことにある。これには、各種情報システムがインターネットと連携することで生まれるハッキングの脅威の面や、情報機器の価格低下・小型化によるデータの容易な持ち出しといった脆弱性の面、そして人的な作業依存によるヒューマンエラーといった管理の限界などが原因として挙げられる。

コストや利便性などを踏まえたトータル管理

 2月に政府から発表されたのが「第2次情報セキュリティ基本計画」(以下、「2次計画」という)である。これは2006〜2008年までの3カ年の中期計画である「第1次情報セキュリティ基本計画」を受けて計画されたもので、次の2009〜2011年までの3カ年を対象とする、情報セキュリティ先進国としての日本の新たな推進計画である。

 第1次情報セキュリティ基本計画では、先に述べた2000年以降の情報セキュリティ事故の増大を踏まえて、情報セキュリティ政策の立ち上げと、それに対する事業者などをはじめとしたセキュリティ管理に対する「気付き(動機付け)」の提供を目的としていた。「事故、災害や攻撃に対して、事前に考えられる対策が十分に施されていること(予防)」など、ITを安心して利用できる環境づくりを目指した、企業への情報セキュリティ対策の推進・啓蒙を1つのテーマとして挙げていた。

 2次計画では、推進・啓蒙の継続と改善を進めるとともに、さらに「事故前提社会」への対応強化を掲げた点に特徴がある。より現状に即し、セキュリティ投資に対するコストやセキュリティ制約に対する利便性などのバランスを踏まえた、トータルなセキュリティ管理を目指すものといえる。事故前提社会とは、セキュリティ事故の可能性を完全に排除する情報セキュリティ対策の実現は難しいものであるという認識の中で、企業には事故が起こり得ることを前提としてその対応力を求めていくものである。2次計画では、予防活動を維持しつつ、次なる活動によってこの3年間でより実践的なセキュリティ活動として形成されていくことが期待される。

 2次計画が描く2011年の企業の姿は、「経営管理としてIT依存への一層の高まりが想定され、情報セキュリティは財務統制などと並ぶ経営上の重要な要素となる中で、これまでの情報セキュリティ対策自体の事前対策が進むとともに、大企業及び情報セキュリティの重要性が高い企業を中心に、適切かつ必要な対策が行われつつあること」を示している。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ