情報セキュリティ教育をおろそかにする弊害セキュリティリスクの変化に強い企業文化(3/3 ページ)

» 2010年01月13日 07時00分 公開
[小川真毅,ベライゾンビジネス]
前のページへ 1|2|3       

情報漏えい対策の3要素

 情報セキュリティマネジメントシステムを規定した国際規格のISO/IEC 27001では、情報セキュリティとは「情報の機密性、完全性及び可用性を維持すること」と定義されています。つまり、情報資産を保護するということは、その情報資産の参照や使用を認められたものが要求したときにアクセス可能とする可用性(Availability)、使用を認められていないものには情報資産を参照・使用不可とする機密性(Confidentiality)、情報資産の正確さと完全さを保護する完全性(Integrity)、の3つの要素で成り立っています。

 しかし、この定義は情報セキュリティとは何をすることなのかという「What」の部分について定義しているのみで、どうやってそれを実現するかという「How」の部分までは言及していません。ここまでの話を踏まえて、情報セキュリティとそれを実現する情報漏えい対策について考えてみると、大きく3要素に分けて考えることができます。

 1つ目は従業員教育や人的リソースの確保など、組織面での対策としての「People」、2つ目は対策を漏れなくミスのないように実施するためのプロセス定義としての「Process」、3つ目がウイルス対策ソフトやファイアウォールの実装、アクセスコントロールの設定など技術的対策としての「Technology」です。つまり、この3つが情報セキュリティ対策に欠かせない3要素といえるのではないでしょうか。どれが欠けても効果的なセキュリティ対策にはならず、そこが穴(セキュリティホール)となって情報漏えいやセキュリティ事故が起きてしまいます。

 セキュリティ対策は定量的に数値化することは非常に難しいですが、この3要素について投資効果の傾向という観点で捉えてみると、技術的対策というのは投資時点では当然環境的に最適で可能な限り最新の対策技術を実装することになると思いますが、環境の移り変わりが激しいために、新たな技術やセキュリティ上の問題が日々出てきます。したがって、長期的に見ればTechnology面での対策は効果が下がっていきます。

 これに対し、従業員や組織、プロセスの面で見るとどうなるでしょうか。従業員の情報セキュリティ意識というのは当然ながら一朝一夕でガラッと変わるものではないですし、企業文化としての情報セキュリティに対する考え方や雰囲気というのもすぐに変わるものではありません。しかし、従業員は成長し、それに伴って組織全体の雰囲気も変わります。プロセスもPDCAサイクルに基づいて改善を続ければ、徐々に良くなり、定期的な見直しの中で環境の変化を取り込むこともできます。つまり、PeopleやProcessの面でのセキュリティ対策への投資は、長期的に見れば非常に効果の高いものとなり得ます。

 情報漏えい対策では3要素が個々に偏り過ぎることがなく、バランスよく投資していくことが必要だと言えるでしょう。その1つの要素であるPeopleに含まれるセキュリティ教育が情報セキュリティ対策全体から見て非常に重要な位置付けとなります。

 冒頭で挙げた「セキュリティ教育は必要だと思いますか」という質問に対して、今まで「当たり前」とか「なんとなく」という回答しかできなかった場合には、こうした点を踏まえつつ、その重要性とおろそかにしたときの弊害について目を向けていただきたいと思います。

筆者プロフィール

ベライゾンビジネス シニアセキュリティコンサルタント。9年間以上におよぶITセキュリティ分野での経験と専門知識を生かし、プロフェッショナルサービスを提供する。「ISO 27001」「CoBIT」「SOX/J-SOX」「PCI DSS」などのセキュリティ標準・ガイドラインに関する深い専門知識を持ち、セキュリティイベントではセミナー講演やワークショップを開催なども担当している。保有資格はISC2認定CISSPやPCI SSC認定QSA、経済産業省認定テクニカルエンジニア (情報セキュリティ)、情報セキュリティアドミニストレータ、テクニカルエンジニア(ネットワーク)など。


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ