夏休み前こそ再確認――セキュリティインシデント：ITIL Managerの視点から（3/3 ページ）

人間を性善説で見るか性悪説で見るか、という観点は時代遅れ。リアルな世界でもITの世界でも、セキュリティインシデントは確実に存在するし、悪意がなくとも「ついうっかり」や「デキゴコロで」ということだってあるのだ。

[谷誠之，ITmedia]

情報セキュリティ対策の種類

　情報セキュリティ対策を分類するというのは、いくつかの手法があるだろう。まずは次の図をご覧いただきたい。情報セキュリティ対策は、この3つの観点に大別できると考えられる。

情報セキュリティ対策の「3つの観点」

ITシステム

システムそのものにセキュリティ対策が施してあるかどうか、ということである。OSやアプリケーションに最新のパッチがあててあるかとか、ウイルス対策ソフトやファイアーウオールが導入されているかとか、適切な権限の設定が行われているかといったような観点である。

組織

人、または人の集合体である組織としてのセキュリティ対策を指す。情報を社外に持ち出す時のルールはどうなっているか、それが周知徹底されているか、全社的なセキュリティ方針が作られているか、対処法や連絡網などはきちんと文書化されているか、監査体制は整っているか、といったようなことが挙げられる。最も重要なことは、各メンバーが、情報セキュリティインシデントに対して危機感を持ち、対策やルールづくりが必要なんだという意識を共有できているかどうか、ということだ。

物理的

建物、設備、その他リアルに存在する物に対策が施してあるか、ということ。耐震・免震構造になっているか、空調設備は適当か、電源対策は適当か、許可された人だけが入室できるような仕組みになっているか、建物の立地は洪水や土砂崩れの心配がないか、といったようなことがこの中に含まれる。

---

　最後に、重要な点を2つ。

　様々な対策を施しても、何らかの理由でそれが破られ、情報セキュリティインシデントが発生することは十分に考えられる。したがって「情報セキュリティインシデントが起きないように、または起こりにくいようにする」対策だけでなく、「実際に起きてしまった場合の対応」も同時に考える必要がある。どれだけ万全の体制で臨んでも、インシデントは起きるときは起きるのだ。

　それから対策やルールは、トップダウンで決めてメンバーに守らせてもなかなかうまくいかない。試しに対策やルールを現場の人間に決めさせてはどうだろうか。そのためには前提条件が2つある。1つは、メンバー全員に情報セキュリティ対策の重要性を十分に理解してもらっておく必要があるということ。もう1つは、現場の人間が決めたルールをマネジャーや経営者層が承認し、ある程度の期間でレビューして見直すというという仕組みを取り入れることである。自分たちで決めたルールであれば、押し付けられたルールよりも守ろうという意識がより働くだろう。

　連載は今回で最終回である。ITサービスマネジメントに関する注意点を、用語解説を中心に横断してきた。この連載から何らかの気付きを得て、あなたの組織のITサービスマネジメントが少しでもより良い方向に向かったのなら幸いである。

谷 誠之（たに ともゆき）

IT技術教育、対人能力育成教育のスペシャリストとして約20年に渡り活動中。テクニカルエンジニア（システム管理）、MCSE、ITIL Manager、COBIT Foundation、話しことば協会認定講師、交流分析士1級などの資格や認定を持つ。なおITIL Manager有資格者は国内に約200名のみ。「ITと人材はビジネスの両輪である」が持論。ブログ→谷誠之の「カラスは白いかもしれない」