セキュリティ対策、社内の協力を仰ぐには?システム部門Q&A(11)(1/4 ページ)

個人情報保護法の施行をひかえ、いま情報セキュリティ対策が注目されている。情報マネージャとして、経営層をはじめとする全社の協力を得てセキュリティ対策を実施するにはどうすればいいのか?

» 2004年07月28日 12時00分 公開
[木暮 仁,@IT]

質問

セキュリティ対策、社内からどう協力を仰ぐ?

  1. 中小企業の情報システム責任者です。小規模ながら電子メールサーバやWebサーバを自社で持っています。情報セキュリティでのトラブルが話題になっていますが、当社では情報セキュリティ対策としてアンチウイルスソフトを導入した以外にはほとんど対策をしていません。経営者は「当社のような中小企業には、もうけにならない対策にカネは使えないし、見られて困るような情報なんかない」という始末です。経営者を説得するための殺し文句はありませんか。

  2.  中堅企業の情報システム部長です。経営者も情報セキュリティ対策には関心を持っており、当部の業務分掌規程に「セキュリティ体制の確立・強化」を加えました。私はその推進責任者です。情報システム部門として技術的な対策はそれなりに行ってきたのですが、他部門の関心は低く、むしろ「面倒なことにわれわれを引き込むな」という態度です。そのために、人的・業務ルール的な面の対策ができていません。どのような体制でセキュリティ対策を実践したらいいでしょうか。

 情報セキュリティ対策が大きな課題になっていますが、タテマエはともかくホンネではあまり積極的ではない経営者や情報セキュリティ対策を誤解している経営者もいます。

 質問1では、情報セキュリティ対策の目的を誤認しています。情報セキュリティ対策は自社のためだけではなく、社会的責任なのだという認識がないと困ります。質問2では、そもそも情報システム部門の責任としたことに問題があります。「情報」セキュリティ対策だと考えて、情報システム部門を担当にしたのでしょうが、情報セキュリティ対策は全社的な継続的改善運動であり、経営者自身が先頭に立って推進しなければなりません。

なぜ情報セキュリティ対策が必要なのか

 まず、質問1にお答えします。道義論と損得論の両方から説得しましょう。

1.情報セキュリティ対策は社会的責任だ

 「当社の情報など他社には価値はあるまい。その保護対策にカネを掛けるのはムダだ」

 自動車を運転するには運転免許を持ち定期整備や始業点検をすることが義務付けられています。それは自動車事故を起こすと、自分が困るからというよりも、他人に損害を与える危険があるからです。インターネットに機器を接続するのは、公道に自動車を乗り入れるようなものです。すなわち適切な情報セキュリティ対策を講じることは、社会的責任なのです。

ウイルスの伝染基地にされる

 情報セキュリティ対策が不十分だと、パソコンがウイルスに感染する危険があります。すると、そのパソコンから第三者へウイルスの付いた電子メールを自動的に転送します。すなわち、ウイルスの伝染を手助けすることになるのです。Webサイトの改ざんも話題になっていますが、そのサイトをアクセスするとウイルスに侵入されたり、個人情報を不正に収集されるように書き換えられたりすることもあります。

DoS攻撃の踏み台に

 あるサイトに大量のメールを送り付けることにより、そのサイトの本来のサービスをできなくする攻撃DoS(Denial of Service Attack)攻撃といいます。銀行強盗をするには盗難車を用いるのが定石なように、ハッカー(*)は自分のパソコンから直接に攻撃するのではなく、あらかじめ情報セキュリティ対策の甘い多くのサイトにウイルスを潜入させておき、ハッカーの指示により一斉に目標のサイトへ大量のメールを発信させます。このようにされたサイトを踏み台といいますが、攻撃されたサイトからは踏み台が攻撃してきたように見えます。

 このように、ハッカーにとっては、あなたの会社の情報などには関心はないのです。それよりも、あなたのサーバを加害者の一味にさせてウイルス伝染の媒体にしたりDoS攻撃の踏み台にしたりして利用したいのです。

* 「ハッカーとは、高度な情報技術にマニアックな人のことで、反社会的な行動などには無縁などころか、情報技術の発展に貢献しているのだ。ウイルス開発や不正アクセスをするような連中はクラッカーでありハッカーではない」のだそうです。しかし、ハッカーという言葉がまん延しているので、ここではハッカーとしておきます。

2.情報セキュリティ対策が取引条件に

「ウチのような中小企業はそんな社会的責任まで負わなくてもよかろう」

 このような経営者には、「情報セキュリティ対策を怠ると取引ができなくなるぞ」と脅かしましょう。

 自社のネットワークには取引先に関するデータもあります。個人情報の漏えいが話題になっていますが、対象が個人でなく企業だとしても、販売価格や購入条件などが漏えいしたら相手企業に大きな迷惑が掛かります。直接に迷惑が掛からなくても、信用を失って取引に影響するかもしれません。自社のコンピュータにある情報は、自社の持ち物ではなく、他者の秘密を預かっているのだと考えましょう。

 最近は、大企業やオンライン取引をする企業では、ISMS(Information Security Management System)認定マークやプライバシーマークを取得しようとする動きが活発になっています。それらの企業と取引をするときには、情報セキュリティ対策の実施が求められるようになりましょう。逆にいえば、情報セキュリティ対策をしていることが、取引拡大につながるかもしれません。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.