ゼロから分かる中小企業の情報セキュリティ対策法:中小企業に効くクスリ(2)(2/3 ページ)
対策の方向性──マネジメント志向と取り組み宣言
こうした情勢を前提として、求められるセキュリティ対策の方向性を整理してみよう。
情勢1に対する方向性
図1のような多様なセキュリティ脅威を無秩序に見せられても、どの脅威に対してどのような順番で対応していくべきか戸惑ってしまうだろう。とはいえ、日ごろ、テレビやWebニュースサイトなどからの情報は、このような無秩序な形で情報が発信されている状況だ。ニュースとして扱われるセキュリティ情報は、基本的に大きなセキュリティ事件の発生をトリガーにして、そのトピックが大きく取り上げられる。最近では、「数十万人規模の個人情報漏えい」「不正侵入により、サイトが一時閉鎖」などだ。
そうしたトピックに反応して「弊社も個人情報保護対策に取り組もう!」「より高機能なファイアウォールに切り替えよう!」と場当たり的な判断をするのは考えものである。企業には人材・資金の制約があり、実際に取り組み可能な対策は限定される(中小企業であればとりわけそうであろう)。多様な脅威が存在している現状では、断片的な情報に基づいてやみくもに対策を取っても、十分にセキュリティの“穴”をふさぐことはできない。
ここでは中長期的視点でセキュリティ動向をとらえながら、自社にとっての脅威を網羅的に洗い出し、費用対効果による評価・優先順位付けを行うなどの体系だった対応──すなわちマネジメント志向が求められる。
情勢2に対する方向性
高いセキュリティレベルを中長期にわたって維持し、それを証明していくことは非常に難易度が高い。
これを行っていくには公的機関によるセキュリティ関連認定の取得が有効だが、セキュリティに取り組み始めたばかりの中堅・中小企業では早期取得は困難であろう。
まず、手始めは自社の意思をはっきりさせ、それを内外に表明することであろう。最近、流行(?)の個人情報保護対策が参考になる。対策を実施している企業はWebページを使って、個人情報の“持ち主”であるユーザーに対して会社としてのポリシーを宣言する習慣になっている(むろん、個人情報保護に関しては個人情報保護法が成立しているので、法令に準拠することが求められる)。
図3 プライバシーポリシーの例(出所:セキュリティ対策についても同様である。ビジネスパートナーが理解できるセキュリティ対策の取り組み姿勢を宣言するか、あるいは求められた際(例えばRFPや契約交渉などで)に提示できる状態にしておくことが重要である。
情報セキュリティ・マネジメントシステムの確立、運用
求められている対策の方向性を整理すると、次の2点になるだろう。
- 方向性1:中長期視点でのマネジメント志向
- 方向性2:ビジネスパートナーへの分かりやすい取り組み宣言
これら2つの方向性を満たすセキュリティ対策はどのようなものであろうか? それが情報セキュリティの包括的な枠組み──すなわち情報セキュリティ・マネジメントシステム(以下、ISMS)の確立、そしてその継続的運用である。
具体的には、財団法人 日本情報処理開発協会(JIPDEC)によって策定された「ISMS認証基準」(現在はVer.2)を指針にして、ISMSを構築していくのがよいだろう。ISMS認証基準は、英国規格BS 7799-2「情報セキュリティ・マネジメントシステムのための仕様」を下敷きに情報セキュリティ標準として制定されたもので、これに基づいて「ISMS適合性評価制度」が運用されている。
ISMS認証基準は、実際にISMS認証取得をしなくても、企業が情報セキュリティ対策を実施する際に大いに役立つガイドラインとなるものだ。すべての業種に適用でき、企業規模も問わない(組織の一部分だけでも適用可能)。ISMS構築によるセキュリティ体制の確立のメリットを挙げるとすると、次のようになるだろう。
| 特徴 | ポイント |
|---|---|
| 中長期視点でのマネジメント志向 | 方向性1に合致 |
| 公的な存在、世界標準に準拠 | 方向性2に有効 |
| 一定水準を満たせば、公的な認証が可能 | 将来的に方向性2 |
| 有識者によって考案されたベストプラクティスで高品質 | |
| 無償で適用可 | |
ISMS認証基準の詳細は、JIPDECのサイトで原文をご覧いただくか、@IT Security&Trustフォーラムの記事を参考にしていただくとして、以下、同基準の簡単なポイントを解説する。
【リンク】
▼ISMS認証基準(Ver.2.0)(日本情報処理開発協会:JIPDEC)
【関連記事】
▼情報セキュリティマネジメントシステム基礎講座(@IT Security&Trustフォーラム)
▼実録 ISMS構築・運用ステップ・バイ・ステップ(@IT Security&Trustフォーラム)
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Windows 11の永続ライセンスが消えて“毎月課金”になる予感
- 「子会社系SIer」で深刻化する“忙し過ぎ問題” 最も不足している意外なIT人材とは?
- 富士通とNECの最新受注状況から探る 「2024年度国内IT需要の行方」
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- プロンプト作成は「ヒトに残された」仕事か? それともただの「時間の浪費」なのか
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
ITmediaはアイティメディア株式会社の登録商標です。