Winny事故で問われる企業の情報管理能力：情報セキュリティガバナンスを確立せよ 番外編（2/2 ページ）

[大木栄二郎，＠IT]

重要情報管理に求められる要件

　セキュリティ施策とワークスタイルの問題は、会社が管理する環境での情報の利用から、社員が個人で管理する環境での会社の情報の利用へと、概念を拡張することで整理できる。

　会社が管理する環境で使われていた企業の重要情報を、社員個人が管理する環境で使用することを許可するためには、会社が管理する環境と同程度にまでリスクが低減できる見通しが立たなければならない。そのためには、少なくとも次の4つの項目について、企業は明確な指針を立てて取り組む必要がある。

1. 社員の行動規範

　社員自身の自己管理に情報リスクの多くを依存することになるため、そこでの社員個人の行動規範を定めることは極めて重要である。会社の重要情報を適切に保護しつつ、生産性の高い活動を自己管理できる社員の育成が大きな課題であり、行動規範の順守について宣誓を求めるなどの施策も重要である。

2. 個人の管理する情報環境に求める要件

　これまでの企業内のITセキュリティ施策のうち、社員個人のPCにも適用すべきものをリストアップするのがわかりやすかろう。ウイルス対策やOSパッチの適用などに加えて、PtoPソフトの禁止などが具体的にこの中で規定されなければならない。

　さらに、PC設置の物理的環境条件や、家族による対象PC利用の制約など、リスクに応じた環境要件を適切にまとめることになる。

3. 会社が重要情報を社員個人の環境に渡す場合にその情報に付加する保護機能

　企業の重要情報を、個人の管理する環境での使用を許すとすれば、単に環境に制約を加えるばかりではなく、重要情報そのものにも保護機能を加えて渡すことを検討すべきである。

　これは、「保護カプセルに入れる」と表現すると分かりやすい。保護カプセルには、中の情報の重要度に応じて、暗号化やアクセスコントロールにかかわるさまざまな機能が要求されることになる。このカプセル機能は、PCのセキュリティ機能との連携ができなければ効果が薄い場合があり、この辺りは、これからの技術開発に期待しなければならない部分も残されている。業務の内容や取り扱う情報の種類など、リスクに応じた機能定義を技術的実現性も考慮して定めていく必要がある。

4. 社員が個人の環境で重要情報を利用することの会社からの検証機能

　さらに、社員個人が行動規範に基づく行動を取っていても、事件事故が起きないとは限らない。その事態に備えて、カプセルに入れられた重要情報のアクセスなどは的確に取得され、後の検証に耐える形で保存あるいは報告される必要がある。社員個人のまったくの私的活動と、会社の情報を取り扱う業務活動とが峻別され、業務活動についてのみトラッキングできるなどの機能が求められる。

図2　企業における重要情報の管理に求められる4つの要件

　企業として、リスク管理の観点から許容できる条件をきちんと示し、その条件を守れる社員にのみ、新たなワークスタイルを許可するなどの施策を取ることが重要である。社員の自主的な取り組みに任せるだけでは事態は好転しない。企業の重要情報を取り扱う業務という切り口から、社員個人のプライバシーに配慮しつつも、企業は個人に要求すべきは要求し、情報セキュリティの確保の基準を示して、情報管理の責任を全うしなければならない。

企業が情報管理で今後進むべき方向とは

　企業にとって、PtoPのような新たな技術開発の方向性を見定めることも、それらをコントロールすることも相当に難しい問題である。従って、企業が取り得る行動は、自らの努力でできる範囲で、管理の枠組みを構築しておき、新たな技術や脅威に備えるということに尽きる。

　そのためには、いま分かる範囲で問題を正確にとらえ、その中で企業の基本的な姿勢を明確にして、社員に徹底していくしかない。これまでの企業の情報セキュリティにかかわる規程類の適用範囲を、会社の内側から、社員が活動する場面すべてに拡大して、会社の資産である情報のセキュリティ確保がどこでもできているように、あらゆる手段を講じて取り組んでいかなければならない。

　ニーズがあるところに技術開発は起こる。新たなセキュリティ技術の要求場面は広がり、それに応じた保護機能や管理機能が充実してくることは間違いないであろう。それらをうまく活用して、それぞれの企業の実情に即した施策を展開していただきたい。

著者紹介

▼著者名　大木 栄二郎（おおき えいじろう）

工学院大学情報学部教授、IBMビジネスコンサルティングサービス顧問。前職はIBMビジネスコンサルティングサービス チーフ・セキュリティ・ オフィサー。

日本IBMにおけるセキュリティ・コンサルティングの分野を確立、情報セキュリティガバナンスの確立に多くの実績を持つ。情報セキュリティ戦略研究会委員、地方公共団体情報セキュリティ監査調査研究会委員、同WG座長、情報セキュリティ基本問題委員会第1分科会委員、企業におけるセキュリティガバナンス研究会委員、同WG1座長など、政府のセキュリティ関係委員会の委員を歴任。

現在IBMディステングイッシュト・エンジニア、IBMアカデミー会員、セキュリティマネジメント学会常任理事、個人情報保護研究会幹事、情報処理学会会員、ネットワークリスクマネジメント協会幹事、メールマガジン『啓・警・契』 編集長、日本セキュリティ監査協会理事スキル部会長。

著書は「経営戦略としての情報セキュリティ」「経営戦略としての個人情報保護と対策」など。