Whenever ONLINE BUSINESS（ウェネバーオンラインビジネス）：中国（上海北京広東）経済ニュース－　情報セキュリティ対策の勘所(5):対策を定期的に評価適切なセキュリティの維持を

IT 中国

情報セキュリティ対策の勘所(5):対策を定期的に評価適切なセキュリティの維持を

継続的にセキュリティレベルを保つ
ウィルス対策から社員教育、セキュリティソフトの導入まで大まかに見てきました。これらの対策に加えてキャビネットの施錠など物理的な対策、また工場でしたら監視システムの導入などを合わせれば、対策を一通り施したことになります。
しかし、これらの対策をすべて行えばそれで終わりというわけではありません。セキュリティレベルを保つためには、今ある制度や仕組みを常に評価し、必要であれば見直しを行う継続性が欠かせません。

日々の運用で常に見直しを
前回では記録を取るだけでも十分な効果が得られると書きましたが、いつまでもそのままでよいということではありません。記録を取るだけでまったく精査していないという認識が広がれば、抑止効果は下がってしまいます。「見られている」状態を維持するため、定期的にログを分析してレポートを作成し、必要であれば社員に公開して注意を喚起することも必要です。
禁止事項に関しても常に見直していくべきです。不必要に厳しい禁止設定は業務に悪影響を及ぼしますし、漏れがあればせっかくのシステムが機能不全を起こしてしまいます。
ユーザーIDと権限を例にとって見てみましょう。新しいスタッフが入社すればIDが発行されますが、この時は部署の連携が不十分でも大きな問題にはなりません。IDがなければシステムを利用できないわけですから、すぐに気が付きます。
問題が起きやすいのはスタッフが退職する時です。人事総務とIT部署の連携が上手くいっていなければ、退職者のIDが放置される危険性があります。不在者のIDや権限を放置することは一種のセキュリティリスクです。
転属などで権限が変更される場合も注意が必要です。権限付与はスムーズに行われますが、権限の削除は同じような理由で放置されがちです。こうした例をとっても、日々の運用における設定の評価や見直しが重要であることが分かります。

コストを投資へとレベルアップ
社内に委員会を設けることも方法の1つです。実際に業務を行う担当者と情報の重要性を判断して方針を決定する責任者、それに外部の専門家を加え、定期的にセキュリティの評価と見直しを行います。PDCAのサイクルを構築することで、セキュリティ対策を単なる場当たり的な対応ではなく、企業の戦略として進めていくことができます。
「千里の道も一歩から」「継続は力なり」―。これらは情報セキュリティにも当てはまります。「これをやれば終わり」という魔法の答えはありません。継続的に費用も掛かります。しかし、的確な情報セキュリティ対策を維持することができれば、企業価値を高めることになり、対策コストを投資へとレベルアップしていくことが可能となるのです。

以前のコラム
情報セキュリティ対策の勘所(4):禁止と抑止を活用出来心を起こさせない仕組みを
情報セキュリティ対策の勘所(3):効果的にバックアップリスクを算定し手順の把握を
情報セキュリティ対策の勘所(2):効果的にバックアップリスクを算定し手順の把握を
情報セキュリティ対策の勘所(1):日常的対策も重要利用規定の明文化と徹底を

情報提供：

BiZpresso Vol.38 2月5日発行

2008/02/29 更新

森本孝明氏

善誠科技発展(上海)
[住所] 上海市漕河啓涇開発区宜山路900号科技大楼D区1001室
[電話] 021-5423-5599×202 / [FAX] 021-5423-5225
[URL] www.gweg.co.jp/shanghai
[E-mail] k-morimoto@gweg.co.jp