中小企業の素朴な問題を解決する、IT総合事務所
合同会社オークニック
■
情報セキュリティを考える...
情報セキュリティとは
情報セキュリティと聞くと、顧客情報の流出などの情報漏えい事件を思い出される方が多いでしょう。それも情報セキュリティの一部ではありますが、もっと広範囲のことを含みます。
情報セキュリティとは、情報の
機密性
、
完全性
及び
可用性
を維持することです。さらには、真正性、責任追及性、否認防止及び信頼性の維持までを含むこともあります。
情報にも価値の低いものから、企業の存亡に関わるような重要なものまで、さまざまな価値レベルがあります。その情報のセキュリティが犯されたときに、企業が受ける損害を想定し、どの情報のセキュリティを維持するのかを見極める必要があります。
情報はさまざまな脅威にさらされています。脅威から情報を守るためのセキュリティ対策が不十分であればその脅威はすぐにも現実のものとなります。情報通信技術やネットワークの進歩は情報へ脅威も増加させています。どのような脅威が存在するのか、その全てを理解していなくても、ある程度の知識は必要です。また、最新の脅威に関する情報を有する専門家を身近に置くことも重要です。
セキュリティ対策には、それがどれほど簡単で軽微な対策であってもコストがかかります。高コストをもってしても十分な対策のできない脅威も存在します。しかし多くの場合、高コストな対策が必要となる脅威はその発生確率も低いものです。低コストでどこまで効果的な対策を施すことができるかが重要なポイントになります。
情報セキュリティは、情報の資産価値と、取り巻く脅威と、対策コストを評価して実施されなくてはなりません。これには経営者による経営判断が必要となります。経営者自らが率先して情報セキュリティ対策に取り組まない限り、効果的な情報セキュリティは実現しません。
ISO/IEC 27001(ISMS)
情報セキュリティの認証規格としてISO/IEC 27001(ISMS=Information Security Management System=情報セキュリティマネジメントシステム)があります。この認証取得の是非は各企業の経営判断に委ねられますが、規格の要求事項には参考となることが多数あります。規格の要求事項のうち実現可能なものに対応しながら、情報セキュリティを進歩させて行くことも方法の一つです。
ISMSの詳細
については、(財)日本情報処理開発協会 情報マネジメントシステム推進センターのサイトをご覧下さい。
PDCAモデル
ページトップ
ISO/IEC 27001では、下記PDCAモデルによりISMSを確立することを規定しています。
計画(Plan)
ISMSの確立
組織の全般的方針及び目的に従った結果を出すための,リスクマネジメント及び情報セキュリティの改善に関連した,ISMS基本方針,目的,プロセス及び手順の確立
実行(Do)
ISMSの導入及び運用
ISMS基本方針,管理策,プロセス及び手順の導入及び運用
点検(Check)
ISMSの監視及びレビュー
ISMS基本方針,目的及び実際の経験に照らした,プロセスのパフォーマンスのアセスメント(適用可能ならば測定),及びその結果のレビューのための経営陣への報告
処置(Act)
ISMSの維持及び改善
ISMSの継続的な改善を達成するための,ISMSの内部監査及びマネジメントレビューの結果又はその他の関連情報に基づいた,是正処置及び予防処置の実施
各企業の情報セキュリティ対策も、企業の実用に合わせながら、PDCA螺旋に従って、一歩ずつ進化させて行くことが可能です。
情報セキュリティ対策確立のためのサポートメニュー
ページトップ
情報セキュリティの概念を持たない企業が、情報セキュリティ対策を確立するまでに、オークニックがお手伝いできるサポートメニューを紹介します。
教育
コンサルティング
監査
文書管理システム
教育
サポートメニュートップ
情報セキュリティ対策の確立には、情報セキュリティについて理解することから始まります。
オークニックでは各種講演を承ります。
下記はその例であり、それぞれ90分程度の講演となります。また、要望に応じて内容を組み替えることも可能です。
名称
内容
情報セキュリティ入門(経営者対象)
経営者が把握しておきたい情報セキュリティの基礎知識や、セキュリティ対策確立の意義と効果及び、確立までの道程について解説します。
情報セキュリティ入門(一般対象)
身の回りにある脅威とその基本的な対策の例を中心に情報セキュリティの基礎知識について解説します。
ネットワーク上の脅威と対策
社内LANやインターネット利用時の脅威とその対策を解説します。
ウィルス対策
ウィルスの感染経路、症状、感染時の対応と日頃の対策について解説します。
人為的脅威と対策
過失や悪意によって発生する人為的脅威について、その対策を実例を元に討論形式で学びます。
情報セキュリティ管理策解説
作成された管理策や手順は、全社員へ周知徹底されなくては意味がありません。本来それは社内の担当者から説明されることが望ましいのかも知れませんが、それを代行します。確立された管理策等の意味を最新の事例などを混じえ、一般論的に解説することによって、より一層の理解を得ることができます。
コンサルティング
サポートメニュートップ
情報セキュリティは、100%完全な対策を確立することは不可能です。正解のない分野と言えます。ただし、より良い解答は必ず存在します。維持し改善されつづけなくてはなりません。
オークニックは、自らの経験と、他の事例などから、各社にとってより適切と思われる対策案を提案します。
監査
サポートメニュートップ
情報セキュリティ対策は、その実施状況を内部監査などにより検証される必要があります。検証されなければ問題も発見されませんし、次なるステップへの改善もなされません。
中小企業等、小規模組織においては、内部での監査には限界があります。これを補うのに有効なのが第三者による監査です。
オークニックは第三者として、管理策が確実に実施されていることを監査し、報告します。
文書管理システム
サポートメニュートップ
情報は、その多くが文書という形で保存されます。そのため、情報セキュリティでは文書管理が重要になります。文書はそれが記録されている紙、磁気ディスクなどの媒体や、記録形式によって管理に差が出ますが、以下共通的に考慮しなくてはならない点を、情報セキュリティの要素別に整理します。
機密性
閲覧権限の設定と、アクセス制御が必要になります。
より高度な機密保持のためには、下位権限の閲覧文書への書込制限が必要になります。
格納場所から持ち出された(コピーされた)あとの管理に脆弱性の潜む可能性が上昇します。
完全性
文書の正当性を証明するために、押印やデジタル署名が必要になります。
文書の改変権限の設定と、アクセス制御が必要になります。
文書の破壊や喪失に備えてバックアップ機能が必要になります。紙媒体の場合、その複製を作成し保存するのは大変な作業になることが多いです。
デジタル媒体の場合、複数のコピーが発生し、どれが最終的な本物であるか不明になる、いわゆるドッペルゲンガー症候群への対策が必要です。
可用性
必要な文書を多方面から高速に検索する機能が必要です。
複数の人間によっても混乱しない整然とした格納方法が必要です。
機密性、完全性を高めると、アクセスの為の手続きが複雑になり、可用性が失われますので、そのバランスが求められます。
上記要件を満たすシステムは容易には構築できません。
オークニックでは、ファイル化された文書について、下記の要件を満たす文書管理システムを提供します。詳細についてはメールにてお問い合わせ下さい。(
)
文書を保存する書庫を提供します。
利用者はログインIDとパスワードによりアクセスコントロールされます。
文書は書庫から所定の作業フォルダーへコピーされ、そこで閲覧、更新されます。作業フォルダーにコピーされた後の制御は利用者に委ねられます。
書庫は、閲覧、保存、削除の3つのアクセス権で制御されます。
書庫は階層型の仮想フォルダーで管理されます。
仮想フォルダーとログインIDの組み合わせでアクセスコントロールします。
文書は、仮想フォルダーに保存されます。
文書単位で更新履歴が管理されます。削除された文書は管理者により完全削除されるまで履歴に保存され、いつでも復元できます。
文書とログインIDの組み合わせでのアクセスコントロールも可能です。
一つの文書は複数の仮想フォルダーへ登録可能です。ただし実体は一つです。何れかの仮想フィルダーで変更されると他の仮想フォルダーの内容も変更されます。
複数の仮想フォルダーに登録された文書を分離することが可能です。
文書には、文書検索用のキーワードを登録することができます。
© 2008 Oaknique All Rights Reserved