今回は、技術経営の一貫としての情報セキュリテイ管理教育はどのように進めていけば良いかを考えます。
現代では、情報セキュリティの脅威は「インターネット検索」だけではありません。標的型攻撃(APT: Advanced Persistent Threat)と呼ばれる、偽メールで特定ターゲットを狙い撃ちする攻撃など、悪意の第三者による脅威が悪質化、巧妙化、深刻化してきています。端的に言うと、脅威がやってくる入り口が増えてきています。そして、脅威へと開かれた出口も増えてきています。
しかし、インターネットは脅威もありますが、メリットも相応に大きいでしょう。「集合知 (Collective Knowledge)」という考え方がありますが、インターネットには世界各国の人間からの情報が集まり、情報同士が融合して化学反応を起こしています。異質の情報の出会いが新たな情報を生み出している状況です。
最近よく聞く「オープン・イノベーション」という話も、他社や他人のアイデアを広く集って、自社ビジネスに取り込むという発想です。また、情報の最新性ではインターネットが一番でしょう。ドッグイヤーの社会において、新聞や書籍などの紙媒体では情報が遅すぎる場合もあります。
セキュリティ上のリスクがあるからといって、「インターネット鎖国」をしてしまうと、インターネットの果実も享受できないという側面があります。それに、「インターネット鎖国」をしたからと言って、セキュリティ対策が万全とも言い切れないのが今のご時世です。インターネットのメリットとデメリットを天秤にかけた上で、自社にとっての「落としどころ」を探っていくことが重要です。
これらの事情を鑑みて、情報セキュリティ対策を検討する場合、「樽モデル」を理解することが重要です。
「樽モデル」とは、情報セキュリティを樽に見立てた場合、「樽の板が一番欠けている箇所から水が漏れていく」ことを指します。つまり、「他の箇所のセキュリティがどれほど高かろうと、セキュリティが一番脆弱な箇所がボトルネックとなる」ことを意味します。
セキュリティ対策としては、技術論が先行しがちですが、他にも次のようなことを検討する必要がありますので、例として参考にして下さい。
【ルール、マインド】
- 社員教育 (セキュリティ意識の向上、セキュリティ事件の事例研究)
- 社内ルールの策定 (情報セキュリティポリシーや緊急時対応計画)
- 社内体制の構築 (情報セキュリティ責任者の任命、指...
揮命令系統の確立)
アクセス権限の策定 (必要最低限の権限を必要最低限の人員にのみ与える)
【分析】
- セキュリティリスク分析 (最初に穴を塞ぐべき箇所を特定する)
- 業務フローの現状分析 (セキュリティ対策が、現状の業務に影響するのを最小化する)
- 自社データの価値の分析 (機密性や重要性の高いデータを特定する)
- コスト・パフォーマンス分析 (限られた予算と人員の下で、最大限の対策を行う)
【実運用】
- PDCAサイクル (脅威も進化するので改善の継続が必須。運用の実現可能性を担保する)