community コミュニティはこちら

Q&Aサービスは終了いたしました。過去のQ&Aの閲覧のみ可能となっております。
新規に質問をする場合は上記「コミュニティ」より投稿してみましょう。


QUESTION 質問No.171

情報セキュリテイ管理

全体/その他情報マネジメント |投稿日時:
当社は、小型家電製品のOEM工場です。ネット情報との向き合い方ですが、当社は、技術者に日常業務での情報収集に原則的にネット検索を禁止してきました。山のようにあふれる情報氾濫の時代だからこそ、情報を正しくくみ取る眼と姿勢を、現場・現物から養ってもらうための技術者教育として実行してきました。現実は、情報セキュリテイ管理を優先させた面もあります。しかし、ここ数年、情報セキュリテイ管理優先に対して、社内の反発が大きく、社内教育を行って、ネット利用を解禁することにしました。専門家の皆様への質問ですが、技術経営の一貫としての情報セキュリテイ管理教育はどのように進めていけば良いでしょうか、この方面での社内セミナー、社内研修などは可能でしょうか。ご回答をお願いします。
投稿者:眞島
spacer
ANSWER
回答No1 | 投稿日時:

企業内の情報セキュリティについては、従業員教育もさることながら、情報取り扱い規定や情報システムの堅牢化、サイバー攻撃を受けたときの組織的な対応方法など、企業全体として方針(ポリシー)とルール・体制・情報システムを整える必要があります。その上で、そのポリシーに沿って、各従業員が守らなければならないルールを伝え、順守を求めることが重要です。

また、従業員のPCがインターネットと接続され、外部とメールの送受信が可能ならば、ネット検索だけを禁止してもサイバー攻撃を防ぐことはできません。近年、特に増加している標的型攻撃は、取引先を装ったメールにウイルスを仕込んだファイルを添付してターゲット先の企業に送り、受信者がそのファイルを開くと受信者のPCがウイルスに感染するというものです。ひとつのPCがそのウイルスに感染すると、外部から企業内ネットワークへのアクセスが可能になり、企業内の機密情報を奪うことが可能になります。情報処理推進機構が毎年発表している「情報セキュリティ10大脅威」の2016年版では、この「標的型攻撃による情報流出」が1位になりました。

このように、日々進化し、多様化しているサーバー攻撃に的確に対処し、情報セキュリティを確保するには、従業員個人に努力を求めるだけでなく、企業全体で組織的に取り組む必要があります。

私どもでもポリシーの策定や社内教育のご支援をさせていただいておりますので、ご要望があればご相談いただければと存じます。
谷萩 祐之(やはぎ ひろゆき) / 谷萩ビジネスコンサルティング
spacer
グローバルビジネスの経営戦略策定から現場に密着した業務プロセス改革まで、多様なニーズにお応えするコンサルティング・サービスとセミナーをご提供致します!

この回答の評価:
早速のご回答、ありがとうございます。

ANSWER
回答No2 | 投稿日時:

こんにちは。技術士(情報工学部門)の坂東です。
現在は、個人事業主(技術士事務所)をしておりますが、前職ではサラリーマンとして、情報セキュリティ対策を支援する業務の経験があります。

さて、他の専門家の方も言っていますが、情報セキュリティの脅威は「インターネット検索」だけではありません。
標的型攻撃(APT: Advanced Persistent Threat)と呼ばれる、偽メールで特定ターゲットを狙い撃ちする攻撃など、悪意の第三者による脅威が悪質化、巧妙化、深刻化してきています。
端的に言うと、脅威がやってくる入り口が増えてきています。そして、脅威へと開かれた出口も増えてきています。

しかし、インターネットは上記のような脅威もありますが、メリットも相応に大きいです。
「集合知 (Collective Knowledge)」という考え方がありますが、インターネットには世界各国の人間からの情報が集まり、情報同士が融合して化学反応を起こしています。異質の情報の出会いが新たな情報を生み出している状況です。
最近よく聞く「オープン・イノベーション」という話も、他社や他人のアイデアを広く集って、自社ビジネスに取り込むという発想です。
また、情報の最新性ではインターネットが一番でしょう。ドッグイヤーの社会において、新聞や書籍などの紙媒体では情報が遅すぎる場合もあります。

セキュリティ上のリスクがあるからといって、「インターネット鎖国」をしてしまうと、インターネットの果実も享受できないという側面があります。それに、「インターネット鎖国」をしたからと言って、セキュリティ対策が万全とも言い切れないのが今のご時世です。
インターネットのメリットとデメリットを天秤にかけた上で、自社にとっての「落としどころ」を探っていくことが重要です。

上記の事情を鑑みて、情報セキュリティ対策を検討する場合、「樽モデル」を理解することが重要です。
「樽モデル」とは、情報セキュリティを樽に見立てた場合、「樽の板が一番欠けている箇所から水が漏れていく」ことを指します。
つまり、「他の箇所のセキュリティがどれほど高かろうと、セキュリティが一番脆弱な箇所がボトルネックとなる」ことを意味します。

セキュリティ対策というと、技術論が先行しがちですが、他にも下記のようなことを検討する必要があります。
(あくまでも一例です。下記で全て網羅している訳ではありません。)

【ルール、マインド】
● 社員教育 (セキュリティ意識の向上、セキュリティ事件の事例研究)
● 社内ルールの策定 (情報セキュリティポリシーや緊急時対応計画)
● 社内体制の構築 (情報セキュリティ責任者の任命、指揮命令系統の確立)
● アクセス権限の策定 (必要最低限の権限を必要最低限の人員にのみ与える)

【分析】
● セキュリティリスク分析 (最初に穴を塞ぐべき箇所を特定する)
● 業務フローの現状分析 (セキュリティ対策が、現状の業務に影響するのを最小化する)
● 自社データの価値の分析 (機密性や重要性の高いデータを特定する)
● コスト・パフォーマンス分析 (限られた予算と人員の下で、最大限の対策を行う)

【実運用】
● PDCAサイクル (脅威も進化するので改善の継続が必須。運用の実現可能性を担保する)

当方も技術系セミナーの講師の実績があります。社内セミナーや社内研修に関しては応相談です。よろしくお願い致します。
坂東 大輔
坂東 大輔 (ばんどう だいすけ) / 専門家B / 株式会社エンジニアリングサムライ
spacer
技術士(情報工学部門)と通訳案内士(英語)の二刀流のEngineering SAMURAIが貴社のお悩みを一刀両断致します。

この回答の評価:
坂東様は情報工学部門の技術士の方ですね、樽モデルのこと、よく分かりました。回答、ありがとうございます。