リスク管理-情報資産を守る

    業務効率を向上させるために業務をシステム化する企業様も多いことと思います。

    システム化することで、人材リスクの軽減や業務上のミスを減らしたり効率化したりする効果が見込まれます。

    一方で新たなリスクが生まれることも事実です。

    そのリスクと対策法を簡単に紹介いたします。

    新たなリスクとは

    まず情報セキュリティは以下の3要素を維持することと定義されています。この3要素である「機密性(アクセス権限を持った者だけが当該情報にアクセスできること)」「完全性(情報資産の正確さを維持し、改ざんさせないこと)」「可用性(必要な時に情報資産にいつでもアクセスできること)」を覚えていてください。

    その上で「人的リスク」「技術的リスク」「物理的リスク」の観点で見ていきましょう。

    人的リスク

    人的リスクとは文字通り人に関わるリスクです。

    人とは従業員や不正を働く第三者などで、故意に不正を働く場合もありますし、単純ミスの場合もあります。

    故意の不正とは、従業員であれば情報資産を盗んだり、不正なことに利用したりします。

    第三者は情報資産やパスワードを盗み見したり、ゴミなどから情報資産を探す、電話などで情報資産を不正入手したりします。

    単純ミスの場合は、例えば企業貸与のPCや携帯電話を紛失したり、情報資産のデータを誤った方法で操作し、意図せず改ざんしたり情報を破棄してしまったりすることです。

    紙面だけの業務であれば、例えば大量の情報(大量の紙面資料)を持ち出すことは困難だということを考えると、情報資産をデータ化することにより人的リスクは高まることがわかります。

    そしてこのように人による情報漏洩が発生すると「機密性」「完全性」「可用性」すべてに影響が及びます。

    技術的リスク

    技術的リスクとは例えばコンピュータウィルスに感染し情報が漏洩する、何かしらのシステム障害で必要な時に必要な情報にアクセスできなくなる等のリスクです。

    コンピュータウィルスなどに感染すれば、情報セキュリティの定義とされている「機密性」「完全性」「可用性」すべてに影響を及ぼします。

    またシステムを動かすプログラムにバグなどがあればシステムが停止するなどし、情報資産を失いかねないこともあります。

    この技術的リスクは紙面だけの業務ではほぼ皆無だったリスクが、情報をデータ化することにより出現するリスクと言えます。

    物理的リスク

    物理的リスクとはPCや携帯、サーバーやオフィスなど情報を管理する物理的な部分でのリスクです。

    物理的リスクにも不正行為(破壊、窃盗、不正侵入など)と事故や災害、故障などがあります。

    例えばPCや携帯などが盗まれ、中身が閲覧されてしまうと情報漏洩が発生します。

    災害や故障などでサーバーやオフィスにアクセスできなくなると情報資産を失ってしまう可能性もあります。

    PCやサーバーが使えなくなると業務自体が遂行できなくなるリスクも伴います。

    物理的リスクに関しては、紙面だけの業務よりも、情報資産を保管する場所や物(デバイス)が増えるという意味でリスクが高まります。

    リスク管理(対策法)

    最重要リスクは、情報資産の紛失または漏洩ということになるかと思います。

    情報資産を適宜管理できない企業には風評というリスクも高まりますので、対策は超重要事項と言えるでしょう。

    では、上記の新たに生まれるまたは高まるリスクに対して、企業としてはどのように対策を講じると良いのでしょうか。

    対策方法は多岐にわたりますが、簡単に説明していきます。

    人的セキュリティ対策

    人的セキュリティ対策には主に管理的対策と技術的対策の2つのアプローチがあります。

    管理的対策(組織的管理と従業員への研修等)

    組織としてまず、情報セキュリティ対策の方針を決め、規程やルール化し、書面化、社内共有、周知徹底を行うなど、管理体制を整えます。

    そして従業員一人一人に情報セキュリティに関する研修を行ったり、パスワードの定期的更新を促したり、クリックテストのようなサイバー攻撃を意識させるようなテストを行ったりします。

    従業員の採用の際に過去の犯罪歴や生活状況(個人的な金銭問題等)を把握したり、定期的に面談を行い会社への不満などから不正を行う可能性がないかモニタリングすることも、従業員の不正行為に対して効果的と考えます。

    技術的対策(技術面や物理的な対策)

    技術面では例えばパスワードの必要要件を複雑化する、会社PCから個人のUSBなどに情報をコピーできない仕組みを構築する、社内送信の添付付きメールのダブルチェック体制を整える、情報資産へのアクセス権限を適切に設定するなどがあげられます。

    またアクセスログのモニタリングやアクセス権限の見直しも定期的に行ったり、退職者のID、パスワードなどを速やかに削除する体制を整えておくことも重要です。

    また物理的な対策としては、PCを離れる際にはかならずPCをロックする、のぞき見防止フィルターを張り、のぞき見を防止する、プライベートで外出する際には極力会社PCを持って行かない、また紛失した場合には速やかに連絡し、PCをロックさせる体制を構築し、関係者に周知徹底するなどが考えられます。

    技術的セキュリティ対策

    技術的セキュリティ対策として、まず、サーバーやPC、社内ネットワークの脆弱性(脅威に弱い弱点)を無くす又は少なくするために、ソフトウェアのセキュリティパッチをタイムリーに行う、ウイルス対策ソフトを導入するなどがあげられます。

    この他、出口対策や不正アクセス対策、電子メール送受信に関わる対策、ウェブ閲覧やスマートフォン、クラウドサービス、アプリケーションなどに対する技術的対策があります。専門的な対策となりますので、ここでは割愛いたしますが、専門サービスによるモニタリングを依頼したり、「Norton」のようなセキュリティソフトを利用することも対策につながります。(以下サイトはアフィリエイトプログラムです。)

    物理的セキュリティ対策

    物理的セキュリティ対策としては、定期的な情報資産のバックアップ、実際のオフィスやサーバーへのアクセスを限定する(例えば執務室へのICカードを用いた入室など)や情報機器を故障させない環境整備など対策などがあげられます。

    人的セキュリティ対策にも用いたPCを離れる際にはかならずPCをロックしたりのぞき見防止フィルターを貼る、プライベートで外出する際には極力会社PCを持って行かない、また紛失した場合には速やかに連絡し、PCをロックさせる体制を構築し、関係者に周知徹底するということも物理的セキュリティ対策になります。

    また日頃から情報機器を保護するという観点で社内環境の適切化や地震や風水害に強い立地や建物かなどの点検、自然災害から機器を守るための対策、例えばサーバラックの固定化や情報資産のバックアップを遠隔地やに設けたりクラウドサービス(以下サイトのようなサービス(以下サイトはアフィリエイトプログラムです。))を利用することがあげられます。

    情報資産を守ろう!

    昨今のサイバー脅威などを考えると情報資産を保護するのが一層難しくなってきています。

    また地震や風水害のような自然災害も日本全国で起きていますし、これから発生するだろうとされている大規模なものもあります。

    その中で情報資産は企業にとって重要な資産ですので、どうやって守っていくか検討していかなければなりません。

    そのためにはまず何がリスクなのかを把握したうえで、日々セキュリティ対策についての情報を収集しながら、上記のような「人的」「技術的」「物理的」セキュリティ対策をできるところから進めていただきたいと思います。

    そしてこのような対策の検討は複数部門で定期的に協議すると潜在リスクの洗い出しにもなりますので、さらに効果的に進めることができるでしょう。