Comments
Description
Transcript
『企業価値を高める情報セキュリティ戦略』
情報セキュリティ啓発普及セミナー 『企業価値を高める情報セキュリティ戦略』 ( 抄 録 ) ・日 時:平成 16 年 3 月 24 日(水) ・会 場:相鉄岩崎学園ビル ・講 師:内田 勝也 氏(情報セキュリティ大学院大学助教授・中央大学研究開発機構助教授) 809 室 14:00∼17:00 (横浜市神奈川区鶴屋町 2-17) 目次 1.情報セキュリティの考え方 1 2.企業・組織における情報セキュリティの課題 1 3.企業・組織における情報セキュリティ対策 2 4.まとめ 3 1.情報セキュリティの考え方 ・企業の中で信頼される人物が犯罪を行う可能性も過去の例からみれば多々あることを知っておく 必要がある。いわゆる、情報セキュリティを性善説・性悪説で考えるべきではない。性弱説(人 間には弱さがどこかにある)の考えを取り入れる必要がある。 ・情報システム環境の変化に、管理方法や管理体制も同時に変化しているだろうか。 2.企業・組織における情報セキュリティの課題 ・管理方法や管理体制が環境の変化に対応していない。 ・情報セキュリティの専門家の不足や情報セキュリティを担当している従業員の知識・技術が必ず しも高くない。 ・物理的対策は情報セキュリティでは最も重要であるが、最も軽視されている。 ・リスクへの未対応(先送り主義) 。 ・トップ、経営層の無関心や無理解。 ・内部牽制の欠如。 ■情報セキュリティの事件・事故から学ぶ ネットワークセキュリティ事件・事故の発生原因の 97、98%は外部の問題ではなく、既知の脆 弱性や設定ミスが原因で情報を守る側に問題があると米国国防総省の調査がある。 ■情報資産とは? 企業にとって情報は重要な経営資源であり、情報資産として挙げられるものは顧客情報・製品 情報・販売情報などの「情報」、コンピュータのハードウェア・ソフトウェア・ネットワークな どの「情報システム構成要素」 、ノウハウ(人間の記憶)などの「人間」と考えている。 また、情報セキュリティで守るべきものとしては、建物・電源などの「関連設備」、コンピュ ータ機器などの「ハードウェア」、基本ソフト・アプリケーションソフトなどの「ソフトウェア」、 IT 情報・印刷物などの「情報」 、関連要因としての「人」と考えている。 -1- 3.企業・組織における情報セキュリティ対策 ・情報セキュリティの概念として、機密性(Confidentiality)・完全性(Integrity)・可用性 (Availability)のいわゆる CIA の考え方に、説明責任(Accountability)もしくは可監査性 (Auditability)の考え方を取り入れることが必要だと考えている。 ・技術、管理・運用、法制度が三位一体となって情報セキュリティを構成していく。 ■セキュリティ技術対策 自社のネットワークシステムなどの全体像を捉え、どこに脆弱性がありどこに情報セキュリテ ィ対策を施すべきか検討する。その際に専門家の必要性についても検討するとよい。また、セキ ュリティ製品の一覧表などを作成し、どのようなセキュリティ製品が存在するのかしっかりとキ ャッチアップしておく必要があると考えている。 ■セキュリティ管理対策 情報セキュリティ管理システムは「情報資産を守るための管理体制を構築すること」と「情報 セキュリティ管理体制を整えているかを第三者による審査を行い、認証する仕組み」の 2 つがあ るが、後者をやるかどうかは自社の環境を考えて行う必要がある。 情報セキュリティ管理システムの基本的な考え方として、機密性・完全性・可用性をバランスよ く維持改善することであるが、説明責任あるいは可監査性についても取り入れる必要があると考 えている。 <セキュリティポリシー> セキュリティに対する基本的な考え方や、技術面、設備面、運用管理面などの具体的な対策 を明文化したもの。また、セキュリティポリシーの上位には企業理念があると考えている。 <情報セキュリティ管理体制> リスク管理・評価をしっかりと実施し、リスクはゼロにならないことを念頭に置き、リスク 対応の様々な戦略を立案していく必要がある。 ■個人情報保護を考える 最近の情報漏えい事件では、業務委託(内部での権限委譲、外部への委託がある)の重要性で ある。処理は委託できても、責任は委託・委譲できないことを考えておくことが大切である。ま た、漏えいは様々な場面で起こりうることを考えておく必要がある。例えば、廃棄パソコン以外 にもパソコンの盗難による漏えいも十分考えられる。 -2- 4.まとめ ・情報は誰のものかしっかりと理解しておく必要がある。 ・情報の価値は人の考え方で差異がある。 ・100%完璧なシステムは存在しない。完全でないことを前提に仕組み(システム)を考える必要 がある。 ・リスクの先送りはやめ、どのようにリスクに対応していくかを検討する必要がある。 ・業務委託はできても責任の委譲はできない。 ・情報セキュリティを確保するためには機密性・完全性・可用性に「説明責任」もしくは「可監査 性」を加えて考える必要がある。 ■攻めの情報セキュリティ対策を 不正アクセスなどの攻撃に対してどのように対処するのかという守りの情報セキュリティか ら、事件・事故が発生しない仕組みをつくり、お客様や従業員の信頼を得ることができる攻めの 情報セキュリティという考え方が重要である。 ■経営問題としての情報セキュリティ これから先、インターネット利用者のセキュリティに対する意識が高まれば高まるほど、利用 者は信頼のおける良いサービスを利用するようになる。したがって、企業は利用者から信頼が得 られる仕組みを構築できなければ、退場するしかないかも知れない。 -3-