Tweet
- 人見 隆之
- ISOマネジメント研究所 所長
- ISOコンサルタント
注目の専門家コラムランキング
対象:ISO・規格認証
- 人見 隆之
- (ISOコンサルタント)
- 人見 隆之
- (ISOコンサルタント)
「うちの会社の情報セキュリティは完璧だ、
生体認証もやっているし、情報漏えいは起こり得ないんだ」
このように、情報セキュリティというと、情報を漏らさないための
対策をいかにやるか、という話がよくあがりますが、
情報セキュリティには、3つの要素というものがあります。
1.機密性(大事な情報を漏らさないこと)
2.完全性(大事な情報の正確性を保つこと)
3.可用性(大事な情報を確実に使えること)
情報セキュリティは、「機密性」だけでなく、「完全性」「可用性」も
あわせた、3つの要素を考慮することが肝心です。
そういえば、先月、国土交通省が、北朝鮮のミサイル発射誤報問題で職員を
処分した、というようなことがありましたが、これも「完全性」という
情報セキュリティの問題です。
信用されるべき機関が、大事な情報を間違った事実として流すというのは、
大きな失態です。
また、この問題の原因は、担当者のうっかりミスとしていますが、
情報セキュリティは、単に悪意を持ったような意図的な攻撃のことを考える
だけでなく、ついうっかりとしたミスのような意図しないものも、
セキュリティの脅威として、考慮していくことが必要です。
つまり、
「情報セキュリティは、業務改善とも大いに関係してくる事項だ」
ともいえます。
そして、情報セキュリティの「可用性」ということについては、
よくこんな誤解があります。
「情報システムは動いて当たり前」という誤解です。
ユーザーは、単に使うだけで、その運用を意識することは
ほとんどありませんが、システムの運用側にとっては、システムを
確実に動かすことは、いかに大変か、ということです。
ある金融機関では、ほぼ毎日、システム障害がある、なんてところも
あります。
情報システムが当たり前のように動いて見えるのは、システム担当者の
必死のサポートがあってのことだということを理解しなければなりません。
もう一度繰り返しますが、
情報セキュリティは、「機密性」ばかりでなく、
「完全性」や「可用性」も考慮して対策を行うことが大事となります。
ISOマネジメント研究所
このコラムに類似したコラム
審査員は、自分の知っていることに関して、コメントしたくなる 人見 隆之 - ISOコンサルタント(2011/10/04 15:18)
ISO50001、正式発行 人見 隆之 - ISOコンサルタント(2011/06/29 16:03)
ISO27001における、情報セキュリティリスクの想定 人見 隆之 - ISOコンサルタント(2011/04/02 10:08)
ISO27001は情報セキュリティ対策のツール 人見 隆之 - ISOコンサルタント(2010/12/01 11:08)
審査員のご機嫌を取るISOはやめなければいけない 人見 隆之 - ISOコンサルタント(2013/06/30 21:06)
