情報セキュリティ対策は、技術的な対策だけではいけない

このコラムをなんらかのブラウザ（インターネットを閲覧するためのソフト）
を用いて、閲覧されていると思いますが、みなさんは、どんなブラウザを
利用されているでしょうか？

どんなブラウザといわれても、いろいろなブラウザがあることを
知らない方もいらっしゃるかもしれません。

ブラウザには、
「インターネットエクスプローラー（Internet Explorer）」をはじめ、
「Mozilla Firefox」、「Safari」、「Google Chrome」、「Opera」など
いろいろなものがあります。

これらの中で「インターネットエクスプローラー（Internet Explorer）」が、
一番なじみがあって、シェアが多いのですが、
実は、このインターネットエクスプローラー（※Internet Explorer）に、
セキュリティ上の問題があることがわかりました。

※Internet Explorer 6,7,8,9のバージョン

先日、独立行政法人情報処理推進機構（IPA）は、当該機構の
ホームページ上で、インターネットエクスプローラー（Internet Explorer）に、
外部から不正に遠隔操作される可能性があることを発表しました。

つまり、このインターネットエクスプローラー（Internet Explorer）
を利用していると、知らないうちに自分のコンピュータが
乗っ取られてしまう危険があるということです。

IPAは、この危険を回避するには、日本マイクロソフト社から
提供されている修正プログラムを適用する必要があることを、
利用者に注意喚起しています。


さて、情報セキュリティ対策というと、このように何か問題があって
はじめて対策を行ったりすることが多いではないか思います。

しかし、本来考えるべき情報セキュリティ対策は、
事前に対策を施しておくもので、リスクは、常に意識し、
一度対策を行ったらおしまいではなく、継続的に行っていくものです。

そして、情報セキュリティ対策は、技術的な対策だけではなく、
組織的な対策も必要であることを意識しなければならないものです。

なぜなら、どんな立派な技術的な対策を行っても、それを運用するのは、
人であり、組織であるからです。

社員の啓蒙や教育、整理・整頓などの活動をはじめ、
セキュリティ対策を検証する仕組みの構築といった人的・組織的対策は
どうしても必要となってきます。

ISOには、情報セキュリティマネジメントの規格である、
ISO27001という規格があります。

この規格は、技術的な対策を要求するだけではなく、
組織的な対策も含めることも要求しています。

ISO27001は、
情報セキュリティ対策を継続的に、かつ効果的に行っていくのに、
とても参考になるツールの一つだといえます。


ISOマネジメント研究所