中小企業診断士の長谷川進です。おはようございます。
今日は情報セキュリティについてのお話です。

厚生労働省や国土交通省の公式サイトのハッカー攻撃を長期間放置していたことが明るみになり、大きな問題となっています。
http://www.yomiuri.co.jp/national/news/20090530-OYT1T00433.htm

攻撃内容は外部からの攻撃によるサイトの書き換えやウィルス検知とのこと。
攻撃を認識した時点で迅速な対応が求められるものであったにもかかわらず、そのまま長期間放置していたことが問題視されています。

個人情報保護法以降、情報セキュリティに対する意識は高まっていると思われがちですが、現場レベルでの意識改善の余地は大きいようです。

情報セキュリティ対策の大前提は「人間は弱い動物であるという性悪説」です。
その大前提に基づいて、ITをベースした情報セキュリティ対策を構築し、人間系の運用で補完していくことになります。
ですので、ITによる仕組みと人間系の運用が両輪となることが求められるわけです。

一部の大企業を除くと、経営資源の制約により、十分なセキュリティ対策が構築できないのが実情でしょう。
そのような場合であっても、自社の情報セキュリティリスク全般を把握した上で、リスクの大きさや発生頻度などを考慮しながら、対策の優先順位づけをしておくことをお勧めします。
「とりあえず情報セキュリティポリシーを策定しておこう」といった考え方は危険であると認識すべきです。

中小企業経営者としては、十分なセキュリティ対策がとれていない情報セキュリティリスクを認識しておきたいものです。

第2回儲かるためのITビジネス個別相談会のお知らせ

横浜で働く中小企業診断士長谷川進のブログ