Tweet
- 岡本 興一
- ウィジット株式会社 代表取締役
- ITコンサルタント
"情報資産の機密性、完全性及び可用性を維持すること"
誤解を恐れずに、単純化して説明すると、必要な人にだけ必要な情報が、毀損、漏洩、改変されることなく、必要な情報を得ることができる様にすることです。
さらに言い換えると、以下の様になります。
・どの情報に誰がアクセスできるかを明確にすること
・情報を漏洩させないこと
・情報が壊れない様に保全すること
・利便性が維持できること
厳しくすればよいというものではありません。
実用面で、十分に使えるものでなくてはならないのです。
さらに、これらをきちんと行うためには、以下の様な活動が必要です
・自社で保有している情報とはどんなものがあるのか整理する
・そうした保有情報がどの様な形で保管、利用されているかを明確にする
・情報を必要としている組織、人物を明確にする
・情報の流れを明確にする
・それらの脆弱性を判定する
・情報の重要度を明確にする(漏洩、毀損時の被害、事故発生確率、伝播性等)
こうした活動を差し、リスクアセスメントと呼んだりします。
このリスクアセスメントを行わなければ、守るべき情報資産が何か?が不明確で、何から守るべきか?もわかりません。
さらに、どの程度のコストをかけて守るべきか、どのレベルまで防御しなくてはならないのか?が決まらないのです。
結局、会社内の業務を明確にして、情報の流れを明確にするところがスタートとなります。
さらに、各種施策の実施については、経営者の判断が必須です。
費用対効果、価値に対する判断は現場ではできません。
すなわち、会社全体を見渡した上でセキュリティ対策に取り組まねば、安全とは言えず、経営者の視点が不可欠なのです。
ネットとセキュリティ〜ウィジット株式会社
岡本興一
