2018.02.01重要なのは運用です!情報セキュリティ
著者 コムソルセキュリティ調査委員会
情報セキュリティポリシー
情報セキュリティポリシーの規格として、国内ではJIS Q15001があります。PマークやISMS、PSI-DSSなどセキュリティに関わる認証も色々とあります。
業務的に必ず取得しなければいけないものもありますが、やはり対外的に認証を取得していることは一定の信頼度へとつながります。ウェブサイトのSSLやTLSと同様ですね。
さて、企業としてまず行わなければいけないのがセキュリティポリシーの基本方針を定めることです。これをまだ策定していない企業さんはこちらをご参照ください。
http://www.jnsa.org/policy/policy092a.pdf
基本はこれを自社用にアレンジし運用することからスタートしてみてはいかがでしょうか。
基本はインシデントを起こさない、起きづらい体制を整える
これだけと言っても整備するにはかなりな時間と労力を要することだと思います。IT管理者が在籍する企業であったとしても、これらの項目全てに精通している人はそれほど多くないでしょう。基本はインシデントを起こさない、起きづらい体制を整える。インシデントが起きた際に、なるべく早く気づくことができる体制に、そして万が一のことがあってもその対策に慌てることが無いように、というのが基本です。自社の守るべきものが何であり、どこにあり、どのような体制になっているのかを把握、管理することが重要事項となります。
また、このセキュリティ管理は厳しくすればするほど業務効率とは反比例し、業務効率はどんどん悪くなることが多いです。ネット接続を遮断することが可能であれば、遮断するのが一番の対策です。ただ、現在の業務でメールなどの連絡手段やWeb サイトなどが閲覧できないことは非常にロスも増えることかと思います。最近はクラウドサーバー上で利用する会計システムなどもありますので、こういったシステムも利用できなくなります。
結果、業務に支障をきたすようでは本末転倒ですね。ネットは利用したいがインシデントは怖い、ということでバランスをもったセキュリティ運用が必要となります。
それに、無理な運用を強要すると必ず抜け道を作られることになります。重要機密データの持ち出しは禁止していたとしても、日曜日に自宅で作業するためにUSBで持ち出した、そこでなんらかのインシデントが発生した、というのはあまりにもよくあることです。本人は確かにセキュリティポリシーから逸脱していることは理解していても、『休みの日に、仕事するのだから』という大義名分のもとで、とくに罪悪感無く行ってしまいます。このような事態を引き起こさないような運用方法を考えないといけません。上記の場合であれば、サーバー上でなら作業可能としておくと、USBの紛失や盗難に合う心配はなくなります。自宅のPCがウイルスに感染していもデータが存在しないので、盗まれることは無いです(覗かれる可能性はありますが)ただし、サーバー上で作業ができる環境を整える必要もあるので、そう簡単では無いですが。
このように、セキュリティの対策と業務効率は決して相容れるものでは無いです。セキュリティポリシーなどを策定することはある意味簡単ですが、実際に策定後の運用が一番重要となります。立派なポリシーを掲げていたとしても、誰も守っていなければ意味をなしません。よくあるのが、Pマークなどの認証は取っているものの、運用は全くなされず、結局は審査のときのだけの一夜漬け・・・というパターンです。対外的に体裁だけで認証を取ると、必ずこのパターンに陥りがちです。やはり、本質を見据えて認証などは取得してほしいと思います。
運用は常に改善が重要
さて、この運用に関してはポリシーのように決めたら当面はそれで終わりというわけにはいきません。というのも、当初の想定よりも業務効率が落ちたなどということが非常に多く出てくると思います。また、効率が落ちるために、ポリシーを守らない場面が出てくるかもしれません。運用は常に改善が重要です。PDCAサイクルを回しながら、適正なところを見極めるとよく言われています。自社にあった適正な運用方法を是非生み出してほしいと思います。
PC利用のモラルアップや情報漏えい抑止、そして何よりも作業内容が一目瞭然で理解できる「Loooc」があればこの運用作業がとても楽になりますよ。
情報セキュリティ一覧へ戻るこちらよりお気軽にご相談ください。