利用しやすさとセキュリティーの狭間で苦難する現場

「利用しやすさとセキュリティーの狭間で苦難する現場」の有益情報をお届け!

「改正特定電子メール法」対策セミナー音声ファイル特典付レビュー

特定電子メール法が改正されてメルマガ発行にも影響が出てきます。あなたのメルマガは対策済ですか?

改正電子メール法対策

目次

改正された特定電子メール法に対してどうしたらよいか?

「改正特定電子メール法」メールセミナー

「改正特定電子メール法」対策セミナー音声ファイルを実践するのに費用はかかるのか?

「改正特定電子メール法」対策セミナー音声ファイルは時間がない人にも出来るのか?簡単なのか?

「改正特定電子メール法」対策セミナー音声ファイルはモラル的にどうなのか?違法性や規約違反、良心に反することはないのか?

「改正特定電子メール法」対策セミナー音声ファイルにデメリットはあるのか?

「改正特定電子メール法」対策セミナー音声ファイルは類似商材と比べてどちらが良いのか?

「改正特定電子メール法」対策セミナー音声ファイルで対策をしないとどうなる?

特典プレゼント

「改正特定電子メール法」対策セミナー音声ファイルについての質問受付

特定電子メール法が改正されたあとのメルマガアフィリエイトは?



利用しやすさとセキュリティーの狭間で苦難する現場

保護法施行から4年半、情報漏えい対策は進んでいるのか

 ここ数年の間、多くの企業は“情報漏えい”にかなりセンシティブになっている。その背景には、最近でもアリコ、三菱UFJ証券等、毎週のように大企業における情報漏えい事件が起きてメディアを騒がし、他人事ではなくなってきたことも、経営者の危機感をあおる要因となっているだろう。

 日本ネットワークセキュリティ協会(JNSA)が2009年11月に発表した調査結果によると、情報漏えい事故の原因は「誤操作」が35.2%で1番多い。続いて「管理ミス」が22.2%、「紛失・置き忘れ」が14.1%、「盗難」が11.2%、「不正な情報持ち出し」が5.8%だ。最大の原因である誤操作の内訳を見ると、「紙媒体の誤操作」「電子メールの誤送信」「FAXによる誤送信」の順で多く、現場の“ドキュメントの取り扱いミス”による漏えい事故が多いことが分かる。

 このようなミスを防ぐ為に、多様な現場教育が行なわれているが、教育だけでなくツールを導入して、ミスを未然に防ぐための“予防的な対策”が数多く行なわれている。

 一方、予防的な情報漏えい対策を実施することで、業務効率や生産性の低下を懸念する企業も多い。「折角、ITによって生産性が上がり、ドキュメントや情報伝達の高速化が図れたにもかかわらず、その利点を低下させてはIT導入の意味が無い」と言う声も有る。このような理由から、「あえて、予防的対策を取ら無い企業」「情報漏えい対策製品を導入したものの、現場で普及し無い」といったケースも出てきて居る。

 つまり、セキュリティと業務の効率性を、自社の状況に見合ったバランスにすることが非常に重要なのだ。その為には、自社のリスクを分析して、其れに見合ったセキュリティポリシーを策定し、必要に応じてそのポリシーを実施するための対策を行う、といった施策が必要だ。本特集では、「現場業務の効率と情報漏えい対策のバランスを、どう取っていくか?」についてかんがえていく。


予防と事後の対策が大切なポイントに

 情報漏えい対策をかんがえる際に基本となるアプローチが大きく分けて2つある。「予防的統制」と「発見的統制」だ。予防的統制とは、「そもそも、情報漏えいを発生させ無い」ために予防的な対策をおこなう統制方法。発見的統制は、「万が一、情報漏えい事件が発生してしまった際に、どのように対応するか」という事後対応に重きを置いた統制方法だ。

 一般的に、予防的統制は各PCの管理・監視ソリューション、入退室管理ソリューション、外部ドライブ管理ツール、ドキュメント管理ツール等、数多くのソリューションが各ベンダより提供されている。発見的統制では、万が一不正や情報漏えいが発生した際に、事後に「誰がいつ何処で漏えいさせたのか」を調査する必要があるため、主にログ管理ツールがその役割を担う。

 予防的統制には「統制=コントロール」や「抑止力」として効果があり、発見的統制には「証拠」としての役割が期待されている。

 例えば、予防的統制としてクライアントPCに管理・監視ソフトを導入すれば、社員がWinny等のリスクの高いソフトウェアを勝手にインストールして情報漏えい事故やウイルス感染するリスクを回避できる。又、発見的統制として、ログをきちんと管理していれば、もし不正な情報漏えいが起きた場合でも、事後にログをトレースすることで被疑者の特定が可能に成る。これは、「会社ぐるみでは無い」「身の潔白」を証明するためにたいせつだ。

 これらの点を踏まえ、情報漏えいを起こさ無いためには、予防的統制をしっかりと行なうのが理想だ。けど、“理想の予防的統制”を実現するためには、「あれもこれも対策をしなければ」となり、莫大な経費がかかる。

 企業経営者は、当然「100%情報漏えいが起き無い対策」を目指す。ですが、その為には多大な経費と労力が必要で有るため、投資対効果を考慮しなければなら無い。そして、予防的統制と発見的統制のバランスを取り、自社の現状に見合った情報漏えいポリシーを策定し、対策を実施する必要が有る。


まずはきちんとリスク分析をしよう

 前項で「自社の現状に見合った情報漏えいポリシーを策定する必要がある」と述べたが、ポリシーを策定する前にまず実施しなければなら無いのが、自社の現状を把握するための「リスク分析」だ。

 リスク分析とは、社内のあらゆる活動を洗い出し、そのリスク因子に対して発生確率や影響度合いなどを勘案し、リスクの大きさを算出することだ。ETA/FTA(催しツリー/フォールトツリー)、FMEA(Failure Mode and Effect Analysis)など、色々な分析方法が存在する。日本版SOX法に対応した上場企業であれば、その際に「リスク・コントロールマトリクス」を作成したはずなので、それを基に情報漏えいリスクを分析することも可能だろう。

 リスク分析を行う際の手順は、まず第1に「リスク因子の存在を確認し、特定する」、そして2番目に「そのリスク因子がどの程度の頻度で発生するかを分析する」、そして、最後に「そのリスク因子でどの程度の損失が発生するのかを分析する」と言う3段階で実施するのが一般的だ。

 例えば、「営業部員がノートPCを持ち出している場合」であれば、「ノートPCを紛失する」「電車内等で、PCを利用している際にデータをのぞき見される」「得意先に社外秘のデータを見せてしまう」「外出中にウイルスに感染して社内に持ち込む」等等、さまざまなリスクが想定される。そのリスク1つ1つに対して、上記の3項目を順番にチェックし、リスク分析を行うことが重要だ。

 そして、リスク分析を行った結果、そのリスクに応じた対策を検討するべきで有る。

この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/134082954

この記事へのトラックバック
question.jpg
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。