————————————————————
■□■ 平林良人の『つなげるツボ』Vol.274 ■□■
― つなげるツボ動画版はじめました ―
*** 内部診断と内部監査17 ***
————————————————————
前号Vol.273は「閑話休題」と称して発信しましたが、表題を
「ちょっと横道に」と訂正させていただきます。「閑話休題」を
反対の意味に取り違えていたことをお詫びいたします。
前々回Vol.272に引き続き情報キュリティプロセスの内部診断に
ついてお話しをしたいと思います。
■□■ 情報セキュリティ対策 ■□■
情報通信技術の進歩は速く、企業・組織の情報資産を脅かす
新しい脅威が次々に登場しています。情報管理責任者は、これら
の脅威について情報を収集し、必要に応じて経営者に報告し
継続的に組織全体の情報セキュリティ体制を見直していく必要が
あります。また、情報システムの管理・運用や、社員に対する
教育・監督を適切に行う必要があります。
前回組織全体の情報セキュリティ診断項目の例を挙げましたが、
もう一歩踏み込んだ診断項目を考えたいと思います。
■□■ 情報管理責任者の内部診断 ■□■
組織の情報管理責任者は、日常から情報セキュリティ対策を
行っていると思いますが、この対策がそのまま内部診断項目の
例になります。 ここにその例を挙げますが、前回の診断項目と
一部重複します。
診断項目の例は、技術的診断項目と管理的診断項目に分かれます。
<技術的診断項目>
・ソフトウェアの更新
・ウイルス対策
・ネットワークの防御
・不正アクセスによる被害と対策
・外出先で業務用端末を利用する場合の対策
・標的型攻撃への対策
・安全な無線LAN利用の管理
・ユーザ権限とユーザ認証の管理
・バックアップの推奨
・ログの適切な取得と保管
・サポート期間が終了するソフトウェア
<管理的診断項目>
・クラウドサービスを利用する際の情報セキュリティ対策
・SNSを利用する際の情報セキュリティ対策
・社員の不正による被害と対策
・廃棄するパソコンやメディアからの情報漏洩
・持ち運び可能な記憶媒体や機器を利用する上での危険性
と対策
・サーバの設置と管理
・機器障害への対策
■□■ クラウドサービスの情報セキュリティ ■□■
最近は、企業が情報資産を管理する手段としてクラウドサービス
が急速に普及しています。また、個人が利用するインターネット
上のさまざまなサービスが、意識するかどうかにかかわらず、
クラウドサービス上で稼働するようになっています。
クラウドサービスを利用する場合には、データがクラウドサー
ビス事業者側のサーバに保管されていて自分たちの手元にない
ことを理解しておかなければなりません。
インターネットを介してデータなどがやりとりされることから、
十分な情報セキュリティ対策が施されていることが極めて重要です。
専門的なことなのでエキスパートに任せがちになりますが
診断においては、まずはクラウドサービスの情報セキュリティを
確認することをお奨めします。
クラウドサービスを利用することで情報セキュリティの管理から
解き放されたと思いがちです。クラウドサービスの契約をよく
理解すること、そして自社の責任範囲などは確認する必要がある
と思います。
■□■ インターネットの情報セキュリティ ■□■
現在、利用者側が最低限の環境であるPC、携帯情報端末、
インターネット接続環境などを用意すればどの端末からでも、
さまざまなサービスをインターネットで利用することができます。
しかし、インターネットの利用はいろいろな脅威を伴います。
インターネットを通じて、ウイルスに感染してサーバやシステムが
停止したり、ホームページが改ざんされたり、重要情報が盗みとら
れたりします。顧客情報などが漏洩(ろうえい)してしまった場合は、
その企業や組織の信用が大きく傷つけられてしまうのは言うまでも
ないことですが、過去には損害賠償にまで発展した事例もあります。