|
|||||||||
| HOME | OFFICE | X-FILE | LINK | MEMBER | TAXANSWER | ||||
| X-FILE > セキュリティ対策 > セキュリティ |
| 〔テーマ〕 |
セキュリティ |
| 〔リード〕 |
情報の電子化とネットワーク化が進むことにより、社内の情報資産や個人情報への脅威が身近になってきました。利便性の影に潜むリスクを正しく認識し、確実なセキュリティ対策を施すことが必要です。 |
| 〔質 問〕 |
パソコンも一人一台、インターネット、電子メールと我が社もIT化が随分進みましたよ。バックアップの重要性、ウイルス対策の必要性も判りました。これだけすればもう安心ですね? |
|
〔回 答〕
|
総務省が9月13日に公表した「情報セキュリティ対策の状況調査」(以下「調査報告」)によれば、大企業、中小企業ともにセキュリティ侵害事案の90%以上は「ウイルス・ワーム感染」による被害であった。ウイルス対策ソフトの導入率は大企業95%、中小企業77%と格差については縮小しつつあるが、中小企業の情報セキュリティ対策が遅れていることが明らかとなりました(注1)。 |
情報システムを取り巻く不正行為、個人情報の漏洩、自然災害、システム障害、故障等の脅威に対し、リスクを未然に防止し、また、発生したときの影響の最小化及び回復の迅速化を図るために情報セキュリティ対策を講じることが重要となってきています。しかしながら、外部・内部によるものや故意・過失によるもの等脅威の種類は多岐にわたり年々増加しています。 1.情報セキュリティ対策 広辞苑を1枚のCD-ROMに保存することが可能です。電子化された情報は、簡単にコピーすることができ、痕跡も残りません。持ち出すことも容易です。 8月の防衛庁の情報漏洩事件はまだ記憶に新しいところですが、大規模な情報システムを構築している組織だけが情報セキュリティを考えればよいということではありません。中小企業もネットワーク化の進展により便利になった反面、社内の重要な情報が危険にさらされやすくなりました(注2)。 「コンピュータ不正アクセス対策基準」はシステム管理者が実施すべき対策として下記の8項目を挙げています(注4)。 1)管理体制の整備(7項目) 2)システムユーザ管理(10項目) システムユーザをシステム管理者が管理する際に実施すべき対策についてまとめたもの。 3)情報管理(8項目) システム全体の情報をシステム管理者が管理する際実施すべき対策についてまとめたもの。 4)設備管理(18項目) ハードウエア、ソフトウエア、通信回線及び通信機器並びにそれらの複合体をシステム管理者が管理する際に実施すべき対策についてまとめたもの。 5)履歴管理(4項目) システムの動作履歴、使用記録等をシステム管理者が記録、分析及び保存する際に実施すべき対策についてまとめたもの。 6)事後対応(6項目) システム全体の異常及び不正アクセスをシステム管理者が発見した場合並びにシステムユーザからの発見の連絡を受けた場合の対応についてまとめたもの。 7)情報収集及び教育(4項目) セキュリティ対策に関する情報の収集及びその活用方法並びにシステムユーザへの教育についてまとめたもの。 8)監査(1項目) 不正アクセス対策を適切に実施するための監査についてまとめたもの。
2.セキュリティポリシーの策定 企業のセキュリティ対策の基本方針、対策基準や個別具体的な実施手順等の対策を明文化したものをセキュリティポリシーといいます。セキュリティポリシーを策定し公開することにより、社員のセキュリティに対する意識が向上すると伴に、組織として意思統一が図れ、適切な判断と対応が出来るようになります。 セキュリティポリシーの策定率は、大企業43%、中小企業13%と3倍以上の開きがあります。「報告書」によると、セキュリティポリシーを策定していない企業は、大企業、中小企業ともに、「策定する知識・ノウハウがない」ことが主な理由でした。また、3割以上に上る企業が情報セキュリティの重要性を認識していないようです。一方、企業規模に関わらず、近年、導入率の増加が著しい情報セキュリティ対策は、セキュリティポリシーの策定、不正侵入検知ツール(IDS)、VPNの3つとなっています。 セキュリティポリシー策定のためには、(1)組織・体制を確立し、その組織・体制の下で(2)基本方針の策定、(3)リスク分析及び(4)対策基準の策定を行い、(5)実施手順を策定することとなります。リスク分析の手順は次の通りとなります。
情報資産をすべて洗いだし「何を守るのか」、それに対し「どのようなリスクがあるのか」を分析することが重要となります。セキュリティの堅牢さと利用者の利便性は相反するものがありますが、必要なセキュリティを確保しながら、どこまで利便性を高められるかがポイントとなります。 セキュリティポリシーを策定する際、BS7799、ISO/IEC 17799などの国際的なスタンダードを参考資料としている大企業も多く見られます(注5)。
|
| (注) | ||||||||||||||||||||
| 1. | 総務省 調査報告「情報セキュリティ対策の状況調査結果―世界的に情報セキュリティ対策の関心が高まる中で―」(平成14年9月13日) 図表中の「MA」とあるのは、「Multi-Answer」の略称で、複数回答を指す。 8月5日から「住民基本台帳ネットワーク」(以下「住基ネット」)が本格稼働しましたが、個人情報の取り扱いと漏洩が危惧されています。「住基ネット」は、個人情報保護に関する国際基準(OECD8原則)を踏まえたうえで、制度(法令)、技術、運用の3つの側面から個人情報を保護する対策を講じているとされています。 「住民基本台帳ネットワークシステム全国センター」http://www.lasdec.nippon-net.ne.jp/rpo/juki-net_top.htm |
|||||||||||||||||||
| 2. | 【主なパーソナル・ファイアウォール ソフト】
|
|||||||||||||||||||
| 3. |
【セキュリティに関する情報サイト】
|
|||||||||||||||||||
| 4. | 「コンピュータ不正アクセス対策基準」(平成 8年8月8日付 通商産業省告示第 362 号) | |||||||||||||||||||
| 5. |
「情報セキュリティポリシーに関するガイドライン」平成12年7月18日 情報セキュリティ対策推進会議決定
出所:総務省 調査報告(平成14年9月13日)58頁 |
|||||||||||||||||||
【国際的なガイドライン】
|
||||||||||||||||||||
【情報セキュリティ関連の法律、ガイドライン等】
|
||||||||||||||||||||
(用語解説)
(参考資料) |
||||||||||||||||||||
