セキュリティ対策のための経営陣のトップダウンアプローチ
- ツイート
-
- 2015/05/05
皆さん、こんにちは。今回はセキュリティにおけるトップダウンのアプローチについてお話させて頂きます。
IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。
目次
トップダウンアプローチの重要性
企業・組織においてセキュアなネットワーク環境を実装するためには、 情報セキュリティの担当者だけではなく、経営者が情報セキュリティの問題を重要な経営課題として認識し、 経営陣が陣頭指揮をとって組織を挙げて取り組むことが重要です。
経営者が積極的に関与することで初めて、組織の構成員全体にセキュリティに関する高い意識が生まれます。 そして、情報資産を共有する全構成員がセキュリティに対する意識を持たなければ、 ウイルスや情報漏洩から組織を守ることはできません。
セキュアなネットワークのために、経営陣は、責任を負い業務を推進するため、 トップダウン方式でセキュリティ管理を徹底していく必要があります。 経営陣は、以下のような項目をはじめとして、組織のあらゆる面で情報セキュリティ体制の構築を支援する必要があります。
技術の実装
適切なウィルス対策ソフトやOSの更新、暗号化、パスワードの導入など、 技術面においてのシステムの安全性の向上が必要です。
しかし、安全性の高いシステムの導入・構築には相応のコストがかかることから、 費用対効果に基づき、その企業にとって、費用面と安全面で最もバランスのとれた適切な技術を実装する必要があります。
社員への適切な教育
セキュリティ担当者は、導入されたセキュリティ技術を適切に扱う知識をもち、訓練されていなければなりません。
また、セキュリティ担当でなくとも、内部の従業員が内部情報を漏らさないなど、 情報セキュリティに関する意識を持ち、会社の方針やガイドラインをよく理解している必要があります。
そのためには、経営陣指導のもと、社員教育を行うことが不可欠です。
セキュリティポリシー
経営陣は、まずセキュリティポリシーを策定し、これに基づいた意思決定を行う必要があります。 セキュリティポリシーとは、企業・組織の情報セキュリティ対策の方針や、行動指針をまとめたもののことです。 (セキュリティーポリシーに関するブログ記事「セキュアな組織運営に欠かせない「情報セキュリティポリシー」」)
- 保護対象にする情報資産の内容
- どのような脅威から保護するか
- 保護する理由
- 保護の方法
- 情報セキュリティのための体制
- 情報セキュリティの責任者
- 将来発生する問題への対応
- 運用規定
- 基本方針
- 対策基準
セキュリティ対策は、どんな企業組織にも同じシステムが当てはまるというものではありません。 以下の具体的な事情を踏まえた上で、その企業・組織に最も相応しいセキュリティポリシーを作る必要があります。
- 保有する情報資産の内容
- 組織の規模、体制
- 業務形態
- ネットワークやシステムなどの構成
また、セキュリティポリシーを作成することで、以下のような二次的なメリットも生まれます。
- 社員や職員などのセキュリティに対する意識の向上
- 取引先や顧客からの信頼性の向上
セキュリティのベストプラクティス
ベストプラクティスとは、英語表現で、結果を得るためにもっとも効率のよい技法や手法、プロセスなどのことを言います。 セキュリティのためにベストプラクティスを模索し、慣行する体制を、経営陣が指揮して構築する必要があります。