セキュアな組織運営に欠かせない「情報セキュリティポリシー」

セキュアとは

セキュア（secure）とは、英単語で「安全な」「保障された」という意味です。 データやシステムが暗号やウィルス対策ソフトなどにより保護され、 攻撃、侵入、盗聴などの危険がない状態のことを言います。

セキュリティ管理の役割

どれほど堅固なセキュリティを導入しても、完全にリスクを排除するという事は不可能です。 また、ただ単に防御のみに長けていれば良いというわけでもありません。

不正な攻撃者ではない外部や内部のユーザーが、ネットワークリソースに適切にアクセスでき、 情報を引き出すことができる状態にすることも、セキュリティ管理機能の大切な役割です。

セキュリティ管理では、ネットワーク環境をセキュアに保つことだけではなく、 セキュリティに関する情報を収集し、定期的に分析する役目も担います。

情報セキュリティ対策の重要性

高度な情報化社会である現代において、セキュリティ管理はもはや、 企業の一部署である情報システム部門だけの問題ではなくなりました。

企業にとって重要な情報資産を守るため、セキュリティ管理は組織全体で取り組むべき問題です。 技術的な問題のみで対応できるものではなく、人的、物理的、組織的といった多方面からの対策が必要です。 セキュリティ管理にとって重要なのは、企業のトップである経営者が、セキュリティについて真剣に考え、関与することです。

セキュアなネットワーク環境の実装に関する問題

セキュアなネットワーク環境を実装するためには、次の2点を考慮する必要があります。

具体的には組織内部の各階層において、それぞれの状況に応じた課題やリスクの認識及び対策を行う必要があります。

情報セキュリティポリシーの策定

セキュアなネットワーク環境の実装に関し、組織の経営管理者が行うべきこととして特に重要なのは、 情報セキュリティポリシーを策定し、これに基づいた意思決定をすることです。

上記事項について、目標を明確にします。明確な目標に従うことで「何をチェックし、何を制約すべきか」が見えてきます。 そこで初めて、有効にセキュリティツールを使いこなすことができ、技術的なセキュリティを適切に構築することができるのです。

情報セキュリティポリシーの策定にあたっては、以下のことを考慮する必要があります。

サービスの提供とセキュリティリスクの問題

ユーザーに提供するサービスが持っている固有のセキュリティリスクと、そのサービスの便益とを比べて、 セキュリティリスクの方が明らかに大きい場合、セキュリティ対策ではなくサービス自体を停止することも考える必要があります。

操作性とセキュリティの問題

どんなユーザーにもアクセスを許容するようなシステムは、セキュリティはありませんが操作性は高いものといえます。 パスワードを設定すると、操作性は下がりますが安全になります。さらに安全性を追求し、 別デバイスでのワンタイムパスワードの生成を要求することにすると、操作性は更に下がります。

セキュリティのコストと損失のリスク

セキュアな環境を実装するためには、金銭面、性能、操作性などに関しコストが発生します。 このコストを許容すべきか否かを計るために、セキュリティ上の損失のリスクについて考える必要があります。 プライバシー侵害、データの喪失、サービス不能状態など、 セキュリティ上の損失が発生した場合の損害を見積もらなければなりません。