情報セキュリティって？

情報セキュリティって、「情報漏洩を防ぐってこと」だと思っています。

では情報漏洩の情報って、どういうものがあるのでしょう。

情報には、主に以下の２つがあります。

　１．書類などの紙のような物理的な情報

　２．パソコン上のデータのような電気的な情報

これらの情報は、どうやって情報が洩れていくのか。

主に以下の3種類が考えられます。

• 資料などを人が目にしたり、資料そのものを人が入手したりして、外部に持ち出す
• コンピューターの中のデータやコンピューターを、人が入手して外部に持ち出す
• コンピューターの中から、プログラムが勝手にデータを入手して、外部に送信する

などなど。

大切な情報が外部に持ち出されることで、様々な不利益な事態が起こります。

では、どのような対処をすればよいか、

1. 重要な資料は、必要最小限の人にしか見れないようにする
2. 重要な資料は、鍵のかけられるロッカーなどに保存し、関係者だけが見れるようにする
3. コンピューターの中の重要な情報は、関係者だけが見れるようにする
4. 特に重要なデータは、データアクセスを一人で勝手にできないようにする
5. データアクセスのIDとパスワードは、関係者内でのみ使用し、漏れないよう適切に管理する
6. コンピューターウィルスの対策を、きちんと行う

１～２は、物理的な情報ですので、人の制限や物理的な制約を持たせることで管理します。

３～６は、電気的な情報ですので、コンピュータに対するセキュリティ設定を行うことで管理します。

コンピュータに対するセキュリティ設定は、コンピュータの使用環境により様々な可能性を考慮する必要があるため、専門家のアドバイスをもらうことをお勧めします。

ただしいずれも、資料やデータの扱いについてのルールを規定し、それを"人"が守ることが第一条件です。

世の中では、何度となく情報漏洩の事件が発生しています。

人が管理することなので、完璧な情報セキュリティは残念ながらありません。

データ管理の現状が最適であるかどうかを常に確認し、管理方法を随時見直し、最善と考えられる管理方法となるよう改善し続ける必要があります。

言い換えると、一度決めて終わりではなく、継続して管理する活動を続ける必要があります。

情報は、漏洩してからでは元に戻すことは不可能です。

問題がおきてから慌てないよう、先行して考慮し、先行して対処することで、いざというときの被害を最小にできるようにしましょう。

補足：

上記は、使用中のデータの管理の話ですが、使わなくなったハードディスクやCDなどの記録媒体を捨てる時にも、情報が読み出せないようにする対策が必要です。

• ハードディスクは、フォーマットするだけではデータは消えません。物理的に破壊するか、データを削除するソフトを使ってデータを上書きすることで読み出せないようにします。
• CDは、物理的に破壊するか、データを読み出せないように記録面にカッターなどをつかって傷をつけます。傷をつける時は、放射線状ではなく、同心円状に傷をつける方が効果的です。
• USBやSDカードなどのメモリも、フォーマットだけではだめです。ハードディスクと同様の対応をします。

先日、大分県が主催していた情報セキュリティに関する講演を聞きに行きました。

セキュリティ対策をすると、利便性とコストに影響があるがどのように考えればいいのか聞いてみました。

どこまで利便性を犠牲にして、どこまでのコストをかけるのか、明確な線引きはできないようです。

ですが、必要最低限の対策を常日頃から心がけることは、確実にリスク低減に結びつきます。

難しそうだから後回し、ではなく、できそうな簡単なところから地道に活動していき、最低限のところは当たり前の活動になることが重要だと考えます。

何が最低限なのか、というのもそれぞれの事業形態ごとに異なるので、ＩＰＡの提唱しているセキュリティ5か条の項目を一度確認してみてください。

たったの5か条です。始めてみましょう。

さらに詳細を知りたい方は、個別に説明しますので、別途ご相談ください。