情報セキュリティって、「情報漏洩を防ぐってこと」だと思っています。
では情報漏洩の情報って、どういうものがあるのでしょう。
情報には、主に以下の2つがあります。
1.書類などの紙のような物理的な情報
2.パソコン上のデータのような電気的な情報
これらの情報は、どうやって情報が洩れていくのか。
主に以下の3種類が考えられます。
などなど。
大切な情報が外部に持ち出されることで、様々な不利益な事態が起こります。
では、どのような対処をすればよいか、
1~2は、物理的な情報ですので、人の制限や物理的な制約を持たせることで管理します。
3~6は、電気的な情報ですので、コンピュータに対するセキュリティ設定を行うことで管理します。
コンピュータに対するセキュリティ設定は、コンピュータの使用環境により様々な可能性を考慮する必要があるため、専門家のアドバイスをもらうことをお勧めします。
ただしいずれも、資料やデータの扱いについてのルールを規定し、それを"人"が守ることが第一条件です。
世の中では、何度となく情報漏洩の事件が発生しています。
人が管理することなので、完璧な情報セキュリティは残念ながらありません。
データ管理の現状が最適であるかどうかを常に確認し、管理方法を随時見直し、最善と考えられる管理方法となるよう改善し続ける必要があります。
言い換えると、一度決めて終わりではなく、継続して管理する活動を続ける必要があります。
情報は、漏洩してからでは元に戻すことは不可能です。
問題がおきてから慌てないよう、先行して考慮し、先行して対処することで、いざというときの被害を最小にできるようにしましょう。
補足:
上記は、使用中のデータの管理の話ですが、使わなくなったハードディスクやCDなどの記録媒体を捨てる時にも、情報が読み出せないようにする対策が必要です。
先日、大分県が主催していた情報セキュリティに関する講演を聞きに行きました。
セキュリティ対策をすると、利便性とコストに影響があるがどのように考えればいいのか聞いてみました。
どこまで利便性を犠牲にして、どこまでのコストをかけるのか、明確な線引きはできないようです。
ですが、必要最低限の対策を常日頃から心がけることは、確実にリスク低減に結びつきます。
難しそうだから後回し、ではなく、できそうな簡単なところから地道に活動していき、最低限のところは当たり前の活動になることが重要だと考えます。
何が最低限なのか、というのもそれぞれの事業形態ごとに異なるので、IPAの提唱しているセキュリティ5か条の項目を一度確認してみてください。
たったの5か条です。始めてみましょう。
さらに詳細を知りたい方は、個別に説明しますので、別途ご相談ください。