 |
メールマガジン 経営相談 情報技術 活動実績 経歴等 問合せ リンク |
| セキュリティポリシ セキュリティの重要性 クラッカーの脅威 対策の大枠 |
|
| 最近、勉強を開始したばかりですが、これまでのところを書いておきます。 2000/7/中旬更新予定:ウィルスの脅威 2000/6/17更新:セキュリティポリシーについて 2000/5/10更新:セキュリティの重要性 クラッカーの脅威 対策の大枠 |
|
| セキュリティポリシーについて | |
| セキュリティポリシーとは、企業経営で言うと経営方針のようなものです。セキュリティ上の課題や懸案事項等が発生した時、その判断の拠り所となるような文書です。しかしこれは広義のセキュリティポリシーで、セキュリティ管理システム等で使われるセキュリティポリシーとは少々異なっています。ここでは、広義のセキュリティポリシーの重要性を書いてみます。 セキュリティポリシーは上記の通り、情報セキュリティを構築する際の重要なベースになるものです。この点からして既にそれ自身が重要性を問うまでもないのです。が、経営方針や理念と同様、判断の拠り所とならないようなあまりに抽象的なポリシーでは使い物になりません。 セキュリティポリシー無しに情報セキュリティのためにシステムを構築することももちろんできます。しかし、部門毎に異なったセキュリティシステムを導入したり、セキュリティの強さが異なったりすることは統制が取れないだけでなく、最もセキュリティの弱い部分を攻撃されてしまい、全体のセキュリティレベルは最も低いところに依存してしまい、非常に危険と言わざるを得ません。上記のようなことを防ぐためにもセキュリティポリシーと言うのはその重要性を認識されなければなりません。 またセキュリティは人間がオフラインで破ってしまう場合も多いことを忘れてはいけません。要は社内の人間が情報を漏洩する可能性もあるのです。これを防ぐ意味でもセキュリティポリシーは重要です。さらに企業内外へ自社の情報セキュリティポリシーを公表することで、その信用を示すことも必要でしょう。 非常に簡単ですが、これらからセキュリティポリシーの重要性・必要性が少なからず確認できたのではないかと思いますが、いかがでしょうか。 |
|
| 情報セキュリティの重要性 | |
| 2000年春に発生した中央省庁等のホームページ改ざん事件は記憶に新しいところでしょう。また携帯電話会社等からの顧客名簿の流出やインターネットサービスプロバイダからのパスワード流出など、色々発生しています。これらは表面上、新聞やテレビに取り上げられているものであり、実際にはこれ以外に情報の盗み見や改ざんなどが陰で行われている可能性は否定できません。 企業にとって、顧客名簿や技術情報、商取引の契約に関する情報や部品の単価情報等が外部に漏れることは、企業イメージを損なうばかりでなく、訴訟対象になったり、実際の商売に大きなダメージを与える可能性が大きいと考えられます。 個人にとっても、自分の住所や電話番号、クレジットカード番号、その他の購買動向などの行動に関する情報などが家族以外の第3者に漏れているとしたら、こんなに気持ちの悪いことはありません。 インターネット時代の現在、ネット上に情報を流して利用することは、企業の生き残り戦略上、絶対に不可欠であります。個人にとっても今後、インターネットでの様々なサービスをより沢山、利用するにはネットへの接続は回避できません。一方で、上記のような非合法な形で、様々な情報が、言うなれば搾取されることは、可能性として否定できません。 よって、企業や個人はインターネット等を利用するとき、この情報セキュリティを意識せずにいることは非常に危険です。個人で言えば、街中に自分の住所やクレジットカード番号等が書いてあるビラをまきまくっているようなものです。拾うかどうかは、各個人に任せられていますが。 |
|
| クラッカーの脅威 | |
| クラッカーという言葉をはじめて聞いた方もいるかもしれません。ハッカーは意外と知られているでしょう。ハッカーは何も悪い事をする人を指す言葉ではなく、よい方を指す場合もあります。これに対し、クラッカーはCrack(壊す)する人ですので、いわゆる悪者です。上記の中央省庁のホームページ改ざんなどをする人々はクラッカーと言えるでしょう。(レベルの低いクラッカーと言われるようですが) 脅威としては機密情報の漏洩・盗難、改ざん、破壊などがあります。これらの破壊活動等によって、その情報の機密性や正確性、証拠性などが失われ、企業は大きなダメージを余儀なくされます。クラッカーは日夜を問わず、これらの脅威を常に企業に与えかねないということを情報システム管理者は認識せねばなりません。 |
|
| 対策の大枠 | |
| これらのクラッカー達の脅威から企業、個人の情報を守る対策はいくつかに分類されます。 1)予防:セキュリティ教育の実施やネットワークの監視を行います 2)防止:暗号化等により情報が盗難・改ざん等にあわないようにします 3)検知:脅威が発生した時、それをいち早く検知します 4)回復:万一、影響が出た際には早急な復旧を目指します これらの対策をとっても万全とは言えないでしょう。情報の重要性とセキュリティ対策にかけるコスト、及びセキュリティ対策によって生じる使い勝手の低下等を総合的に判断して、対策を選択するべきでしょう。 もちろん、その情報の漏洩によって企業に大きなダメージを与えないものであると判断された場合には、対策は不必要となる場合もあるかもしれません。まずないとは思いますが。 |
|
| このページのはじめに戻る |
情報セキュリティ