個人のセキュリティ対策というか、リテラシーの話を置いておいて、組織のセキュリティ統制って、何やるの、ってまとめてみました。どうしても情報セキュリティって難しく捉えられて、思考が止まっちゃうことが多いですが、まずは基本の形からう作っていくってことで。

 

 　最近、契約社員が意図的に情報を漏洩する事件がありましたね。（NTT西日本子会社 約900万件の顧客情報 元派遣社員が不正流出 | NHK | IT・ネット）　

　最初から機微な情報にアクセスできる権限を持っている人が、意図的に外部に情報を漏らすものまで察知するのはなかなか難しいですが、まずは基本編の予防と対策から、進めていきましょう。何をしていくかを考えておかないと、セキュリティインシデントのリスクはもちろんですが、事件が起きたときにお客様やメディアの人に聞かれるだけならまだしも、社内の、それも普段セキュリティなんか言わない人が、「我社のセキュリティはちゃんとやっていたのではないのか」とか言われがちです。

 

　なので、セキュリティを勉強しましょう。組織のセキュリティ対策「規定と基準、要領の３段構成の理解」と言っても、何をやっていいかわからないとわかった気にならないですよね。

最初は、心得風にいくつかの観点でまとめてみます。

 

• セキュリティ対策の基本は、リスク対策と考えよう。

セキュリティ対策の基本は、組織運営、事業運営に対するリスク対策です。リスクに関しては、自分の担当範囲が該当しない場合や、影響が小さい場合もあります。例えば個人情報を持っていない組織で、個人情報保護法を一生懸命勉強すること。悪くはないですけど、いの一番ではなさそうですね。

• セキュリティ管理規定（セキュリティポリシー）を決める。

　組織がセキュリティに取り組む姿勢、方針です。外部公開のものと、内部公開のものがあります。基本線として、ICTを使っていない会社もないだろうし、セキュリティが重要でない会社もないので、概ね、我が社は情報セキュリティポリシーを重要ですとします。（セキュリティポリシー | 公開情報 | KDDI株式会社）

　しかし実際には、情報セキュリティはいろんな解釈であれもやらないと、これもやらないと、と腹落ちがしにくいし、セキュリティ対策自体が事業の推進や成長を止めるようにも見えてしまいます。

 

　もう２０年以上前の話。製造業でのIT化がこれからってときに、セキュリティの話をすると、「そこにおいてある材料を盗まれたら困るけど、メールとか盗まれても困らない。そもそも自分のPCなんて、机の荷物の中に紛れていて、PCを見ることも殆どない」と言われていた社長さんがいました。その時は、その会社では、「セキュリティポリシーはまだない」だったんだと思います。だんだんIT化が進化して、何でもインターネット経由になっていると、だんだん対策が厳しくなるように思います。

 

• ぱくることは、恐れない。形から入ろう。

　イチから考えるのはしんどいので、使えるものは使いましょう。でも他社の公開情報をそのままパクっても、何も起きません。まず社内でセキュリティを守るという合意形成がないと始まりません。

　パクるお手本として、いろんなガイドラインがあります。セキュリティコンサルタントに相談しても、いろんな情報を提供してくれることもあります。

　個人的には、IPAの中小企業向けのガイドライン（中小企業の情報セキュリティ対策ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構）がまとまっているので、愛用しています。ここで基本的な形を掴んでおかないと、セキュリティ製品やサービスを売らんかなのベンダーのターゲットになってしまいます。ベンダーが悪いと言っているわけではないのですが、組織のセキュリティ対策の形を決めないと製品を買っても、その後の運営が難しくなってしまいます。