新しい記事を書く事で広告が消せます。
このマークは当blogの記事部分に付けられたものです。
新しい記事を書く事で広告が消せます。
このマークは当blogの記事部分に付けられたものです。
少々固くて難しい話。
「セキュリティポリシー」とものをご存知であろうか。
簡単に言えば、「企業や自治体などの団体の情報の取り扱いに関する方針」ということができる。
昨今の個人情報に関する関心の高まりの中で、にわかに脚光を浴びてきたキーワードである。
自分は仕事柄、セキュリティポリシーにはうるさい。
素で5時間でも6時間でも話すことができるが、今回はさわりだけにしようと思う。
一口にセキュリティポリシーといっても非常に範囲は広い。
情報資産の分類や定義(セキュリティポリシーの適用範囲)から始まり、組織体制、運用(対策)、罰則や見なおしに関することまで様々である。
核となるのは情報保護対策たる運用部分であるが、
それもリスクの種類から大まかに物理的、技術的、人的の3種の保護対策に分けることができる。
物理的というのは、例えば、
○サーバは震度5に耐えうる程度の耐震対策を施すこと
○消火設備を整えること
○電子計算機室には許可されたものしか入退室できないこと
など、入退室管理や盗難対策、あるいは物理的な災害に対する対策等である。
技術的というのは、
○アクセスログを取得し、一定期間保管すること
○クライアントにはウィルス対策ソフトをインストールし、パターンファイルを最新に保つこと
○ソフトウェアをクライアントにインストールするときにはシステム管理者の許可を得ること
など、不正アクセスやウィルス対策、システムの仕様変更や開発改善時の取扱、アクセス権限管理に関することが含まれる。
人的というのは、ここが一番の要であるが、
○パスワードは適切に管理し、机の上やクライアントにメモ書きしておかないこと
○私有のパソコンや機器を社内ネットワークに接続しないこと
○個人情報が入った媒体は、鍵のかかる保管庫に保管すること
など、エンドユーザーレベルの運用や教育に関することが含まれる。
こうしたセキュリティポリシーは、官公庁ではあるのが当たり前である。
ところが民間企業は散々たる状態で、聞くところによると上場企業ですら今だたったの4割しか策定されていないそうだ。
その4割も(後編での話にも関わってくるが)そのうちどれだけが本当に役に立つものかは疑問である。
民間企業は会社のパソコンで仕事中でもインターネット見放題とのことであるが、これは本当であろうか?
役所の常識は世間の非常識というが、これは逆の意味で驚きである。
なるほど、「20万円でセキュリティポリシー策定します」などという商売が成り立つはずだ。
そりゃあ「情報セキュアド」と「システム監査技術者」を取得して、コンサルタント会社を立ち上げて大もうけなどという餅も描きたくなるものである。
冗談はさておき、
ともあれ、日本の情報セキュリティはようやく関心が高まってきたところで、未だ黎明期であるということが言えよう。
だが、個人情報保護法のみならず、2008年には日本版SOX法も制定される。
日経ソリューションの調べでは関連市場は1兆円近くになるということだ。
ビジネスチャンスである。
今こそ「情報セキュアド」と「システム監査技術者」を取得して、コンサルタント会社を立ち上げて…
(しつこい)
「セキュリティポリシー」とものをご存知であろうか。
簡単に言えば、「企業や自治体などの団体の情報の取り扱いに関する方針」ということができる。
昨今の個人情報に関する関心の高まりの中で、にわかに脚光を浴びてきたキーワードである。
自分は仕事柄、セキュリティポリシーにはうるさい。
素で5時間でも6時間でも話すことができるが、今回はさわりだけにしようと思う。
一口にセキュリティポリシーといっても非常に範囲は広い。
情報資産の分類や定義(セキュリティポリシーの適用範囲)から始まり、組織体制、運用(対策)、罰則や見なおしに関することまで様々である。
核となるのは情報保護対策たる運用部分であるが、
それもリスクの種類から大まかに物理的、技術的、人的の3種の保護対策に分けることができる。
物理的というのは、例えば、
○サーバは震度5に耐えうる程度の耐震対策を施すこと
○消火設備を整えること
○電子計算機室には許可されたものしか入退室できないこと
など、入退室管理や盗難対策、あるいは物理的な災害に対する対策等である。
技術的というのは、
○アクセスログを取得し、一定期間保管すること
○クライアントにはウィルス対策ソフトをインストールし、パターンファイルを最新に保つこと
○ソフトウェアをクライアントにインストールするときにはシステム管理者の許可を得ること
など、不正アクセスやウィルス対策、システムの仕様変更や開発改善時の取扱、アクセス権限管理に関することが含まれる。
人的というのは、ここが一番の要であるが、
○パスワードは適切に管理し、机の上やクライアントにメモ書きしておかないこと
○私有のパソコンや機器を社内ネットワークに接続しないこと
○個人情報が入った媒体は、鍵のかかる保管庫に保管すること
など、エンドユーザーレベルの運用や教育に関することが含まれる。
こうしたセキュリティポリシーは、官公庁ではあるのが当たり前である。
ところが民間企業は散々たる状態で、聞くところによると上場企業ですら今だたったの4割しか策定されていないそうだ。
その4割も(後編での話にも関わってくるが)そのうちどれだけが本当に役に立つものかは疑問である。
民間企業は会社のパソコンで仕事中でもインターネット見放題とのことであるが、これは本当であろうか?
役所の常識は世間の非常識というが、これは逆の意味で驚きである。
なるほど、「20万円でセキュリティポリシー策定します」などという商売が成り立つはずだ。
そりゃあ「情報セキュアド」と「システム監査技術者」を取得して、コンサルタント会社を立ち上げて大もうけなどという餅も描きたくなるものである。
冗談はさておき、
ともあれ、日本の情報セキュリティはようやく関心が高まってきたところで、未だ黎明期であるということが言えよう。
だが、個人情報保護法のみならず、2008年には日本版SOX法も制定される。
日経ソリューションの調べでは関連市場は1兆円近くになるということだ。
ビジネスチャンスである。
今こそ「情報セキュアド」と「システム監査技術者」を取得して、コンサルタント会社を立ち上げて…
(しつこい)
このマークは当blogの記事部分に付けられたものです。
COMMENTS