情報セキュリティの“ねらい”
まず情報セキュリティ対策の“ねらい”ですが、顧客や株主、取引先、そして経営者や社員など、すべての利害関係者からの信頼を勝ち取ることです。
逆の事例を考えると分かりやすいでしょう。たとえば紛失・盗難による個人情報流出事件一覧で挙げているように、こうした事故を起こした企業・団体の一部は、社会からの信頼を失ってしまいました。
逆の事例を考えると分かりやすいでしょう。たとえば紛失・盗難による個人情報流出事件一覧で挙げているように、こうした事故を起こした企業・団体の一部は、社会からの信頼を失ってしまいました。
情報セキュリティとは何か
セキュリティとは、分かりやすく言うと、情報を
セキュリティ事故が報じられる時は、機密性が破られた場合がほとんどです。完全性や可用性に関わる事故が報道されることはほとんどありません。
しかし、間違った情報を伝えたり(完全性の破れ)、情報システムが停止したり(可用性の破れ)すると、それだけで企業は損害を被ります。
ですから、セキュリティ対策と言ったら、この3つを担保するプロセスを用意することを意味します。
- 許可された人だけが(機密性 Confidentiality)
- 正しい情報を(完全性 Integrity)
- 必要な時に確実に(可用性 Availability)
セキュリティ事故が報じられる時は、機密性が破られた場合がほとんどです。完全性や可用性に関わる事故が報道されることはほとんどありません。
しかし、間違った情報を伝えたり(完全性の破れ)、情報システムが停止したり(可用性の破れ)すると、それだけで企業は損害を被ります。
ですから、セキュリティ対策と言ったら、この3つを担保するプロセスを用意することを意味します。
情報セキュリティマネジメントシステム
事故を未然に防ぐために、情報セキュリティマネジメントシステムを構築します。
情報セキュリティマネジメントシステムは、PDCAサイクルの形で作ります。PDCAとは、Plan(計画)、Do(実行)、Check(点検)、Act(処置)の頭文字をとった言葉です。それぞれの内容を概念図で示します。
情報セキュリティマネジメントシステムは、PDCAサイクルの形で作ります。PDCAとは、Plan(計画)、Do(実行)、Check(点検)、Act(処置)の頭文字をとった言葉です。それぞれの内容を概念図で示します。
CISO とは、Chief Information Security Officerの略で、日本語では最高情報セキュリティ責任者と呼びます。情報セキュリティ分野において、経営者をサポートする役員です。
参考サイト
- セキュリティ対策のしおり:IPA
- 国民のための情報セキュリティサイト:総務省
- ISMS
(この項おわり)
ここでは ISO 27001(ISMS)という規格を参考に、情報セキュリティの意味と、それを守るための対策について紹介します。