 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
CEATEC講演、「セキュリティポリシー策定には性善説を出発点にするべき」 |
||||||||||||
|
||||||||||||
|
~CEATEC Japan 2003
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
近年、顧客情報、個人情報の漏えいといった問題が大きくなり始めている。これに対して、不正アクセス禁止法、ISMS適合性評価制度、個人情報保護法、情報セキュリティ監査制度といった法整備も進展を見せ始めており、組織の安全性、顧客の信頼性のため対策は必要不可欠という認識が徐々に広まりつつある。一度漏えいした情報は、何年経ってもネットで流通し、取り返しがつかず、企業の信用失墜につながりかねない深刻な問題といえる。 同氏は情報漏えい、隠ぺい、逸脱行為の増加している理由として「情報治安の悪化、情報価値の上昇、ユーザー知識の増加」を挙げ、「これらに偏ったシステム対策、管理費の削減による管理サイクルの減速、組織的取り組み不足といった背景が重なり合うことで、より大きな問題を生む」とした。 警視庁資料による被害額平均を見ると、情報漏えい被害の復旧コストが高いにもかかわらず、アクセス制限、ログ記録、社員への教育などの対策を行っている企業は全体の3割のみとなっている。対策が進まない理由として、意思決定の難しさ、責任所在の不明確化、最新技術への無理解、人材不足などを挙げた。 情報漏えいへの対策を進めるために、同氏は「ウイルス対策や脆弱性に対する適用性、即効性をもった方策から、経済性、恒久性のある方策への転換が必要」とした。このためのビジョンとして同氏は、「管理者に対する情報管理・制御の一極集中を排除し、自己責任による管理を、組織内で誰もがわかる形で行っていくことが重要。たとえばユーザー利用状況のログ取得と監査を行う場合でも、管理者だけでなくユーザー誰もが閲覧を行えることが、抑止力と社員の意識向上につながる」とした。 このほか、「セキュリティポリシーの策定に当たっては、これを形がい化させないために性善説を出発点にするべき」とし「ポリシーが業務の支障にならないよう、いかに利便性を損なわないかもポイント」とした。また、効果のあがるものから実施するべきで、成果を可能な範囲で公表し、安全性をアピールしていくこともポリシーの恒久性のためには重要とした。 ■ URL CEATEC Japan 2003 http://www.ceatec.com/ シーア・インサイト・セキュリティ株式会社 http://www.seerinsight.co.jp/
( 岩崎 宰守 )
|
|
|
|
|
|
|